Donnerstag, 31. Oktober 2024

NIS2-RichtlinieSchutz vor Cyber-Kriminellen

[12.02.2024] Um den Gefahren aus dem Cyber-Raum zu begegnen hat die EU die Richtlinie NIS2 erlassen. Die Vorgaben müssen bis Mitte Oktober 2024 umgesetzt werden. Der IT-Dienstleister Axians gibt Tipps, wie Kommunen und kommunale Unternehmen jetzt vorgehen sollten.
Die EU-Richtlinie NIS2 soll die Cyber-Sicherheit erhöhen.

Die EU-Richtlinie NIS2 soll die Cyber-Sicherheit erhöhen.

(Bildquelle: 123rf.com)

Eine Viertelmillion neu entdeckte Schadprogrammvarianten, 2.000 identifizierte Schwachstellen in Software-Produkten pro Monat, 21.000 neu infizierte Systeme pro Tag, 68 erfolgreiche Ransomware-Angriffe und zwei Angriffe pro Monat allein auf kommunale Einrichtungen oder kommunale Unternehmen. Der aktuelle Lagebericht Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) nennt alarmierende Zahlen: Das Amt warnt, dass die Kriminellen auf dem Vormarsch sind. Professionelle Cyber-Kriminelle sind heute stark vernetzt und gehen arbeitsteilig vor. Sie nutzen Künstliche Intelligenz (KI) und andere moderne Technologien für ihre Angriffe.

Vorgaben der NIS2-Richtlinie

Aufgrund dieser Bedingungen in der Cyber-Sicherheitslandschaft hat die EU die Richtlinie NIS2 erlassen. Die Anforderungen der Richtlinie werden derzeit in nationales Recht überführt und müssen bis zum 17. Oktober 2024 umgesetzt werden. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe von Cyber-Sicherheitsmaßnahmen zu ergreifen.
Die Unternehmen müssen unter anderem ein Risiko-Management-Konzept vorweisen, Notfallpläne erstellen und Sicherheitsvorfälle an das BSI melden. Vorgeschrieben sind technische Schutzmaßnahmen wie systematische Datensicherung, Zugriffskontrollkonzepte, Verschlüsselung und Schwachstellen-Management. Analog zum IT-Sicherheitsgesetz 2.0 schreibt NIS2 auch vor, dass Unternehmen die Schwachstellen ihrer Lieferkette in ihr Sicherheitskonzept einbeziehen müssen, damit Kriminelle nicht über Zulieferer in Systeme eindringen können. Es ist wichtig, den Stand der Technik umzusetzen, indem Sicherheitsstandards und Prozesse berücksichtigt werden, die bereits vor NIS2 als Best Practices empfohlen wurden.
Wer in den vergangenen Jahren darauf geachtet hat, seinen Betrieb nach den geltenden Standards gegen Kriminelle abzusichern, wird nur wenige Anpassungen vornehmen müssen, um den Anforderungen gerecht zu werden. Unternehmen und Institutionen, die neu in den NIS2-Bereich fallen und das Thema Cyber Security bisher stiefmütterlich behandelt haben, stehen nun aber vor großen Herausforderungen.

Fünf Schritte zu mehr Sicherheit

Um sich auf die Anforderungen vorzubereiten, sollten Unternehmen frühzeitig Schutzmaßnahmen ergreifen. Der Weg dorthin führt über fünf Schritte.
Zunächst sollten Unternehmen klären, ob sie zum erweiterten Kreis der NIS2-Regelung gehören. Es gibt zwei Hauptgruppen: Betreiber kritischer Anlagen und „besonders wichtige“ oder „bedeutende“ Anlagen. Entscheidend ist, ob diese Unternehmen in Wirtschaftsbereichen tätig sind, die der Regulierung unterliegen. Gerade hier herrscht noch viel Unsicherheit. Um Klarheit zu schaffen, sollten sich Unternehmen folgende Fragen stellen: Bin ich in einem der regulierten Sektoren tätig? Erreicht mein Geschäft die offiziellen Schwellenwerte? Ist der Umsatz hoch genug und stimmt die Anzahl der Mitarbeitenden? Können diese Fragen mit Ja beantwortet werden, gelten die Schutzbestimmungen der NIS2. Es empfiehlt sich aber für alle Unternehmen – unabhängig davon, ob sie unter NIS2 fallen oder nicht – die eigenen Sicherheitskonzepte auf den Prüfstand zu stellen und zu klären, ob sie dem Stand der Technik entsprechen. Die IT-Verantwortlichen sollten auch nicht vergessen, die zu schützenden Unternehmensbereiche zu definieren.
Im nächsten Schritt gilt es herauszufinden, wo die größten Schwachstellen liegen. Wie ist die Cyber Security im Unternehmen aufgestellt? Wie hoch ist das aktuelle Schutzniveau? Eine Risikobewertung zeigt, wo die Sicherheitsstrategie am besten ansetzen sollte – nämlich dort, wo Unternehmen am schnellsten Verbesserungen erzielen können. Danach sollte der Prozess in regelmäßigen Abständen wiederholt werden. Eine kontinuierliche Bewertung kann dazu beitragen, die Resilienz der IT schrittweise zu erhöhen.

Schwachstellen in der Lieferkette

Bei der verpflichtenden Risikobewertung sollten nicht nur die eigenen Unternehmensrisiken eine Rolle spielen, sondern auch die spezifischen Schwachstellen in der Lieferkette berücksichtigt werden. Werden Schwachstellen identifiziert, müssen Gegenmaßnahmen ergriffen werden, um die regulatorischen Anforderungen zu erfüllen und die Schnittstellen zu schützen. Hierbei helfen beispielsweise External Attack Surface (EAS) Scans. Es empfiehlt sich, proaktiv zu handeln und eine Risikoanalyse durchzuführen, um mögliche Schwachstellen in der Lieferkette zu identifizieren. Anschließend können betroffene Einrichtungen mit ihren Zulieferern ein gemeinsames Sicherheitskonzept erarbeiten.
Um die geforderte Sicherheit der Informationssysteme zu gewährleisten, werden auch Angriffserkennungssysteme empfohlen. Für viele Unternehmen ist die Implementierung einer Security Information and Event Management (SIEM)-Lösung ratsam, da sie als Basis für die meisten Angriffserkennungssysteme gilt. Das SIEM sammelt Daten, die auch in einem Security Operations Center (SOC) ausgewertet werden können. Es liefert nützliche Informationen für den IT-Betrieb, zum Beispiel Hinweise auf Fehlkonfigurationen. Die Vielfalt der SIEM-Optionen bietet zahlreiche Möglichkeiten, um den unternehmensspezifischen Anforderungen gerecht zu werden. So können Unternehmen beispielsweise wählen, ob sie ein selbstverwaltetes SIEM-System oder die Dienste eines professionellen SOC in Anspruch nehmen möchten. Die Bandbreite der angebotenen Services reicht von einem Inhousebetrieb oder einem Co-Managed SIEM bis hin zu vollständig gemanagten IT/OT SOC-Services von externen ICT-Dienstleistern wie Axians.

Regeln und Prozesse etablieren

Es ist wichtig, nicht nur IT-Sicherheitssysteme aus Hard- und Software zu beschaffen. Vielmehr müssen Regeln und Prozesse etabliert werden, welche die Informationssicherheit kontinuierlich definieren, steuern, kontrollieren, aufrechterhalten und verbessern. Unternehmen können dabei nach dem Baukastenprinzip vorgehen: Zunächst sollten Maßnahmen ergriffen werden, die das Sicherheitsniveau schnell erhöhen. Danach kann der Schutz Schritt für Schritt ausgebaut werden. Sicherheitsstandards wie BSI-Grundschutz oder ISO 2700x sowie eine Zero-Trust-Architektur können als Orientierung dienen. Insbesondere die Orientierung am Grundschutzkompendium bietet eine große Hilfestellung, da es einen Best-Practice-Katalog von Sicherheitsmaßnahmen enthält.

Professionelle Beratung

Der Gesetzgeber hat den Ernst der Lage erkannt und mit neuen Regelungen die Anforderungen verschärft. Die wachsende Bedrohungslage zeigt, dass Unternehmen die Umsetzung direkt angehen sollten. Um sich nicht in technischen Detailentscheidungen zu verlieren, können sie auf die Unterstützung erfahrener IT-Dienstleister wie Axians zurückgreifen. Diese implementieren bei ihren Kunden täglich Systeme, wie sie die NIS2-Verordnung vorschreibt. Professionelle Assessments, Beratung im Vorfeld und kontinuierliche Begleitung helfen, schnell eine geeignete Strategie zu entwickeln und entlasten die IT-Abteilungen der Kommunen und kommunalen Unternehmen.

Volker Scholz ist Senior Security Architect bei Axians IT Security.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...

Steve Pater
interview

ITC AG: Einschätzung zu GEG-Vorgaben

[16.08.2024] Das Gebäudeenergiegesetz (GEG) bringt ab 2025 neue energetische Anforderungen für Eigentümer von Nichtwohngebäuden, die Energiemanagement, digitales Monitoring und Gebäudeautomation betreffen. Im Interview gibt Steve Pater, Senior Technical Consultant und IT-Projektleiter bei der ITC AG, dazu seine Einschätzung. mehr...

Maximale Transparenz und Kostenkontrolle über Stromkosten und -verbrauch ist per Entega-App möglich.

Entega: App für Ökostrom

[15.08.2024] Transparenz und Kontrolle über die Stromkosten bietet Entega mit einer neuen App für Öko-Tarife. mehr...

In ihrem ISO-zertifizierten Rechenzentrum betreiben die Stadtwerke Schwäbisch Hall das Hardware-Sicherheitsmodul.
bericht

Stadtwerke Schwäbisch Hall: Rechtzeitige Umsetzung

[05.08.2024] Für ihre Kunden konnten das Unternehmen Somentec und seine Muttergesellschaft, die Stadtwerke Schwäbisch Hall, rechtzeitig ihre eigene AS4-Lösung anbieten. Auch für die nun anstehenden Etappen Bilanzkreisverantwortlicher und Gas sieht man sich gerüstet. mehr...

Bewilligungsbescheid übergeben. Mit 200.000 Euro fördert das Land Schleswig-Holstein das  Projekt AI-PowerMatch der Stadtwerke Lübeck.

Stadtwerke Lübeck: Förderung für KI-Projekt

[31.07.2024] Die Stadtwerke Lübeck arbeiten gemeinsam mit drei Start-up-Unternehmen an einem Projekt, das Künstliche Intelligenz zur Steuerung des Stromnetzes einsetzt. Das Vorhaben wird vom Land Schleswig-Holstein mit rund 200.000 Euro gefördert. mehr...