Als unabhängiger Berater navigiere ich Sie durch das Dickicht organisatorischer und technischer Entscheidungen.
Unternehmen, die den Kritischen Infrastrukturen zugerechnet werden, unterliegen den Regelungen der Netzwerk- und Informationssicherheits-Richtlinie 2 (NIS2).
Es gilt ein eigener Katalog umzusetzender Maßnahmen, der die gesamtwirtschaftliche Resilienz von EU-Staaten und kritischen Unternehmen absichern sollen.
Mittelständische Unternehmen mit mehr als 50 Mitarbeitern oder mehr als € 10 Mio Umsatz/Bilanzsumme aus definierten Wirtschaftssektoren sind aufgefordert die unten folgend beschriebenen Maßnahmen umzusetzen.
| Wesentliche Sektoren | Wichtige Sektoren |
| Energie | Post- und Kurierdienste |
| Transport | Abfallwirtschaft |
| Bankwesen | Chemieindustrie |
| Finanzmarktinfrastrukturen | Lebensmittelindustrie |
| Gesundheitswesen | Herstellung kritischer Produkte |
| Trinkwasser- und Abwasserversorgung | Forschung und Entwicklung |
| Digitale Infrastruktur | Weltraum |
| Öffentliche Verwaltung |
- Da Cyberattacken laut BITKOM 8 von 10 Unternehmen betreffen, sollten Sie auch ohne Verpflichtung den Leitfaden sukzessive umsetzen.
- Auch nicht direkt betroffene Unternehmen werden über den Umweg der Lieferketten-Sicherheit von ihren Kunden mit der Erfüllung der Anforderungen konfrontiert, wenn diese direkt oder indirekt als kritische Infrastruktur-Unternehmen gelten.
Die nachzuweisenden Maßnahmen:
| Technische Maßnahmen | Organisatorische Maßnahmen | |
|---|---|---|
| Vorsorge | – Penetrationstests – Zero-Trust-Architektur – Künstliche Intelligenz und Maschinelles Lernen – Netzwerksegmentierung – Cloud Security Tools – Multi-Faktor-Authentifizierung – Patch- und Schwachstellen-Management – Intrusion Prevention Systems – Ransomware-Schutz – Incident Response Automation – Threat Intelligence Plattformen | – Risiko-Management – Lieferketten-Sicherheit – Aufsetzen eines Informationssicherheits-Management-Systems – Einrichtung einer Informationssicherheits-Organisation – Berichtserstattung an Behörden – Ransomware-Schutz |
| Erkennen | – Monitoring – Endpoint-Detection-Response – Intrusion Detection Systeme – Security Information and Event Management | – Incident-Management-Prozesse – Zusammenarbeit mit Behörden |
Risikomanagement
Die Einführung eines Risikoanalyse-Prozesses dient zum Identifizieren von Schwachstellen und potenziellen Bedrohungen. Auf Basis der Analyse werden die Maßnahmen priorisiert und implementiert, die möglichst umgehend zur Risikominderung beitragen.
Implementierung von Sicherheitslösungen
Die folgenden Technologien gegen einen Rahmen vor. Sie werden jedoch bereits in kurzer Zeit nicht mehr dem Stand der Technik entsprechend. Ich verzichte ais Gründen der Unabhängigkeit auf die Diskussion von Produkten und Anbietern.
| Sicherheitslösungen | Wesentlicher Nutzen | Überwundene Nachteile |
| Extended Detection and Response (XDR) | Erkennung und Reaktion auf Bedrohungen in Echtzeit | Manuelle Bedrohungserkennung war langsam und ineffizient |
| Security Information and Event Management (SIEM) | Zentrale Überwachung und Analyse von Sicherheitsvorfällen | Fragmentierte Sicherheitsdaten erschwerten die Analyse |
| Zero Trust Architektur | Zugriffsschutz durch implementiertes ‚Misstrauen‘ für maximale Sicherheit | übermäßiges Vertrauen in interne Netzwerke führte zu Angriffen |
| Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) | Früherkennung von Angriffsmustern und Anpassung an neue Bedrohungen | Statische Sicherheitslösungen konnten neue Bedrohungen nicht erkennen |
| Netzwerksegmentierung | Eindämmung der Bewegung von Angreifern im Netzwerk | Angreifer konnten sich ungehindert lateral bewegen |
| Multi-Faktor-Authentifizierung (MFA) | Zusätzliche Schutzebene gegen unbefugten Zugriff | Passwörter allein boten unzureichenden Schutz |
| Cloud Security Tools | Sicherheit von Cloud-Daten und -Anwendungen | Fehlende Kontrolle und Transparenz in Cloud-Umgebungen |
| Intrusion Detection und Prevention Systeme (IDS/IPS) | Proaktiver Schutz vor Netzwerkeinbrüchen | Reaktive Maßnahmen führten zu Verzögerungen bei der Angriffserkennung |
| Schutz vor Ransomware | Verhinderung von Datenverschlüsselung durch Ransomware | Unzureichende Backups und Datenisolation erhöhten die Angriffsfolgen |
| Patch- und Schwachstellenmanagement | Schnelle Identifizierung und Behebung von Schwachstellen | Veraltete Systeme blieben anfällig für Angriffe |
| Incident Response Automation | Automatisierung der Vorfallsbewältigung | Langsame, manuelle Reaktion auf Sicherheitsvorfälle |
| Threat Intelligence Plattformen | Nutzung globaler Bedrohungsdaten zur Risikoerkennung | Mangel an Kontext und Informationen über globale Bedrohungen |
Incident-Management-Prozesse
Die Minimierung von Schäden und die Verpflichtung zur Meldung von Sicherheitsvorfälle an Behörden erfordern klare Informationssicherheits-Prozesse.
- KI-gestützte Monitoring-Systeme erkennen ungewöhnliche Aktivitätsmuster.
- XDR-Systeme reagieren nahzu verzögerungslos auf Anomalien.
- Klare Verantwortlichkeiten und Eskalationsstufen sind Bestandteil des Incident-Response-Plans.
Lieferketten-Sicherheit
Angriffe über die Lieferkette sind das Ziel für Cyberkriminelle.
- Lieferketten-Informations-Sicherheit mit wesentlichen Kunden und Lieferanten, mit denen eine digitale Zusammenarbeit besteht.
- Die Verankerung von Sicherheitsanforderungen in Verträgen mit Lieferanten/Dienstleistern überträgt Risikohaftung auf Dritte.
- Die Cybersicherheitspraktiken von Kunden und Lieferanten sollten kontinuierlich überwacht werden
- Die Implementierung und Überwachung von Zugangs- und Zugriffs-Management für Lieferanten/Dienstleistern ist ein weiterer Baustein zu mehr Sicherheit.
Berichtswesen und Zusammenarbeit mit Behörden
Um die Informationssicherheit ganzheitlich zu verbessern, ist der transparente Informationsaustausch mit Behörden und anderen Organisationen wichtig.
- Die regelmäßige Berichterstattung informiert die zuständigen Behörden zu etablierten und geplanten Sicherheitsmaßnahmen sowie zu eingetretenen Vorfällen.
- Die Dokumentation aller gemeldeten Vorfälle sowie deren Nachverfolgung dient der eigenen und der nationalen Informationssicherheit.
- Sicherheitsnetzwerken im Rahmen der eigenen Lieferkette dienen dem Informationsaustausch und sind ein robustes Rückgrat in kritischen Situationen.