Inhaltsverzeichnis
- Ganzheitliche Sicherheit gefordert
- Technische Maßnahmen für mehr Cybersicherheit
- Datenverkehr permanent überwachen
- Organisatorische Maßnahmen für Cybersicherheit verpflichtend
- Einbeziehung der Lieferketten
- Open Source Technologie im Vorteil
- IoT-Security-Gateway als Software-Version
- Deutlich mehr betroffene Unternehmen
- Strenge Sanktionen bei Verstößen gegen NIS2
Cyberattacken und Betriebsunterbrechungen gehören zu den größten Geschäftsrisiken weltweit. Angesichts der steigenden Zahl an Angriffen hat die Europäische Union die gesetzlichen Anforderungen an die Cybersicherheit verschärft und im Dezember 2022 die NIS2-Richtlinie verabschiedet. Dieses Regelwerk gilt für Unternehmen besonders kritischer Branchen und schreibt ihnen eine stringente Verteidigung gegen Cyberattacken vor. Das Management wird dabei explizit miteinbezogen. Bis Oktober 2024 müssen die Mitgliedstaaten die Regelung in nationales Recht überführt haben. Auch wenn den Unternehmen dann noch etwas Zeit bleibt, sollten sie schon jetzt die Umsetzung starten, denn die Vorschriften sind umfangreich. Die komplette NIS2-Richtlinie lesen Sie im Amtsblatt der EU.
Ganzheitliche Sicherheit gefordert
Die erste Fassung der NIS-Richtlinie wurde 2016 auf den Weg gebracht. Damals war der Fokus stark auf IT-Sicherheit gerichtet. Zwischenzeitlich haben sich die Rahmenbedingungen für die Cybersicherheit allerdings stark verändert. Mit der Digitalisierung wurden viele industrielle Systeme vernetzt, die bislang keine Verbindung zum Internet hatten und dafür auch gar nicht vorgesehen waren.
Durch die Vernetzung werden OT-Systeme geöffnet und kommunizieren untereinander oder mit der Cloud. Jede Schnittstelle und jede internetfähige Komponente wird damit zum potenziellen Einfallstor für Angreifer aus dem Netz. Die EU hat dieser Entwicklung Rechnung getragen und mit der NIS2 Vorschriften geschaffen, die das gesamte Unternehmen miteinbeziehen.
Technische Maßnahmen für mehr Cybersicherheit
Mit einer Reihe von technischen Maßnahmen soll die Grundlage für mehr Cybersicherheit hergestellt werden. So fordert die NIS2 mindestens die Verschlüsselung von Daten und Informationen, ein Schwachstellenmanagement und eine konsequente Zugriffskontrolle. Allerdings genügen diese Tools nicht, um ein angemessenes Sicherheitsniveau zu erreichen, denn auch die Angriffsmethoden werden zusehends raffinierter. Über den Chatbot ChatGPT beispielsweise lassen sich Texte verfassen, die sich kaum noch von denen unterscheiden, die ein Mensch geschrieben hat. Das macht es noch schwerer, Phishing-Mails zu erkennen, die ihre Leser zum Öffnen eines mit Schadsoftware infizierten Anhangs verleiten wollen.
Datenverkehr permanent überwachen
Deshalb ist es wichtig, den Datenverkehr permanent zu überwachen, um den Normalzustand zu bestimmen. Sollte ein Angreifer die Firewall überwunden haben, so kann ein Intrusion Detection System (IDS) mögliche Unregelmäßigkeiten erkennen, beispielsweise einen höheren Datentransfer. Ein Intrusion Prevention System (IPS) kann dann den Angriff stoppen. Auch Deep Packet Inspection (DPI) gewinnt an Bedeutung. Dieses Tool analysiert Datenpakete, die über ein Netzwerk verschickt werden, und zwar bis in die Anwenderebene hinein, um Protokolle und Anwendungen zu erkennen und zu kategorisieren.
Organisatorische Maßnahmen verpflichtend
Neben den technischen Abwehrmechanismen werden eine ganze Reihe von organisatorischen Maßnahmen verpflichtend. Unternehmen sind aufgefordert, ein Risikomanagement zu etablieren, Notfallpläne aufzusetzen und ihre Mitarbeiter regelmäßig in Sachen IT-Sicherheit zu schulen. Damit kann das Management die Verantwortung für Cybersicherheit nicht mehr ausschließlich der IT-Abteilung zuweisen, sondern wird selbst in die Pflicht genommen.
Einbeziehung der Lieferketten
Wichtig wird auch die Einbeziehung der Lieferketten, nachdem folgenschwere Angriffe über Zulieferer oder die Systeme anderer Unternehmen möglich sind. In diesem Zusammenhang werden Zertifizierungen für die Zuverlässigkeit von Systemen und Komponenten eine zentrale Rolle spielen, und die EU hat die Mitgliedsstaaten aufgefordert, passende Branchenstandards für die Zertifizierung festzulegen.
Welche Standards genau in Frage kommen, steht also noch nicht fest. In der Automation nutzen Entwickler von Komponenten sowie Integratoren bereits erfolgreich die IEC 62443. Diese Normenreihe für die Sicherheit industrieller Kommunikationsnetze hat demnach gute Chancen, sich in dem Bereich durchzusetzen und kann schon jetzt als Orientierung dienen.
Open Source Technologie im Vorteil
Nachdem deutlich mehr Unternehmen von der NIS2-Richtlinie betroffen sind, müssen sich viele zum ersten Mal mit den umfangreichen Vorschriften befassen und bestehende industrielle Anlagen nachrüsten. Da die Laufzeit bei OT-Systemen deutlich länger ist als in der IT, verfügen viele Betriebe über eine sehr heterogene Infrastruktur, die es zu vernetzen und jetzt auch abzusichern gilt.
IT-Sicherheitstools, die auf Open Source Technologie basieren, sind in dieser Situation klar im Vorteil. Wörtlich heißt es in der NIS2-Richtlinie: „Open-Source-Cybersicherheitswerkzeuge und -Anwendungen können zu einem höheren Maß an Offenheit beitragen und sich positiv auf die Effizienz industrieller Innovationen auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitstools, was der Sicherheit der Interessenträger aus der Industrie zugute kommt.“
Open Source Technologie ermöglicht es, offene Kommunikationsstandards zu verwenden und bietet damit eine gute Lösung für die Vernetzung und Absicherung heterogener Infrastrukturen. Somit erhalten Unternehmen die notwendige Flexibilität und bleiben offen für zukünftige Innovationen, ohne sich von einzelnen Herstellern abhängig zu machen.
Weiter heißt es in der NIS2: „Maßnahmen zur Förderung der Einführung und nachhaltigen Nutzung von Open-Source-Cybersicherheitswerkzeugen sind besonders für kleine und mittlere Unternehmen wichtig, bei denen erhebliche Implementierungskosten anfallen, die durch die Reduzierung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden könnten.“
IoT-Security-Gateway als Software-Version
Viele Unternehmen haben im Rahmen der Digitalisierung bereits neue Hardware für die Vernetzung angeschafft. Diese jetzt aufgrund der NIS2 Sicherheitsvorschriften wieder komplett auszutauschen wäre eine große finanzielle Belastung. Auch hier kann Open Source Technologie helfen: Endian bietet beispielsweise ein IoT-Security-Gateway als Software-Version an. Mit diesem Endian 4i Software lässt sich jeder Industrie PC und jedes IoT-Gateway (x86) in eine komplette Sicherheitslösung verwandeln. Damit lässt sich vorhandene Hardware einfach weiternutzen.
Auch über die Cybersicherheit hinaus bietet Open Source Vorteile: Über Container-Technologie Docker lassen sich individuelle Unternehmensanwendungen nutzen oder die Anwendung von Drittanbietern integrieren. Damit können Geräte und Maschinen überwacht und deren Daten für die Optimierung der Prozesse analysiert werden.
Deutlich mehr betroffene Unternehmen
Nicht nur die Vorschriften werden mehr. Gegenüber der ursprünglichen Regelung erweitert sich auch die Zahl der Unternehmen, die in den Bereich kritischer Dienste fallen. Insgesamt umfasst die NIS2 Regelung 18 Sektoren und unterscheidet zwischen „Essential Entities“ und „Important Entities“ (komplette Liste).
- Essential Entities: Zu den grundlegenden Wirtschaftssektoren gehören große Betreiber in den Bereichen Energie, Transport, Bankwesen, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management im B2B-Bereich, Raumfahrt sowie die öffentliche Verwaltung.
- Important Entities: Die wichtigen Wirtschaftssektoren setzen sich aus sieben Bereichen zusammen, nämlich Post und Kurier, Abfall, Chemikalien, Lebensmittel, produzierende Industrie, digitale Dienste und Forschungsinstitute.
Neu ist auch die Größenregelung: So sind mittlere und große Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz betroffen und zwar unabhängig von Leistung oder Schwellenwerten ihrer Anlagen. Bei manchen Betreibern spielt selbst die Unternehmensgröße keine Rolle mehr, wie bei Teilen der digitalen Infrastruktur. Fakt ist, dass die NIS2 deutlich mehr Unternehmen einschließt, als die derzeitigen NIS-Regeln. Schätzungen gehen von bis zu 40 000 zusätzlichen Unternehmen allein in Deutschland aus.
Strenge Sanktionen bei Verstößen
Bei Verstößen gegen die Richtlinien sowie gegen die Meldevorschriften sind empfindliche Strafen vorgesehen. Bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes können fällig werden, wenn eine Organisation ihren Pflichten nicht nachkommt. Darin zeigt sich, dass die EU der Cybersicherheit zukünftig die gleiche Bedeutung beimisst wie dem Datenschutz. Trotz der harten Strafen und der umfangreichen Pflichten stellt die NIS2 insgesamt einen Fortschritt dar. Denn nur, wenn alle Unternehmen Cybersicherheit ernst nehmen, lässt sich die Bedrohung zukünftig eindämmen. Und davon profitieren die Unternehmen letztlich selbst.
Endian SRL, Bozen, Italien