6 Schritte, die Ihnen bei der Einhaltung der NIS2-Compliance helfen

Der Countdown für die Umsetzung der neuen NIS2-Richtlinie läuft bereits auf Hochtouren. Den Unternehmen und Einrichtungen in den EU-Mitgliedstaaten bleibt noch bis zum 17. Oktober 2024 Zeit, um ihre Security-Systeme und Strategien an die neuen Vorgaben anzupassen. Die Nichteinhaltung der Bestimmungen nach diesem Datum kann mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.

In Kombination mit den GDPR-Strafzahlungen, den steigenden Kosten für Datenschutzverstöße und den irreparablen Schäden, die Cyberangriffe mit Blick auf das Kundenvertrauen und den Ruf der Marke nach sich ziehen können, dürften Verstöße gegen die NIS2-Vorgaben für Unternehmen jeder Größe katastrophale Folgen haben. Aber was kann Ihr Security-Team tun, um die Risiken zu minimieren? Und wie kann eine moderne Identitätslösung in diesem Szenario helfen? In diesem Blog werden wir all diese Fragen beantworten.

Sechs Schritte, um sich auf die NIS2 vorzubereiten

Schritt #1 Identifizieren Sie Ihre Cyberrisiken

Cybersecurity-Risiken zu identifizieren, hatte für CISOs schon immer oberste Priorität – doch mit der Einführung von NIS2 gewinnt es noch einmal deutlich an Bedeutung. Diese neuen Gesetze nehmen Unternehmen und Einrichtungen in die Pflicht, geeignete technische, betriebliche und organisatorische Maßnahmen zu ergreifen, um die Risiken besser zu beherrschen. So gesehen ist es von entscheidender Bedeutung, über die richtigen Prozesse, Systeme und Technologien zu verfügen, um Bedrohungen schnell zu erkennen, ihre Auswirkungen fundiert zu bewerten und die Risiken zu minimieren.

Schritt #2 Bewerten Sie Ihr Security-Standing

Sie haben Ihre Risiken also evaluiert. Doch wie gehen Sie nun mit ihnen um – und wer im Unternehmen ist für sie verantwortlich? Eine Studie von Tessian hat ergeben, dass fast 85 % aller Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind¹. Sie sollten also als Nächstes Ihre Security-Maßnahmen auf den Prüfstand stellen. Für die Security ist jeder einzelne verantwortlich, und es sollte stets transparent sein, wer für die Übernahme von Risiken und das Management von Problemen verantwortlich ist. Wenn Sie Ihre Risikotoleranz und die Maßnahmen zur Risikominimierung detailliert definieren, erhalten Sie eine klare Vorstellung davon, wo Verbesserungen und Investitionen in die Security vorzunehmen sind.

Schritt #3 Schützen Sie privilegierte Zugriffe

Privilegierte Benutzer sind das häufigste Ziel von Account-Übernahmen. Einmal im Netzwerk, können Angreifer diese Accounts missbrauchen, um Daten zu stehlen, kritische Infrastrukturen auszuschalten und wichtige Dienste herunterzufahren. Um das zu verhindern, empfiehlt die NIS2 die Umsetzung der folgenden Best Practices:

• Verzichten Sie soweit wie möglich auf privilegierter Zugriffe – Kontrollieren und validieren Sie streng alle Zugriffe auf privilegierte Konten und deren Verwendung. Die Nutzung dieser Konten sollte auf ein Minimum beschränkt werden. Regelmäßig wiederkehrende Aufgaben sollten nach Möglichkeit automatisiert werden.
• Kontinuierliche Authentifizierung – Als integraler Bestandteil einer Zero-Trust-Strategie gilt es, den Zugriffskontext von Device-Typ, Benutzer und Standort kontinuierlich zu evaluieren, da er wichtige Parameter für die Definition von Re-Authentifizierungsanforderungen und -faktoren liefert.
• Protokollierung der Zugriffe – Eine starke Access Control umfasst stets auch einen Prüfpfad für die Benutzeraktivitäten in Systemen und Netzwerken. Die können Protokoll-Analysen nutzen, um die Authentifizierungsversuche der Benutzer über eine Vielzahl von Anwendungen und Infrastrukturen hinweg zu verfolgen – idealerweise anhand der Protokolle von Security-Systemen, die mögliche Angriffe aufzeichnen. Solche Log-Analysen sind der Schlüssel, um Bedrohungen proaktiv zu erkennen, die Incident Response zu optimieren und das Security-Standing Ihres Unternehmens zu stärken.

Schritt #4 Schützen Sie sich vor Ransomware

Ransomware ist heute ein großes Problem für jedes Unternehmen – und einer der Hauptgründe für die NIS2-Richtlinie. Um sich proaktiv davor zu schützen, muss Ihr Security-Team angemessene Security-Maßnahmen und Best Practices umsetzen, die Ransomware-Angriffe schon an ihrem Ursprung stoppen. Wie würden Sie reagieren, wenn Sie Ihre kritische Infrastruktur aufgrund von Ransomware verlieren würden? Was würden Sie tun, um den Betrieb aufrechtzuerhalten? Und wie würde sich all das auf Ihre Kunden auswirken? Ein detailliertes Playbook für unterschiedliche Szenarien stellt sicher, dass alle Betroffenen wissen, wie mit Ransomware umzugehen ist. Dabei gibt es einige Vorsichtsmaßnahmen, um die Wahrscheinlichkeit eines Angriffs zu minimieren und die Auswirkungen von Ransomware zu reduzieren:

• Aufklärung und Sensibilisierung – Vorbeugen ist besser als beheben, und regelmäßige Awareness-Schulungen sind unverzichtbar, um Ransomware-Angriffe zu verhindern. Ihre Mitarbeiter müssen wissen, wie sie Phishing-E-Mails und bösartige Websites erkennen.
• Sichere Backup-Prozesse – Die Sicherung von Daten an einem abgesetzten Speicherort mit streng begrenztem Zugriff ist der Schlüssel zur erfolgreichen Wiederherstellung Ihrer Systeme nach einem Ransomware-Angriff. Wenn Sie die Backup-Prozesse regelmäßig testen und die zugehörige Dokumentation stets aktuell halten, sorgen Sie dafür, dass Sie im Fall der Fälle schnell wieder handlungsfähig sein werden.
• Härtung der Endgeräte – Mit Least Privilege Access, Härtungs-Benchmarks, Port-Beschränkungen und strenger Netzwerksegmentierung stehen Ihnen zahlreiche Best Practices zur Verfügung, um Ransomware-Versuche zu verhindern und sich davor zu schützen.

Schritt #5 Führen Sie eine Zero-Trust-Strategie ein

Klassische perimeterbasierte Security-Architekturen sind für die moderne, offene Welt der Cloud-Dienste und der hybriden Workforces nicht geeignet. Stattdessen muss Ihr Unternehmen eine Zero-Trust-Strategie einführen, bei der jeder Zugriff und Benutzer zunächst als potenzielles Risiko bewertet wird. Durch eine konsequent Kontext-basierte Authentifizierung – etwa mit Blick auf den Benutzer, den Gerätetyp, den Standort und die Häufigkeit der Zugriffe, lassen sich die Authentifizierungsprozesse so abstimmen, dass ein optimaler Schutz von Systemen und Daten gewährleistet ist.

Schritt #6 Stellen Sie Ihre Software-Lieferkette auf den Prüfstand

Die dramatische Zunahme von Supply-Chain-Angriffen war ein weiterer wichtiger Beweggrund, der für die EU-Regulierungsbehörden den Ausschlag zur Ausarbeitung der neuen NIS2-Richtlinie gab. In Anbetracht dessen sollten Unternehmen ihre Software-Lieferkette auf den Prüfstand stellen und einige wichtige Maßnahmen ergreifen:

• Sicherer Quellcode – Implementieren Sie strenge IAM-Kontrollen, um zu regeln, wer, was, wo und wann Zugriff erhält. MFA sollte dabei verpflichtend sein, denn sie bietet einen wichtigen zusätzlichen Schutz vor der Kompromittierung von Anmeldedaten.
• Change Management – Automatisieren Sie die Verwaltung von Änderungen, Codesignaturen und Code Commits, um die Sicherheit und Nachvollziehbarkeit der Prozesse zu gewährleisten – und zu verhindern, dass vertrauliche Daten in Quellcode-Repositories geladen werden.
• Security Testing – Integrieren Sie automatisierte End-to-End-Security-Tests, um Bugs und Fehler im Code schon vor der Veröffentlichung zu identifizieren. Achten Sie dabei auch darauf, dass Ihre Lieferanten robuste statische und dynamische Application-Security-Tests (SAST/DAST) durchführen.

Wie können Sie starke Identitäten bei der Sicherstellung der NIS2-Compliance unterstützen?

In der zunehmend digitalen Welt von heute sind starke Identitäten das Fundament, auf dem moderne Security-Architekturen stehen – von den Richtlinien und Betriebsabläufen bis hin zu den IT-Systemen, die den Zugang zu wichtigen Informationen eines Unternehmens regeln. Hier sind einige Beispiele, die illustrieren, wie eine moderne Identity-Lösung bei der Sicherstellung der NIS2-Compliance helfen kann:

Sie ermöglicht eine feingranulare Access Control.

In jedem Unternehmen gibt es sensible Dokumente, Programme und Aufzeichnungen. Wenn Sie diese zu streng schützen, wird das Ihre Prozesse ausbremsen. Wenn Sie sie offen teilen, kann dies katastrophale Folgen für die Sicherheit Ihres Unternehmens haben. Wenn Sie die Zugriffsrechte anhand individueller Rollen innerhalb des Unternehmens vergeben, erhalten stets nur die richtigen Personen Zugang zu den benötigten Ressourcen – wann und wie sie sie benötigen. Im Zusammenspiel mit detaillierten Kontext-basierten Zugriffsrechten ermöglichen es starke Identitäten Ihrem Unternehmen, Zugriffe automatisiert zu analysieren, zu validieren und zu überprüfen – und so sicherzustellen, dass jeder Zugang widerrufen werden kann, sobald er nicht mehr benötigt wird.

Identitäten stärken die Authentisierungsprozesse

Benutzernamen und Passwörter sind für Mitarbeiter und Kunden nicht nur lästig, sondern gefährden auch ihre Daten. Zeitgemäße Identity-Lösungen fügen mit starker Multi-Faktor-Authentifizierung eine wichtige weitere Sicherheitsebene hinzu. Diese hilft Ihnen, die Gefahr von Datenschutzverletzungen durch den gestohlene Zugangsdaten zu eliminieren und stellt sicher, dass jeder Benutzer derjenige ist, der er zu sein vorgibt. MFA kann bei Bedarf um Phishing-resistente Authentifikatoren wie Okta FastPass und FIDO2 WebAuthn verbessert werden. So erreichen Sie ein Höchstmaß an Sicherheit und Benutzerfreundlichkeit – und beweisen, dass man das Beste aus beiden Welten haben kann.

Identitäten ermöglichen eine schnellere Incident Response

Unternehmen sind mit einer steigenden Zahl von Bedrohungen und Angriffen konfrontiert. Um Probleme zeitnah zu bewerten, zu verhindern und zu korrigieren, müssen die Prozesse jederzeit überprüfbar und die Verantwortlichkeiten nachvollziehbar sein. Mit einem starken, feingranularen Access Management bleibt Ihr IT-Team jederzeit handlungsfähig. So kann es Systeme zeitnah analysieren und wiederherstellen – und die Auswirkungen eines Angriffs für Ihr Unternehmen und Ihre Kunden minimieren.

Identitäten erleichtern das Monitoring der Compliance-Einhaltung

Ein starkes Identity Management ermöglicht es Unternehmen, Benutzeraktivitäten zu überwachen und zu dokumentieren, um so die Einhaltung der Vorgaben zu gewährleisten. Auf diese Weise können die Security- und Compliance-Teams auch jederzeit ihrer Rechenschaftspflicht nachkommen, da sie wissen, wer wann auf bestimmte Ressourcen zugegriffen hat. Viele Compliance-Bestimmungen nehmen Unternehmen in die Pflicht, strenge Zugangskontrollen und MFA in die Standardprozesse zu implementieren, um das Security-Standing zu stärken und sicherzustellen, dass die Mitarbeiter aktuelle Best Practices befolgen. Mit der Einführung Phishing-resistenter MFA-Verfahren und der Vermeidung von Passwörtern schließen Unternehmen gefährliche Bedrohungsvektoren, stellen die Weichen für ein Höchstmaß an Sicherheit und Usability und erleichtern die Einhaltung unterschiedlichster Compliance- und Audit-Vorgaben.

Sind Sie sich immer noch nicht sicher, ob Ihr Unternehmen fit für die NIS2 ist? Wenn Sie mögliche Sicherheitslücken in Ihrem Unternehmen identifizieren und mehr darüber erfahren möchten, wie starke Identitäten Ihr IT- und Security-Team bei der Einhaltung aller Vorgaben unterstützen, wenden Sie sich an unser Team.

^{1.The Psychology of Human Error, Tessian
https://www.tessian.com/research/the-psychology-of-human-error/}