Neue Security-Richtlinie der EU
Wie man sich auf NIS 2 vorbereitet
Fortsetzung des Artikels von Teil 1
NIS-2-Vorgaben umsetzen
Frage 2: Welche Vorgaben der IT-Sicherheit kann ich wie abbilden?
Artikel 21 der NIS-2-Richtlinie beschreibt grundlegende Kriterien für Cybersicherheitsmaßnahmen, um die IT und Netzwerke kritischer Dienste zu schützen. Doch welche IT kann diese Anforderungen abbilden? Viele der Kriterien verlangen vor allem zweierlei: einfache, vollständige Sichtbarkeit und kontinuierliches Monitoring der Vorgänge im Netzwerkverkehr eines Unternehmens einerseits sowie der Prozesse am Endpunkt andererseits. Wer den Netzverkehr etwa durch eine NDR-Lösung (Network Detection and Response) ständig überwacht, kann Risiken und Angriffe im Netz frühzeitig erkennen und verfolgen. Ein EDR-Tool (Endpoint Detection and Response) wiederum erkennt laufende Angriffe und führt Abwehrmaßnahmen durch.
Für mehrere der in der EU-NIS2-Vorgabe aufgelisteten Punkte lässt sich so die Grundlage schaffen:
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen.
• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme sowie die Bewältigung von Sicherheitsvorfällen: Eine kontinuierliche Überwachung per NDR-Tool entdeckt die Kontaktaufnahme eines Command-and-Control-Servers mit dem infizierten Endpunkt. Dieser Datenverkehr ist für Cyberkriminelle zentral, um ein angegriffenes System zu steuern. Eine KI-basierte und sich permanent optimierende NDR-Lösung erkennt atypische Vorgänge im Netz, etwa eine Datenexfiltration, durch den Abgleich mit einem erlernten Normalmodell der IT. Sie kann Muster der immer komplexeren und gezielteren APT-Angriffe (Advanced Persistent Threats) identifizieren, bei denen Hacker sich zunächst still im Netz bewegen, ehe sie zuschlagen. NDR weist durch eine Analyse des böswilligen Eintritts in die IT auf die Lücken hin, die Hacker bei einem Folgeangriff ausnutzen könnten. Für die Abwehr übernimmt dann das EDR-Tool die tragende ausführende Rolle, denn sie stoppt Prozesse – etwa das Verschlüsseln durch Ransomware – und blockt ein betroffenes System entweder automatisch oder nach Alarm an die IT-Administration durch deren Maßnahmen. Wer außerdem nach der Analyse des Angriffs im Netz und am Endpunkt weiß, wie die Cyberkriminellen einmal vorgegangen sind, kann sich für die Zukunft mit neuen Sicherheitsrichtlinien schützen.
• Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie Krisen-Management: Für das Krisen-Management liefern NDR und EDR beinahe in Echtzeit relevante Informationen, um einen Angriff zu erfassen. Sicherheitsfachleute eines MDR-Anbieters (Managed Detection and Response) können diese beurteilen und im Ernstfall eingreifen. Schon jetzt benötigen die meisten mittelständischen Unternehmen externe Hilfe, wenn sie ihre Cybersicherheit ernst nehmen. Mit NIS 2 wird dieser Bedarf weiter steigen. Wichtig ist zudem der Schutz des Backups. Denn die Sicherungen gehören ebenfalls zu den Zielen der Hacker. Ein NDR-Tool bemerkt ungewöhnliche Zugriffe von unbekannten IP-Adressen auf ein Backup, eine EDR-Lösung verhindert das Verschlüsseln oder Löschen der gesicherten Daten. Ransomware-Angriffe verlieren so ihr zentrales Argument: die drohende Nichtverfügbarkeit von Informationen.
• Sicherheit der Supply Chain (Lieferkette) einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Service-Providern: Die Supply Chain von neuer Software oder von deren Updates ist spätestens seit dem Angriff auf das US-Softwarehaus Kaseya als Sicherheitsrisiko bekannt. Updates von Hardware-, Software- und IT-Service-Providern können Vehikel für skalierbare Angriffe sein. Eine solche Attacke hinterlässt Spuren im Netzverkehr und führt selbstredend durch Installation einer Malware zu einem verräterischen Prozess auf dem Endpunkt.
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung für die gesicherte Sprach-, Video- und Textkommunikation: Audio- und Video-Applikationen generieren neue und oft umfangreiche Datenströme. Eine auf KI basierende NDR- und EDR-Lösung lernt, diese Vorgänge als normal und legitim zu erkennen und an den Normalverkehr der IT-Abläufe anzupassen. Sie identifiziert deshalb ohne Fehlalarme ein außergewöhnliches Verhalten. Wichtig ist hier: Solche Applikationen sollten auf zentral verwalteten Systemen mit IP-Adresse und Standardbetriebssystemen laufen, um in eine NDR- oder EDR-Lösung eingebunden zu sein.
Es ist an der Zeit, sich schon jetzt auf NIS 2 vorzubereiten. Auch die Suche nach einem Versicherungsschutz für IT-Risiken sollte man schon jetzt starten. Ebenso wichtig ist das Einrichten von Grundlagentechniken der IT-Sicherheit sowie das Einholen externer Dienstleister für eine kontinuierlich verstärkte Abwehr und einer professionellen Rechtsberatung. Die Angreifer warten nicht – und der Gesetzgeber auch nicht mehr lange.
Thomas Krause ist Regional Director DACH bei ForeNova.
- Wie man sich auf NIS 2 vorbereitet
- NIS-2-Vorgaben umsetzen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
