NIS2 – Wer zu spät startet, den bestraft der Hacker

Ende September fand in Berlin die PITS 2023 unter dem Motto „Digitales Immunsystem“ statt. Die Konferenz war geprägt von vielen Zweifeln und Sorgen, wie sich die IT-Sicherheit auf den aktuellen Stand bringen lässt. Die Angst vor der Künstlichen Intelligenz und der Aufwand, der mit der Umsetzung von Gesetzesinitiativen wie NIS2 und dem Cyber Resilience Act einhergeht, wurden vielfach thematisiert. Das zeigt einmal mehr die zögerliche Einstellung gegenüber jeglicher Veränderung, aber auch die unterschätzte Gefahr, selbst ins Visier von Angreifern zu geraten.

Mit EU NIS2 und dem Cyber Resilience Act standen zwei Themen im Mittelpunkt der PITS, die per Gesetzesgrundlage für einen neuen Mindeststandard in Punkto Cyber-Sicherheit sorgen sollen. Dabei bildet die EU NIS2-Direktive den europäischen Rahmen für die Betreiber kritischer Infrastrukturen und legt Cyber Security Standards in der EU fest, die innerhalb des nächsten Jahres in lokale Gesetzgebung einfließen müssen. Der Cyber Resilience Act wiederum beschreibt einen rechtlichen Rahmen, der die Cyber-Sicherheitsanforderungen für Hardware- und Softwareprodukte festlegt, die in der Europäischen Union in Verkehr gebracht werden. Wer nun dachte, dass man in Berlin eine intensive Diskussion über die schnelle Implementierung der notwendigen Maßnahmen im Rahmen der anstehenden Gesetze erleben würde, der wurde enttäuscht. Eine abwartende bis skeptische Haltung war vorherrschend, welche Schritte schon heute eingeleitet werden sollten. 

Angst und Aufklärung rund um NIS2 

Rund um das Thema NIS2 war viel Skepsis und eine ausgesprochen negative Haltung spürbar. Fragen wie „Was kommt noch alles auf uns zu?“, „Wie soll man das alles realisieren?“, „Muss man das denn wirklich machen?“ prägten die Diskussion. Viele Behörden und öffentliche Verwaltungen sehen noch nicht die Notwendigkeit, sich zu mobilisieren und die Planung sowie Umsetzung von Maßnahmen bereits jetzt in Angriff zu nehmen. Das liegt sicher auch an den langen Umsetzungsfristen, bis das Rahmenwerk von NIS2 bis zum 17. Oktober 2024 in ein Umsetzungsgesetz (NIS2UmsuCG) umgewandelt werden muss, mit einer noch längeren Karenzzeit von mehreren Jahren bis zur konkreten Einführung auf Seiten der betroffenen Organisationen. Aufgrund eines mangelnden Risikobewusstseins zum Handlungsbedarf haben Hacker genügend Zeit, weiterhin ihr Unwesen zu treiben. Dabei sollten solche Auflagen viel mehr als Chance, denn als Herausforderung gesehen werden, die Sicherheitsinfrastruktur zu modernisieren und damit an die Bedrohungslage anzupassen.

Denn Cyber-Angriffe auch auf öffentliche Einrichtungen sind ebenso Realität wie auf Unternehmen. In beiden Fällen kann ein Ransomware-Vorfall den Geschäftsbetrieb zum kompletten Erliegen bringen, wie Beispiele erfolgreich durchgeführter Attacken auf Landkreise und Städte belegen. Tritt einmal der Worst Case ein, sind die notwendigen Investitionen zur Behebung des Angriffs gegebenenfalls höher als die Lösegeldforderungen der Angreifer. Auch wenn ein solcher Cyber-Angriff der Anstoß für Veränderungen der IT-Sicherheitsinfrastruktur sein kann, so sind Investitionen in Präventivmaßnahmen vorzuziehen. Hier sollten von NIS2 positive Signale ausgehen, das Risiko für Angriffe auf die IT-Infrastruktur neu zu bewerten und vorbeugende Schutzmaßnahmen zu ergreifen. 

Gesetze als Enabler für Veränderungen

Wenn es also nicht der Ransomware-Angriff ist, dann kann ein Rahmen wie EU NIS2 der Auslöser für einen positiven Impuls sein, damit die Gelder für Investitionen in die IT-Sicherheit fließen. Immerhin ist im Umsetzungsgesetzesentwurf vorgesehen, dass 20 Prozent des operativen IT-Budgets für Security-Maßnahmen verwendet werden. Anstelle der Angst vor dem Aufwand, der mit jeglichen Veränderungen einhergeht, sollte das Potenzial des EU-weit einheitlichen Mindeststandards für Sicherheit bereits heute stärker in den Mittelpunkt der Aufmerksamkeit rücken. Ein solcher Standard muss Wachrütteln und das Risikobewusstsein auf der einen Seite wecken, andererseits aber auch die Umsetzung erleichtern, wenn es beispielsweise um die Einforderung von Mitteln für die Implementierung geht. 

Womit sich die Industrie und Behörden bereits heute auseinandersetzen sollten, ist das Fundament zu errichten, auf dem KRITIS-Infrastrukturen betrieben werden können. Dazu gehören eine Harmonisierung des Notfallmanagements und eine Neubewertung des vorhandenen Risikos ebenso wie eine Inventarisierung aller IT-Assets und die Kategorisierung aller Datenbestände hinsichtlich ihrer Kritikalität. In diesem Zuge ist ebenfalls Transparenz in alle Datenströme erforderlich, um den Ist-Stand aller schützenswerten Daten, Strukturen und Prozesse zu erfassen. Auf diese Weise kann das Risiko eines Angriffs vorab abgeschätzt und quantifiziert werden als Grundlage für die Entscheidung für adäquate Schutzmaßnahmen. 

Zero Trust und Zscaler Risk360 – der Weg in eine sichere IT-Landschaft

KI, also Künstliche Intelligenz, kann bei der Risikobewertung wertvolle Hilfestellung leisten. Denn mit KI können Echtzeitanalysen von Bedrohungslagen durchgeführt sowie die Dateninventarisierung und die Sicherheitsüberprüfung sehr viel performanter unterstützt werden als durch manuelle Korrelation verschiedenster Faktoren. Risk360 unterstützt beispielsweise durch ein umfassendes Rahmenwerk bei der Quantifizierung und Visualisierung von Risiken und fördert damit den Einblick in die Sicherheitslage. Es werden Echtzeit-Daten verarbeitet, um Erkenntnisse über potenzielle Cyber-Risiken und deren geschätzte finanzielle Auswirkungen als Entscheidungsgrundlage bereitzustellen. Mehr dazu erfahren Behörden und Organisationen auf der IT-SA in Nürnberg am Mittwoch, den 11. Oktober 2023 um 17:00 Uhr im Forum E, Halle 7A im Rahmen des Vortrags „Sicher in die IT-Zukunft - Innovationen in der IT-Sicherheit“, der Hilfestellung zu den nächsten Schritten zur NIS2 Compliance bietet.

Die zweite unumgängliche Maßnahme ist die Umsetzung von Zero Trust-Prinzipien. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat auf dem PITS-Kongress ins gleiche Horn geblasen. Zero Trust hilft, das Risikoniveau zu senken und den Reifegrad der IT zu erhöhen. Eine BSI C5-Zertifizierung eines Herstellers hilft den Behörden bei der Auswahl des Anbieters. Ein solches Attestat  bedeutet für Behörden, dass sie die angebotenen Lösungen auch Compliance-konform nutzen können. Eine weitere Zertifizierung mit Relevanz für Behörden ist die ISO 27000 001. Sie wird wahrscheinlich zum Nachweis für die Auditoren werden für die Umsetzung der NIS2 Direktive in Organisationen.

Angreifern einen Schritt zuvorkommen

Die Umsetzung von NIS2UmsuCG wird unweigerlich notwendig werden, auch wenn Behörden und Organisationen derzeit noch die Augen davor verschließen. Gleichzeitig wächst die Bedrohung durch Cyberangriffe durch den Einsatz von KI auf Seiten der Angreifer stetig. Verwaltungen und Behörden sollten sich lieber früher denn später der Verantwortung stellen, Daten in einer digitalisierten Gesellschaft den Schutz zukommen zu lassen, die sie verdienen. Darum sollte jetzt in die Planung eingestiegen werden und nicht nur die Mindestanforderung auf der Agenda stehen, sondern direkt in eine zukunftssichere Security-Infrastruktur auf Basis von Zero Trust investiert werden.