Gesunden Menschenverstand nutzen: NIS2 und DORA umsetzen

NIS2

NIS2 ist die Weiterentwicklung der 2016 eingeführten EU-Cybersicherheitsvorschriften. Mit der Richtlinie wird der bisherige Rechtsrahmen modernisiert, um mit der zunehmenden Digitalisierung und der sich wandelnden Cyberbedrohungslage Schritt zu halten. Durch die Ausweitung des Geltungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen sollen die Widerstandsfähigkeit und die Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der EU als Ganzes weiter verbessert werden.

Die Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union sieht rechtliche Schritte vor, um das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen:

• Mitgliedstaaten sind verpflichtet sich zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netz- und Informationssysteme (NIS) gegen die Gefahren aus dem Netz zu wappnen.
• Die Zusammenarbeit zwischen allen Mitgliedstaaten wird durch die Einrichtung einer Kooperationsgruppe zur strategischen Kooperation und zum Informationsaustausch unterstützt. 
• Förderung einer Sicherheitskultur in allen Branchen, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und sich stark auf ITK-Dienste stützen, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastrukturen.

Für Unternehmen bringt NIS2 eine Reihe von Verpflichtungen, darunter:

• Unternehmen müssen die Netz- und Informationssicherheit und die digitale Infrastruktur proaktiv sichern.
• Unternehmen müssen ein NIS2-konformes Risikomanagement einführen, um Risiken für ihr Netzwerk und ihre Informationssysteme zu bewerten und zu verwalten.
• Unternehmen müssen wirksame Sicherheitsprogramme mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen einführen.

DORA

DORA steht für Digital Operational Resilience Act. Die Richtlinie zielt darauf ab, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen zu stärken und sicherzustellen, dass der Finanzsektor in Europa im Falle einer schweren Betriebsstörung widerstandsfähig bleibt. DORA bringt eine Harmonisierung der Regeln für die betriebliche Widerstandsfähigkeit des Finanzsektors, die für 20 verschiedene Arten von Finanzunternehmen und ITK-Drittdienstleistern gelten. Es geht um zwei Hauptziele: erstens das ITK-Risikomanagement und zweitens die Koordinierung der ITK-Risikomanagementvorschriften, die in den einzelnen EU-Mitgliedstaaten bereits bestehen.

Zwei wesentliche Anforderungen für Finanzinstitute:

• ITK-Risikomanagement: Finanzinstitute müssen solide und wirksame Strategien, Prozesse und Kontrollen einführen, umsetzen und aufrechterhalten, um Risiken im Bereich der Informations- und Kommunikationstechnologie (ITK) zu verwalten und zu mindern.
• Prüfung der digitalen Ausfallsicherheit: Die Unternehmen müssen ihre digitale operationelle Widerstandsfähigkeit regelmäßig testen. Dazu gehört die Durchführung von ITK-Risikobewertungen und Schwachstellenanalysen.

„Wer die beschriebenen Elemente zum Schutz der Dateninfrastruktur implementiert, muss sich keine Sorgen machen, gegen die NIS2- oder DORA-Richtlinien zu verstoßen. Wenn das IT-Team eines Unternehmens diese bewährten Praktiken jedoch ignoriert, erhöht es unbeabsichtigt das Sicherheitsrisiko für sein Unternehmen und schränkt seine Fähigkeit ein, auf eine schnelle Cyber-Wiederherstellung zuzugreifen, die die Auswirkungen eines Cyberangriffs abschwächen könnte.“

Eric Herzog, Infinidat

Implementierung auf Ebene der Dateninfrastruktur

Maßnahmen zur Minimierung von ITK-Risiken und zur Gewährleistung der Widerstandsfähigkeit gegen Cyberbedrohungen stehen im Mittelpunkt von DORA und NIS2. Um die entsprechenden Anforderungen zu erfüllen, müssen Unternehmen ihrer Dateninfrastruktur besondere Aufmerksamkeit widmen, weil der Diebstahl von Daten und/oder die Beschädigung der Dateninfrastruktur das Hauptziel von Cyberangriffen ist. Die Widerstandsfähigkeit der Dateninfrastruktur zu erreichen, kann als ein schwieriges Unterfangen erscheinen. Glücklicherweise sind die Hauptelemente einer cyberresistenten Datenspeicherung jedoch gut bekannt und nicht allzu kompliziert zu implementieren. Dazu gehören unveränderliche Snapshots, logisches/remote Air Gapping, automatische Cybererkennung, eine separierte forensische Umgebung und eine nahezu sofortige Wiederherstellung.

• Unveränderliche Snapshots: Für Unternehmen ist es von größter Wichtigkeit, unveränderliche Snapshots ihrer Daten zu erstellen. Das bedeutet, dass sie eine Funktion benötigen, die sichere, unveränderliche Kopien von Daten zu bestimmten Zeitpunkten liefert. Es reicht nicht aus, nur Snapshots zu erstellen oder sich ausschließlich auf Backups zu verlassen. Der Schlüssel liegt in der Unveränderbarkeit dieser Snapshots.
• Logisches/remote Air-Gapping: Es ist wichtig, über eine unkomplizierte Methode zu verfügen, um die unveränderlichen Snapshots logisch vom Netzzugang zu trennen. Dieser Prozess kann entweder lokal, auf Abstand oder in einer Mischform durchgeführt werden.
• Automatischer Cyberschutz verkleinert das Bedrohungsfenster: Es ist von entscheidender Bedeutung, einen potenziellen Angriff so schnell wie möglich zu erkennen und in Echtzeit auf eine erkannte Bedrohung reagieren zu können. Manuelle Überwachung und Gegenmaßnahmen sind zu langsam, um sicherzustellen, dass das Bedrohungsfenster für Cyberangriffe so klein wie möglich bleibt. Was Unternehmen daher zum Schutz ihrer Dateninfrastruktur benötigen, sind automatisierte Cybersicherheitsfunktionen, die sie nahtlos in ihre Security Operations Centers (SOC), Security Information and Event Management (SIEM), Security Orchestration, Automation, and Response (SOAR) Cybersicherheitssoftwareanwendungen integrieren können. Für weniger komplexe Umgebungen ist eine Integration mit einfachen Syslog-Funktionen erforderlich. Mit einer solchen Lösung kann ein sicherheitsrelevanter Vorfall oder ein Ereignis sofort automatisierte, unveränderliche Snapshots von Daten auslösen und so den Schutz von Daten und ihre Wiederherstellung gewährleisten.
• Separierte forensische Umgebung: Der Storage-Goldstandard für die Wiederherstellung ist die Einrichtung eines separierten forensischen Netzwerks, eines völlig privaten und isolierten Netzwerks. Es ist entscheidend für die Durchführung von Datentests, die Validierung und letztlich die Gewährleistung, dass die Daten nicht beschädigt werden und die Wiederherstellung erfolgreich ist.
• Fast sofortige Wiederherstellung nach Cyberangriffen: Mit einer geeigneten Lösung kann ein Unternehmen nach einem Cyberangriff innerhalb von Minuten eine verifizierte, saubere Kopie seiner Daten wiederherstellen, unabhängig vom Datenvolumen. Unternehmen sollten sich die Recovery Time Objective (RTO) schriftlich vom Speicheranbieter garantieren lassen.

Sorgenfreiheit

Der Storage-Schutz ist für die Gewährleistung der Datenintegrität und der Geschäftskontinuität von entscheidender Bedeutung. Es ist gut, dass es Vorschriften gibt, die einen weiteren Anreiz für Unternehmen bieten, cyberresistente Speicher ernst zu nehmen. Wer die beschriebenen Elemente zum Schutz der Dateninfrastruktur implementiert, muss sich keine Sorgen machen, gegen die NIS2- oder DORA-Richtlinien zu verstoßen. Wenn das IT-Team eines Unternehmens diese bewährten Praktiken jedoch ignoriert, erhöht es unbeabsichtigt das Sicherheitsrisiko für sein Unternehmen und schränkt seine Fähigkeit ein, auf eine schnelle Cyber-Wiederherstellung zuzugreifen, die die Auswirkungen eines Cyberangriffs abschwächen könnte. Das Befolgen von Regeln und Vorschriften sollte schließlich zum gesunden Menschenverstand gehören.