MH - Fotolia
Risikomanagement: Wie Unternehmen NIS2-konform werden
Die überarbeitete NIS2-Richtlinie verschärft die Verpflichtungen im Risikomanagement. Firmen in der EU müssen Cyberrisiken effizienter erkennen, bewerten und minimieren.
Die EU-Kommission will die Fähigkeiten in Bezug auf in der EU stärken und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen fördern. Die überabeitete NIS2-Richtlinie verfolgt dabei vor allem das Ziel, Schäden an kritischen Infrastrukturen zu verhindern.
Es ist daher ratsam, dass Unternehmen ihre Cybersicherheitsstrategie schon jetzt überprüfen und gegebenenfalls anpassen. Immerhin müssen Sicherheitsprojekte sorgfältig und langfristig geplant werden. Doch wie setzen Unternehmen konkret die neuen Vorgaben um und was ist überhaupt zu leisten?
Cyberrisikomanagement ist jetzt Chefsache
Die EU legt im Rahmen von NIS2 primär bereits allgemein akzeptierte Best Practices für Sicherheitsmaßnahmen fest. Dazu gehören etwa ein Notfallplan, Bedrohungserkennungssysteme und ein Business Continuity Management. Für diejenigen, die solche Maßnahmen und Strategien bereits etabliert haben, gibt es dementsprechend kaum Veränderungen. Neu ist jedoch, dass die NIS2-Direktive das Risikomanagement in den Fokus rückt. Und das aus gutem Grund, denn immerhin gehören Cybervorfälle und daraus resultierende Betriebsunterbrechungen zu den größten Geschäftsrisiken. Daher ist es rein aus wirtschaftlichen Gründen für Unternehmen ratsam, diese zu minimieren. Dazu kommt noch, dass Cyberangriffe auch dem Wohl der Gesellschaft im Hinblick auf kritische Infrastrukturen schaden können. NIS2 schreibt aus diesen Gründen Cyberrisikomanagement für KRITIS-Betreiber vor und macht dieses zur Chefsache: Die Verantwortung für die Erkennung, Bewertung und Reduzierung von Cyberrisiken liegt bei den Geschäftsführungen persönlich. Sollten die Vorschriften verletzt oder missachtet werden, können Bußgelder in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes anfallen.
Laut einer Studie von Trend Micro sind deutsche Unternehmen jedoch diesbezüglich auf dem richtigen Weg: Immerhin diskutieren 51 Prozent der befragten IT-Teams mindestens einmal pro Woche dringliche Cyberrisiken mit der Geschäftsleitung. Die IT-Verantwortlichen stehen dabei in der Pflicht, dem Management zu vermitteln, wo die Risiken für das Unternehmen bestehen, wie gefährlich diese sind und was die besten Gegenmaßnahmen sind.
Wie Risikomanagement im Unternehmen funktioniert
Risikobewertung ist keine einmalige Angelegenheit, sondern eine ständige Herausforderung im Unternehmen. Jede kleine Änderung in der IT-Welt und jede Verschiebung innerhalb der Cyberkriminellen-Branche oder der Sicherheitsforschung kann dazu führen, dass sich der Risikostatus plötzlich ändert. Auch wenn man sich gestern noch sicher wähnte, kann plötzlich akuter Handlungsbedarf aufgrund der neuen Cloud-Instanz, des gerade eingespielten Patches oder der neu veröffentlichten Schwachstelle auftreten. Die Höhe des Risikos hängt dabei immer von der Wahrscheinlichkeit des Eintritts und dem potenziellen Schaden ab. Beides ist individuell abhängig von der Situation im jeweiligen Unternehmen.
Um sein Risiko sinnvoll bewerten zu können, ist es erforderlich, sowohl interne Sicherheitsinformationen bezüglich der eigenen Angriffsfläche als auch externe Sicherheitsinformationen zu aktiven Hackergruppen und Angriffsmustern zu berücksichtigen. Zum Beispiel kann eine ältere Schwachstelle, die häufig attackiert wird, gefährlicher sein als eine neue, die im CVSS-Wert aber als kritischer eingestuft wird. Dies gilt insbesondere, wenn ein Unternehmen zur Zielgruppe bestimmter Akteure gehört. Die Fähigkeit, die individuell höchsten Risiken zu priorisieren und anzugehen, wird als Risikomanagement bezeichnet.
Risiken überwachen und minimieren
Ein wichtiger Teil des Cyberrisikomanagements ist die Vorbereitung auf mögliche Angriffe. Dabei sind eine effektive Erkennung und Reaktion von essenzieller Bedeutung. Ebenenübergreifende Detection-and-Response-Technologie (XDR) verwendet zu diesem Zweck zahlreiche verschiedene Sensoren und sammelt die Daten in einem Data Lake, wo sie schließlich KI-gestützt analysiert werden. Eine Partnerschaft mit einem Managed Security Services Provider kann die internen Security-Mitarbeiter noch weiter entlasten. MSSPs verfügen über spezialisierte Security-Analysten, die alle eingehenden Warnmeldungen und Events analysieren. Sobald sie einen auffälligen Vorgang entdecken, informieren sie das Unternehmen und unterstützen bei der weiteren Untersuchung.
„Nicht nur kommen mit NIS2 sieben neue KRITIS-Sektoren hinzu, auch die Schwellenwerte wurden erheblich gesenkt. In der Praxis wirkt sich NIS2 also auf nahezu alle Unternehmen aus.“
Richard Werner, Trend Micro
Ein weiterer Baustein für das Cyberrisikomanagement liegt in der tagesaktuellen, globalen Threat Intelligence, die einige Sicherheitsdienstleister anbieten. Die Experten sammeln und analysieren Sicherheitsinformationen aus einer Vielzahl von eigenen und branchenweiten Quellen und können so ein aktives Warnsystem bilden. Threat-Intelligence-Initativen vereinen dabei die Expertise unabhängiger Sicherheitsforscher aus der ganzen Welt. Außerdem nutzen Sicherheitsanbieter die Telemetriedaten ihrer Systeme und führen eigene Untersuchungen durch, um beispielsweise herauszufinden, wie Cyberkriminelle neue Technologien und Methoden wie KI einsetzen. Weiterhin überwachen sie Aktivitäten im Darknet und können so schnellstens Alarm schlagen. Die Sicherheitsexperten eines MSSP wissen, welche Hackergruppen besonders gerne welche Schwachstellen ausnutzen und wie sie bei ihren Angriffen oftmals vorgehen. Damit sind sie ein unschätzbarer Verbündeter für das unternehmenseigene Risikomanagement.
NIS2 wirkt sich auch auf die Lieferkette aus
Es lohnt sich, Cyberrisikomanagement zeitnah umzusetzen und nicht bis zur finalen deutschen Gesetzgebung zur NIS2-Richtlinie zu warten. Denn der Ansturm auf MSSP-Ressourcen wird aller Voraussicht nach groß. Nicht nur kommen mit NIS2 sieben neue KRITIS-Sektoren hinzu, auch die Schwellenwerte wurden erheblich gesenkt. In der Praxis wirkt sich NIS2 also auf nahezu alle Unternehmen aus. Mit Managed XDR können Unternehmen jedoch die Herausforderungen im Risikomanagement einfach und effizient meistern. Die Lösungen arbeiten Cloud-basiert, KI-gestützt und automatisiert. So sind Unternehmen gut auf NIS2 vorbereitet und sichern ihre Geschäftskontinuität.
Nicht zu vergessen dabei ist die Einschätzung der eigenen Lieferkette, die ebenso Teil der vorgeschriebenen IT-Risikobetrachtung sein wird. NIS2 fokussiert sich dabei auf die IT-Leistungsfähigkeit. Konzentriert wird sich vor allem auf Softwareverknüpfungen sowie den Austausch von elektronischen Daten. Je enger IT-Systeme miteinander verbunden sind, desto höher die Anforderung an die Risikoeinschätzung. Auch diese Forderung von NIS2 ist eigentlich lediglich eine zu Papier gebrachte Dokumentation von Best-Practice-Empfehlungen. In der Konsequenz werden KRITIS-Unternehmen Fragen der IT-Security zu Auswahlkriterien ihrer Lieferkette machen. Solange deutsche Unternehmen jedoch oben genannte Best Practices umsetzen und zu diesem Zweck einen kompetenten Partner als MSSP hinzuziehen, sollte die NIS2-Konformität keinerlei Problem darstellen. So schützen sie ihre eigene Wirtschaftlichkeit und das Gemeinwohl der Gesellschaft.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.