NIS2 und DORA: Transformation der IT-Security

Wo
Performance
Schlagzeilen
macht

Auf deutsche Unternehmen und Institutionen mit kritischer Infrastruktur kommen zwei Regulierungen der EU zu: NIS2 und DORA. Wegen der Zunahme gefährlicher Cyber-Angriffe von Hacker-Kollektiven und KI-generierter Attacken soll die digitale Resilienz durch gesetzliche Vorgaben verbindlich gestärkt werden. Die Verantwortlichen müssen dafür nachhaltige Maßnahmen einführen – von Authentifizierungen auf der Basis von Zero Trust über End-to-End-Verschlüsselungen des Datenverkehrs und Back-up-Lösungen bis hin zu Konzepten für Meldepflichten bei stärkeren Angriffen auf die digitalen Infrastrukturen. Um große Sicherheit zu gewährleisten, werden Monitoring-Lösungen äußerst wichtig: für eine zuverlässige Detectability, das Erkennen und Beseitigen akuter Gefahren in Echtzeit – zum Beispiel EDR- und NDR-Systeme.

2023 ist NIS2 (Network and Information Security) in Kraft getreten. Die Regierungen der EU-Staaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht überführen. Damit soll die Cyber-Sicherheit in Europa auf ein gemeinsames akzeptables Niveau gebracht werden. Denn im Jahr 2023 ist allein in Deutschland durch Internet-Kriminalität ein Gesamtschaden von etwa 206 Mrd. Euro verursacht worden.¹Die Regulierung gilt für Unternehmen und Einrichtungen in 18 Sektoren, deren digitale Infrastrukturen für die Gesellschaft und Wirtschaft von kritischer Relevanz sind (KRITIS). Sie betrifft Organisationen ab 50 Mitarbeiter*innen und zehn Mio. Euro Umsatz.

Für den Finanzsektor und die Versicherungsbranche wird DORA (Digital Operational Resilience Act) als spezielle Regelung gesetzlichen Vorrang gegenüber NIS2 haben. Diese Vorschriften müssen bis Anfang 2025 erfüllt werden. Wesentlicher Bestandteil auch von DORA sind die Anforderungen an das Risikomanagement. Die Verordnung soll Unternehmen ermöglichen, „IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten“ (Art. 6 Abs. 1 DORA)².

Für das Management und die IT wird mit beiden Regelungen die Sicherheit und Betriebsstabilität zur zentralen Aufgabe – bei NIS2 insbesondere auch von Lieferketten. Ferner bestehen künftig Meldepflichten signifikanter Incidents an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein besonderes Augenmerk liegt bei DORA auf Drittanbietern von ITK und sonstigen IT-Dienstleistern. Das hat triftige Gründe: „Mehr als die Hälfte (54 Prozent) der betroffenen Unternehmen erlebte Angriffe auf ihre eigenen Daten über die technische Infrastruktur von Dienstleistern.“³ Gefordert wird eine zuverlässige Steuerung des Risikos, das externe IT-Partner mitbringen. Die „Prinzipien sollten mit einer Reihe grundlegender vertraglicher Rechte einhergehen, die sich auf mehrere Aspekte bei der Erfüllung und Beendigung von vertraglichen Vereinbarungen beziehen (…).“⁴

Es entstehen Haftungspflichten

Dabei sehen beide Verordnungen grundsätzlich Pflichten der Haftung vor. Mit NIS2 wird neben Rechtsmitteln wie Compliance-Verfügungen, Verordnungen von Umsetzungen oder verbindlichen Anweisungen auch eine persönliche Haftung von Geschäftsführer*innen und Vorständ*innen eingeführt, die bei Verstößen gegen die Sicherheitspflichten mit schmerzhaften Geldbußen rechnen müssen. Die Geschäftsleitung muss also sämtlichen der ergriffenen Maßnahmen des Risiko-Managements für Cyber-Sicherheit sowohl zustimmen als auch deren Umsetzung überwachen. Anderenfalls haftet sie persönlich.⁵

Bei DORA ist es den Mitgliedsstaaten und ihren Behörden überlassen, inwieweit Verstöße geahndet werden. Aufsichtsstellen können gegen IKT-Anbieter Geldbußen in Höhe von einem Prozent ihres durchschnittlichen Tagesumsatzes des vorangegangenen Geschäftsjahres erheben – und zwar täglich sechs Monate lang, bis die jeweiligen Vorschriften eingehalten wurden.⁶

Neue IT-Governance und Kooperationen für Sicherheit

Es steht damit eine enorme Transformation der IT-Security bevor. Allein über 30.000 mittelständische Unternehmen sind in den kritischen Branchen angesiedelt – von der Energie- und Wasserversorgung über die Ernährung bis hin zu Informationstechnik und Telekommunikation. Mit den kommenden Pflichten entstehen allerdings auch erheblich gute Chancen: NIS2 und DORA machen neue verbindliche Governance-Strukturen erforderlich für eine sehr effektive Stärkung der Cyber-Resilienz. Damit verändert sich auch die Governance der IT noch einmal deutlich: Es wird festgeschrieben, was der Bereich im Rahmen der Unternehmensstrategie und Compliance für die Sicherheit, die Einhaltung des Datenschutzes und eine damit verbundene Umsetzung wesentlicher Ziele zu leisten hat.

Das gilt mit DORA auch für externe IT-Dienstleister: Die Anbieter haben grundsätzlich nachzuweisen, dass sie regelkonform aufgestellt sind – etwa durch einen offenen Informationsaustausch und relevante Zertifizierungen. Ferner müssen sie vertraglich garantieren, dass sie sowohl bei sich selbst als auch in der Praxis sämtliche Regularien einhalten und dabei die Compliance ihrer Kunden befolgen. Nur dann sind sie im Rahmen einer neuen Governance in die IT-Operations zu integrieren.

Im täglichen Geschäft wird hinsichtlich beider Richtlinien eine relativ enge Kooperation zwischen Management oder Geschäftsführung, Security und Betrieb sowie externen Services erforderlich – zur umfassenden Einführung entsprechender Maßnahmen und Lösungen, ferner bei kritischen Vorfällen sowie zu regelmäßigen Abstimmungen über Anpassungen auf der Basis von Reportings oder anderen Informationen. Außerdem muss die Einhaltung der Standards bei der Einführung von neuen Anwendungen oder anderen Veränderungen von Systemen sichergestellt werden. IT-Security bekommt eine dauerhafte Management-Attention und wird ein unternehmensübergreifendes Projekt: Alle Beteiligten müssen die gesteigerten Anforderungen an das Management und die Abwehr von Cyber-Risiken durch die Umsetzung relevanter Maßnahmen, eine permanente Awareness sowie regelmäßige Anpassungen durch verbesserte Lösungen erfüllen.

Zero Trust und Multi-Faktor-Authentifizierung

Das gemeinsame Ziel ist eine umfassende solide digitale Resilienz für eine dauerhafte Betriebsstabilität von Unternehmen und Institutionen sowie deren bestehenden Lieferketten hinsichtlich der Netze, Systeme und sämtlicher Schnittstellen. Dafür gilt es zunächst, alle relevanten internen und externen IT-Ressourcen – Hardware, IT-Geräte, Anwendungen und Cloud-Dienste – auf deren Risiken hin eingehend zu überprüfen. Die Ergebnisse dienen einer ersten Einschätzung bestehender Gefahren, Schwachstellen und Differenzen zur geforderten Regelkonformität. Auf dieser Basis sind gemäß den Vorschriften konkrete Maßnahmen für eine dauerhafte Sicherheit und das permanente Cyber Security Risk Management zu entwickeln und einzuführen. Dabei sollten Unternehmen und Organisationen je nach Bedarf verschiedene Methoden kombinieren.

Dazu gehören zum Beispiel Konzepte für ein zuverlässiges Identitätsmanagement auf der Basis von Zero Trust – kein Gerät, Netzwerk oder User gilt hierbei vertrauenswürdig. Bewährt haben sich insbesondere für den Fernzugriff auf Systeme, Ressourcen oder Clouds die Multi-Faktor-Authentifizierung (MFA) und das Privileged Access Management. Ein Festlegen verbindlicher Richtlinien für Zugriffskontrollen durch sichere Prozesse der Identitätsprüfung werden von beiden neuen Richtlinien verbindlich vorgeschrieben.

End-to-End-Verschlüsselung und Business Continuity Management

Zum Schutz sensibler Daten, die in Netzwerken gespeichert werden, und für den sicheren Datenverkehr ist außerdem eine End-to-End-Verschlüsselung äußerst wirksam. Die Informationen werden anhand von Algorithmen unlesbar gemacht oder anonymisiert, sodass nur für eine Entschlüsselung autorisierte Benutzer*innen darauf zugreifen können. Darüber hinaus sind Endpunkte durch eine eigene Verschlüsselung, regelmäßige Updates sowie Anti-Virus- und Anti-Malware-Lösungen vor gefährlicher Software zu schützen.

Für das Business Continuity Management sind unter anderem Immutable Backups eine gute Lösung. Sie sorgen für eine Ausfallsicherheit der Geschäftsprozesse und erlauben bei ernsteren Vorkommnissen das schnelle Wiederherstellen verlorener Daten.

Ein wichtiger Faktor für die Sicherheit sind Schulungen der Mitarbeiter*innen, denn nach wie vor bilden sie die größte Schwachstelle – besonders hinsichtlich identitätsbasierter Angriffe wie Man-in-the-Middle (MITM) oder Phishing. Beide dieser mittlerweile sehr verbreiteten Social-Engineering-Techniken erfordern eine hohe Awareness der User, damit sie als zuverlässige Human Firewall agieren.

Die Verantwortlichen in den Unternehmen und Organisationen sollten noch einen Schritt weiter gehen, denn wenn alle möglichen technischen Maßnahmen umgesetzt wurden, müssen diese nicht nur nachgehalten und regelmäßig angepasst, sondern die gesicherten Netzwerke und Systeme rund um die Uhr überwacht werden. Deshalb sind Echtzeit-Monitoring-Systeme für eine zuverlässige Intrusion Detection einzuführen. Sie erkennen und neutralisieren gefährliche Aktivitäten wie die von Malware oder Hackerangriffe.

XDR Detectability und SecOps

Für das permanente Monitoring eines Netzwerks und der verbundenen Endgeräte ist XDR eine gute Lösung: Extended Detection and Response. Es ermöglicht durch eine verhaltensbasierte Netzwerküberwachung die Entdeckung und Behandlung akuter kritischer Vorfälle. Integrierte KI-Lösungen bilden eine automatisierte Forensik, die eine Reaktion auf sicherheitsrelevante Unregelmäßigkeiten in Echtzeit ermöglicht: Jedes entdeckte Risiko wird durch einen passenden Incident Response akut bekämpft (Network Detection and Response; NDR). Diese Überwachung wird parallel auf sämtliche angebundene Endgeräte erweitert (Endpoint Detection and Response; EDR). So sorgt ein verhaltensbasiertes Incident- und Event-Monitoring für Transparenz und Sicherheit auch auf PCs in Homeoffices, auf Laptops, Tablets oder Smartphones.

XDR umfasst die Überwachung sämtlicher IT-Komponenten – vom Endpunkt über Netzwerk-Sensoren bis hin zu Cloud-Instanzen und Microservices. Um die Sicherheit permanent zu gewährleisten, werden unter anderem regelmäßige Simulationen vorgenommen und potenzielle Schwachstellen ausgeschlossen.

NIS2 und Dora forcieren einen großen Fortschritt in der IT-Sicherheit. Und es ist höchste Zeit zu handeln: 58 Prozent der deutschen Unternehmen waren 2023 mindestens einmal von einer Cyber-Attacke betroffen.⁷Unternehmen und Institutionen sollten spezielle Teams für Security Operations (SecOps) bilden, die eng mit den Betriebsteams (BizOps) kooperieren, um die Agilität und Effizienz bei der Reaktion auf Bedrohungen deutlich zu erhöhen: für eine starke Cyber-Resilienz.