NIS 2: Wie Unternehmen den Überblick für mehr Sicherheit gewinnen

Nicht nur Schwachstellen kennen, sondern auch existierende Exploits

Das ist die Grundlage für ein Asset Management, das die Geräte nicht nur leistungsfähig hält und einen Überblick darüber gibt, ob die vorhandenen Ressourcen gut genutzt werden – sondern auch hilft, dass sie aktuell und abgesichert sind. Selbst mit dem vollen Überblick bleibt die Absicherung und der angemessene Schutz für viele Unternehmen aber eine große Aufgabe. Je heterogener und komplexer ihre Systemlandschaft ist, umso anspruchsvoller wird die Frage, wie sie Schutzmaßnahmen priorisieren sollen.

Das traditionelle Vulnerability Management führt dabei oft in die Irre. Denn der klassische Ansatz basiert darauf, anhand aktueller Daten die bekannten Schwachstellen nach dem CVSS Scoring und die von Verwundbarkeitsscannern im eigenen Netzwerk gefundenen Schwachstellen nach Schwere zu bewerten und diese priorisiert zu bearbeiten.

Dieser grundsätzlich logische Ansatz reicht in der Komplexität und Dynamik der heutigen Cybersicherheitslandschaft aber nicht mehr aus. Stattdessen empfiehlt es sich, als weiteres Kriterium heranzuziehen, für welche der bekannten Schwachstellen bereits Exploits für mögliche Angriffe existieren. Sicherheitslücken, die im Unternehmen vorhanden sind und angegriffen werden können, sollten schneller geschlossen werden als solche, die zwar schwerwiegende Auswirkungen haben können, aber noch nicht für Cyberkriminelle nutzbar sind. Das macht die Aufgabe überschaubarer – und das Eindämmen von Risiken effizienter.

Denn die US-amerikanische National Vulnerability Database listet über 40.000 Schwachstellen, die für Angriffe geeignet sind. Über 10.000 bergen große Gefahren, weil sie die Ausführung von Code aus der Ferne oder die Änderung von Nutzerrechten ermöglichen. Aktive Exploits existieren aber nur für eine niedrige dreistellige Zahl. Das ist immer noch viel, aber weitaus besser in den Griff zu kriegen.

Diese Betrachtungsweise hilft Unternehmen dabei, das Risikomanagement und das angemessene Schutzniveau zu erreichen, wie es von NIS 2 gefordert wird. So können sie nachweisen, dass sie sich gegen die sie direkt betreffenden Risiken angemessen schützen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Meldeprozesse aufsetzen, die nach Risiko gestuft sind

Viele Unternehmen stehen ebenfalls vor der Frage, wie sie Vorfälle melden sollen. Sie sind gut beraten, Meldeprozesse und Entscheidungslogiken aufzusetzen, die einerseits die entsprechende Transparenz und Geschwindigkeit gewährleisten – und sie andererseits nicht zu sehr belasten.

Daher sollten sie in ihrem Service Management Prozesse und Workflows definieren, die Meldeketten ermöglichen. Kleinere, nicht dringende Vorfälle sollten User schlicht melden können. Für die Zuständigen können diese dann in Dashboards und Berichte einlaufen, die sie im Blick behalten. Nicht jede Phishing-Mail rechtfertigt es, den IT-Leiter aus dem Bett zu klingeln. Bei einer Krise, in der entschieden werden muss, ob etwa der komplette Exchange Server abgeschaltet wird, sieht das anders aus.

Lösungen wählen, die viel aus einer Hand bieten

Es gibt für Unternehmen zwar keine Wunderlösung, um NIS-2-konform zu sein. Aber es existieren gute Wege, pragmatisch und zügig ein hohes Überblicks- und Sicherheitsniveau zu erreichen, mit dem Unternehmen gut aufgestellt sind. Dazu empfiehlt es sich, auf Software Suites wie Ivanti Neurons zu setzen, die ein möglichst breites Spektrum an relevanten Leistungen abdecken. So ist gewährleistet, dass die einzelnen Lösungen reibungslos interagieren.

Wenn gleichzeitig noch vielfältige Konnektoren zur Verfügung stehen, erhalten Unternehmen die Möglichkeit, sich einen zentralen Überblick zu verschaffen. Sie profitieren dann von einer Schaltzentrale, mit der sie zahlreiche Maßnahmen anstoßen und verfolgen können, die für ihre Sicherheit erforderlich sind.

Dieser Ansatz ist effizienter und schneller als der Weg über großangelegte Assessments und umfangreiche Security Consultings. Denn diese binden Ressourcen und erfordern Zeit. Mit Blick auf NIS 2 ist es aber jetzt erforderlich, zu handeln, damit Unternehmen für den Herbst angemessen vorbereitet sind.

1. NIS 2: Wie Unternehmen den Überblick für mehr Sicherheit gewinnen
2. Nicht nur Schwachstellen kennen, sondern auch existierende Exploits

Lesen Sie mehr zum Thema

Das könnte Sie auch interessieren

Virtuelle Themenreihe NIS-2 / Teil 2

Cybersicherheit nicht nur um der Compliance willen

Weitere Artikel zu Ivanti

Ivanti veröffentlicht Studie

Strategie zum KI-Einsatz für den Cyberschutz fehlt

Advertorial

Wie man Hackern einen Schritt voraus ist

Ivanti-Studie: IT-Sicherheit im Fokus

Relevantes Wissen zur Cybersicherheit fehlt oft

Virtuelle Themenreihe NIS-2 / Teil 2

Cybersicherheit nicht nur um der Compliance willen

Frustrierte Mitarbeiter

Office-Pflicht drückt auf Umsatz und Produktivität

Weitere Artikel zu IT-Sicherheit

AI-gestützte Plattform für MSPs

Nächste Generation von Avepoint Elements gelauncht

All-in-One-Plattform von Enginsight

Also baut Security-Portfolio aus

Alles Gute für 2025

connect professional wünscht einen guten Start ins neue Jahr

In vielen Betrieben ging gar nichts mehr

So hart traf der CrowdStrike-Ausfall die deutsche Wirtschaft

Advertorial

Auch Kleinunternehmen haben gute IT-Sicherheit verdient

Weitere Artikel zu Cybersecurity/Cybersicherheit

Cyan Guard 360

Cybersecurity für den Mittelstand

Advertorial

Channel Trends+Visions 2025 – IT-Zukunft hautnah erleben!

Security-Plattform in Deutschland

Arrow vertreibt SecureVisio-Lösung in Deutschland

World Cloud Security Day 2025

Bedeutung der Cloud-Sicherheit nicht unterschätzen

Ausbau von Expertise in Frankreich

Hornetsecurity übernimmt Altospam