Cybervorfälle und die damit verbundenen Betriebsunterbrechungen zählen zu den größten Risiken für Unternehmen. Die Zahl der Angriffe steigt seit Jahren. Die Europäische Union hat deshalb die gesetzlichen Anforderungen an die Cybersicherheit verschärft und die NIS2-Richtlinie auf den Weg gebracht.
NIS2 steht für „Network and Information Security 2“. Die Richtlinie verpflichtet bestimmte Unternehmen dazu, gewisse Mindestanforderungen bei der Cyberabwehr zu erfüllen. In Deutschland werden die EU-Vorgaben mit dem NIS2UmsuCG, dem Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, bis Ende des Jahres umgesetzt.
Ganzheitliche Sicherheit auch für Altanlagen
Die erste Fassung der NIS-Richtlinie wurde 2016 auf den Weg gebracht und legte den Fokus stark auf die IT. In der Zwischenzeit haben sich die Rahmenbedingungen für Cybersicherheit allerdings stark verändert. Die Digitalisierung führte zu einer Vernetzung vieler industrieller Systeme, damit sie untereinander oder mit einer übergeordneten Cloud kommunizieren können.
Ursprünglich waren diese OT-Systeme oft gar nicht für eine dauerhafte Verbindung mit dem Internet ausgelegt. Ohne eine passende Absicherung wird durch die Vernetzung jede Schnittstelle und jede internetfähige Komponente zum potentiellen Einfallstor für Angreifer aus dem Netz. Die EU hat dieser Entwicklung Rechnung getragen und mit der NIS-2-Richtlinie Vorgaben aufgestellt, die das gesamte Unternehmen miteinbeziehen. Betroffene Unternehmen müssen Maßnahmen umsetzen, die auf einem „gefahrenübergreifenden“ Ansatz beruhen.
Deutlich mehr betroffene Unternehmen
Im Vergleich zur ersten Fassung der Richtlinie ordnet die NIS2 deutlich mehr Unternehmen den kritischen Diensten zu. Insgesamt umfasst die NIS2 18 Sektoren und unterscheidet dabei zwischen grundlegenden Wirtschaftssektoren (Essential Entities) und wichtigen Wirtschaftssektoren (Important Entities). Auch bei der NIS2-Umsetzung gibt es die Unterscheidung zwischen „Sektoren hoher Kritikalität“ und „Sonstige kritische Sektoren“.
Zu den Sektoren mit hoher Kritikalität zählen Betreiber in den Bereichen Energie, Transport und Verkehr, Bank- und Finanzwesen, Gesundheit, Trink- und Abwasser, IT und TK (IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services) und Weltraum.
Zur Gruppe der sonstigen kritischen Sektoren gehören Post und Kurier, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen. Ebenso betroffen sind Teile der öffentlichen Verwaltung, beziehungsweise der Regierung. Neu ist auch die Größenregelung: So gelten die Richtlinien für mittlere und große Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und zwar unabhängig von Leistung oder Schwellenwerten ihrer Anlagen. Bei manchen Betreibern spielt selbst die Unternehmensgröße keine Rolle mehr, wie bei Teilen der digitalen Infrastruktur.
Fakt ist, dass die NIS2-Richtlinie sowie das nationale Gesetz zu ihrer Umsetzung deutlich mehr Unternehmen einschließen, als die erste NIS-Richtlinie. Schätzungen gehen von bis zu 30.000 zusätzlichen Unternehmen allein in Deutschland aus.
Umfassende Schutzmaßnahmen
Eine Reihe von technischen Maßnahmen soll die Basis für mehr Cybersicherheit bilden. Datenverschlüsselung, Schwachstellenmanagement, konsequente Zugriffskontrolle, sowie Multi-Faktor-Authentisierung werden Pflicht.
Weil auch die Angriffsmethoden der Cyberkriminalität immer raffiniert werden, beispielsweise durch die Verwendung von künstlicher Intelligenz, muss die Cyberabwehr auch noch einen Schritt weiter gehen und eine Angriffserkennung nutzen. Sollte ein Angreifer die Firewall überwunden haben, so kann ein Intrusion Detection System (IDS) mögliche Unregelmäßigkeiten erkennen, beispielsweise einen ungewöhnlich hohen Datentransfer. Ein Intrusion Prevention System (IPS) kann dann den Angriff stoppen. Auch Deep Packet Inspection (DPI) gewinnt an Bedeutung. Dieses Tool analysiert Datenpakete, die über ein Netzwerk verschickt werden, und zwar bis in die Anwenderebene hinein, um Protokolle und Anwendungen zu erkennen und zu kategorisieren. Neben den technischen Abwehrmechanismen sieht die Richtlinie auch organisatorische Maßnahmen vor. Unternehmen sind aufgefordert, ein Risikomanagement zu etablieren, Notfallpläne aufzusetzen und ihre Mitarbeiter regelmäßig in Sachen IT-Sicherheit zu schulen.
Sicherheit der Lieferkette berücksichtigen
Auch die Sicherheit der Lieferkette sowie die Dienstleistersicherheit gilt es, im Blick zu behalten. In diesem Zusammenhang werden Zertifizierungen für die Zuverlässigkeit von Systemen und Komponenten eine zentrale Rolle spielen, und die EU hat die Mitgliedsstaaten aufgefordert, passende Branchenstandards für die Zertifizierung festzulegen. In der Automation nutzen Entwickler von Komponenten sowie Integratoren bereits erfolgreich die IEC 62443. Diese Normenreihe für die Sicherheit industrieller Kommunikationsnetze hat demnach gute Chancen, sich in dem Bereich durchzusetzen und kann schon jetzt als Orientierung dienen.
Open Source Technologie hilft
Viele Unternehmen werden bestehende industrielle Anlagen nachrüsten müssen. Aufgrund der unterschiedlichen Laufzeiten von IT und OT haben viele Betriebe eine sehr heterogene Infrastruktur, die abgesichert werden muss.
IT-Sicherheitstools, die auf Open Source Technologie basieren, sind in dieser Situation klar im Vorteil. Wörtlich heißt es in der NIS2 Richtlinie: „Open-Source-Cybersicherheitswerkzeuge und -Anwendungen können zu einem höheren Maß an Offenheit beitragen und sich positiv auf die Effizienz industrieller Innovationen auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitstools, was der Sicherheit der Interessenträger aus der Industrie zugutekommt.“ Open Source Technologie ermöglicht die Verwendung offener Kommunikationsstandards und bietet damit eine gute Lösung für die Vernetzung und Absicherung heterogener Infrastrukturen. Somit erhalten Unternehmen die notwendige Flexibilität und bleiben offen für zukünftige Innovationen, ohne sich von einzelnen Herstellern abhängig zu machen.
Weiter heißt es in der NIS2: „Maßnahmen zur Förderung der Einführung und nachhaltigen Nutzung von Open-Source-Cybersicherheitswerkzeugen sind besonders für kleine und mittlere Unternehmen wichtig, bei denen erhebliche Implementierungskosten anfallen, die durch die Reduzierung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden könnten.“
Viele Unternehmen haben im Rahmen der Digitalisierung bereits neue Hardware für die Vernetzung angeschafft. Ein kompletter Austausch für die Umsetzung der Richtlinie wäre eine enorme finanzielle Belastung. Auch hier kann Open Source Technologie helfen: Das Unternehmen Endian bietet beispielsweise ein IoT-Security-Gateway als Software-Version an. Mit diesem Endian 4i Software lässt sich jeder Industrie-PC und jedes IoT-Gateway (x86) in eine komplette Sicherheitslösung verwandeln, um vorhandene Hardware weiter zu nutzen.
Strenge Sanktionen
Bei Verstößen gegen die Richtlinien sowie gegen die Meldevorschriften sind empfindliche Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes vorgesehen. Trotz der harten Strafen und der umfangreichen Pflichten stellt die NIS2 einen Fortschritt dar. Denn nur, wenn alle Unternehmen Cybersicherheit ernst nehmen, lässt sich die Bedrohung aus dem Cyberraum eindämmen. Davon profitieren die Unternehmen letztlich selbst.