pickup adobe
NIS2: Die Cloud-Sicherheit auf den Prüfstand stellen
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zu Cybersicherheit Wer vorausschauend plant, überprüft seine IT-Strategie jetzt – auch die Anwendungen in der Cloud.
Bislang hat sich die KRITIS-Verordnung auf größere Unternehmen beschränkt, doch mit der am 16. Januar 2023 in Kraft getretenen EU-Richtlinie NIS2 ändert sich das: Sobald sie im nationalen Recht umgesetzt ist, betreffen die für kritische Infrastrukturen geltenden Mindestanforderungen an die Cybersicherheit eine breite Masse der deutschen Firmen. Wer vorausschauend planen will, überprüft seine IT-Sicherheitsstrategie jetzt – mit einem prüfenden Blick auf die Anwendungen in der Cloud.
Bis Ende 2024 hat die Legislative Zeit: Spätestens dann muss sie die EU-Direktive NIS2 in nationales Recht eingebettet haben – und daran arbeitet sie bereits auf Hochtouren: Vor der diesjährigen Sommerpause ist das KRITIS-Dachgesetz geplant und Ende des Jahres 2023 soll das IT-Sicherheitsgesetz 3.0 fertiggestellt und dem erweiterten Geltungsbereich von NIS2 angepasst sein. Doch was bedeutet das für die betroffenen Firmen? Eine Überprüfung der IT-Sicherheit steht an, insbesondere im Hinblick auf die Cloud.
Wen die KRITIS-Mindestanforderungen betreffen
Die EU-Richtlinie hat erhebliche Auswirkungen darauf, wie viele Unternehmen von den neuen Bestimmungen betroffen sind: Sie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen und ermittelt die Zugehörigkeit künftig nach „uniformen Kriterien", anstatt sie weiterhin nach Schwellenwerten zu bewerten. Zu den wichtigen Organisationen zählen Firmen mit 50 bis 250 Beschäftigten, die einen Umsatz von zehn bis 50 Millionen Euro und eine Bilanz von weniger als 43 Millionen Euro vorweisen. Für sie gelten die Mindestanforderungen, die in der Direktive formuliert sind. Zusätzlich müssen die Betreiberfirmen von kritischen Infrastrukturen die Sicherheit der Lieferkette gewährleisten, was bedeutet, dass Zulieferbetriebe ebenfalls ihre IT-Sicherheitsarchitektur auf den neuesten Stand bringen sollten.
Denn Führungskräfte müssen jetzt dafür sorgen, dass die unternehmenseigenen Security-Maßnahmen dem Arbeitsalltag gerecht werden und den Anforderungen des KRITIS-Dachgesetzes und des IT-Sicherheitsgesetzes 3.0. entsprechen. Verstöße können nämlich teuer werden: „Wesentliche“ Einrichtungen müssen mit Sanktionen von mindestens zehn Millionen Euro oder zwei Prozent des Jahresumsatzes rechnen, „wichtige“ mit mindestens sieben Millionen oder 1,4 Prozent.
Wie steht es um die Anwendungen in der Cloud?
Ohne Cloud-Dienste kommt heute kaum noch eine Firma aus. Deshalb ist es bei einer Überprüfung der IT-Sicherheitssysteme sinnvoll, die Cloud-Anwendungen in den Fokus zu rücken. Denn sie erhöhen die Angriffsfläche und die Anzahl der potenziellen Einfallstore für Cyberkriminelle. Es empfiehlt sich einen ganzheitlichen Cloud-Security-Ansatz zu fahren. Betriebe, die in einen solchen investieren, sind auch auf zukünftige Entwicklungen bei den Bedrohungen und strengere regulatorische Anforderungen vorbereitet.
Was auch immer Unternehmen nutzen – Private-, Public-, Hybrid- oder Multi-Cloud –, mit flexiblen Security-Modellen ist der Schutz der Unternehmenssysteme auch für die Zukunft gerüstet. Mit ihnen lassen sich passende Sicherheitslösungen auswählen, die je nach Bedarf adaptiert werden können. Ziel ist es dafür zu sorgen, dass Systeme und Daten im sich stets wandelnden Geschäftsalltag optimal geschützt bleiben.
Was bringt ein ganzheitlicher Cloud-Security-Ansatz?
Eine ganzheitliche Cloud-Security-Strategie ist ein Stützpfeiler für die Sicherheit und Resilienz von kritischen Infrastrukturen. Was aber muss sie beinhalten, um effizient zu sein?
Einen Überblick über den Ist-Stand: Durch die Überwachung und Analyse von Cloud-Umgebungen und der darin enthaltenen Daten lässt sich nachvollziehen, wie Systeme genutzt werden und wo potenzielle Sicherheitslücken bestehen. So können Unternehmen frühzeitig auf Bedrohungen reagieren und Sicherheitsmaßnahmen gezielt anpassen. Dafür eignen sich SIEM-Systeme (Security Information and Event Management).
Den Schutz am Netzwerk-Edge: Die Sicherheitslösungen sind an der Grenze des Unternehmensnetzwerks platziert, um einen Schutz vor Bedrohungen aus dem Internet oder anderen externen Netzwerken zu gewährleisten. So lassen sich kritische Infrastrukturen durch den Einsatz von Firewalls, Intrusion Detection und Prevention Systeme (IDPS) und andere Sicherheitstechnologien schützen.
Zugriffssicherheit: Einen unbefugten Zugriff auf kritische Systeme und Daten verhindern IAM-Lösungen (Identity und Access Management). Sie helfen Benutzeridentitäten zu verwalten und den Zugang zu Cloud-Ressourcen zu kontrollieren. Dies umfasst auch die Implementierung von Multifaktor-Authentifizierung (MFA), um die Sicherheit von Anmeldeinformationen zu erhöhen.
Kontrolle über den Datenaustausch: Mit dem Einsatz von Cloud-Access-Security-Brokern (CASB) und Data Loss Prevention (DLP) überwachen und steuern Betriebe die Kommunikation innerhalb und außerhalb der Cloud-Umgebung. Sie können damit den Datenverkehr analysieren und gewährleisten, dass keine sensiblen Informationen ungeschützt übertragen oder gespeichert werden.
Regelmäßige Überprüfung der Einstellungen: Sind die Cloud-Security-Tools sorgfältig konfiguriert worden und werden die Einstellungen regelmäßig überprüft, lassen sich mögliche Fehlkonfigurationen vermeiden. Die Wirksamkeit der Sicherheitsmaßnahmen bleibt gewährleistet.
Wie externe Dienstleister arbeiten
Die Implementierung einer ganzheitlichen Cloud-Security-Strategie erfordert in der Regel spezielle Expertise und Ressourcen, die vielen Firmen intern nicht zur Verfügung stehen. In dieser Hinsicht können externe Dienstleister wie Managed Security Services Provider (MSSP) eine wertvolle Unterstützung bieten. Die Experten beraten, wie eine maßgeschneiderte Cloud-Security-Strategie aussieht und können bei der Überwachung und dem Betrieb von Security-as-a-Service-Paketen unterstützen. Durch ein Security Operations Center (SOC) ist es möglich, Systeme umfassend zu überwachen und auf Cyberangriffe in Echtzeit zu reagieren.
„Eine ganzheitliche Cloud-Security-Strategie ist ein Stützpfeiler für die Sicherheit und Resilienz von kritischen Infrastrukturen.“
Tobias Olgemöller Axians IT Security
Das Team aus Sicherheitsexperten konzentriert sich ausschließlich auf die Überwachung, Analyse und Reaktion auf Cyberbedrohungen. Es sammelt kontinuierlich Daten aus verschiedenen Quellen, wie Netzwerkgeräten, Cloud-Diensten und Endgeräten, um potenzielle Angriffe zu erkennen und schnell darauf reagieren zu können. Das SOC nutzt spezielle Tools wie SIEM (Security Information and Event Management) und IDS/IPS (Intrusion-Detection/Prevention-Systeme), um die erfassten Daten in Echtzeit zu analysieren und mögliche Sicherheitsvorfälle zu identifizieren. Sobald ein Angriff erkannt wird, leitet das SOC umgehend geeignete Gegenmaßnahmen ein und koordiniert die Reaktion mit anderen Teams innerhalb des Unternehmens oder externen Dienstleistern.
Fazit: Investitionen in Cloud-Sicherheit lohnen sich
Die eigenen IT-Sicherheitssysteme zu adaptieren ist jetzt für eine breite Masse an deutschen Firmen relevant. Insbesondere im Hinblick auf die Anwendungen in der Cloud. Wenn sie in ein ganzheitliches Cloud-Security-Konzept investieren, sind sie auch auf zukünftige Entwicklungen bei den Bedrohungen und strengere regulatorische Anforderungen vorbereitet. Denn damit verwalten sie alle sicherheitsrelevanten Technologien und gewährleisten den Schutz der betriebseigenen Daten und Systeme. Unternehmen, die keine internen Ressourcen haben, können sich an externe Dienstleister wenden, um eine maßgeschneiderte Cloud-Security-Strategie zu erhalten. Zur Unterstützung des hauseigenen IT-Teams kann ihm ein Spezialisten-Team zur Seite gestellt werden. Dieses überwacht und analysiert Cyberbedrohungen in Echtzeit und koordiniert die Reaktion auf mögliche Angriffe. Die Investition in Cloud-Security lohnt sich – nicht nur für Organisationen, die mit den neuen regulatorischen Anforderungen konfrontiert sind.
Über den Autor:
Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security. Tobias Olgemöller ist Master of Science in Wirtschaftsinformatik. Seine Schwerpunkte liegen auf Firewalls mit Features (VPN, IPS/IDS, Application Control, Anti-Malware, Anti-Bot, Web Security, Sandboxing) Proxys und Cloud Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.