:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Cybersicherheitspraktiken gekonnt managen Große Herausforderungen durch NIS2-Richtlinie
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Die im Januar diesen Jahres in Kraft getretene NIS2-Richtlinie hat tiefgreifende Auswirkungen auf die Cybersicherheitspraktiken von öffentlichen und privaten Einrichtungen innerhalb der EU. Worauf müssen sich Unternehmen hier einstellen? Wie lässt sich die Richtlinie adäquat in der Praxis umsetzen? Und welche Rolle spielt dabei ein effizientes Identitäts- und Berechtigungsmanagement?
Bereits im Juli 2016 hat die Europäische Union die sogenannte Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie) erlassen. Das Regelwerk wird nun durch die im Dezember 2022 veröffentlichte NIS2-Richtlinie ersetzt. Dies wurde erforderlich, um dem wachsenden Bedrohungspotenzial durch die Digitalisierung und der stark zunehmenden Zahl an Cyberangriffen gerecht zu werden. Ziel dabei ist es, die IT-Sicherheit im europäischen Raum signifikant zu erhöhen und die nationalen Maßnahmenpakete der einzelnen Länder noch weiter zu vereinheitlichen. Damit sind die EU-Mitgliedstaaten nun im Zugzwang: Sie müssen innerhalb von etwa 20 Monaten die Richtlinie in nationales Recht umsetzen.
:quality(80)/p7i.vogel.de/wcms/cd/22/cd2205230a5d498e7b84c2cc6b8fd827/0110983933.jpeg "Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für KRITIS-Unternehmen Einheitlichkeit schaffen. (Bild: SG- design - stock.adobe.com)")
Security-Maßnahmen erforderlich
NIS2-Richtlinie: Warum KMU dringend in IT-Security investieren sollten
NIS2-Richtlinie adressiert wesentliche und wichtige Einrichtungen
Bereits mit der ursprünglichen NIS-Richtlinie hatte die EU einen verbindlichen Rechtsrahmen für einen wirksamen Schutz vor Cyberbedrohungen aller Art geschaffen. So ließ sich insbesondere auch die Widerstandsfähigkeit von IT-Systemen und Netzwerken erhöhen, die zu den kritischen Infrastrukturen (KRITIS) gehören. Die NIS2-Richtlinie geht nun noch einen Schritt weiter: So dehnt sich der ursprüngliche Anwendungsbereich auf neue wesentliche und wichtige Einrichtungen aus und umfasst jetzt auch Institutionen der öffentlichen Verwaltung. Die Akteure müssen in Zukunft sämtliche sicherheitsrelevanten Vorfälle innerhalb ihrer IT-Infrastrukturen unverzüglich melden und bestimmten Kontrollmechanismen der nationalen Aufsichtsbehörden zustimmen. Auf diese Weise sollen sich mögliche Sicherheitsrisiken besser antizipieren und wirksame Gegenmaßnahmen gezielter anstoßen lassen. Werden die Bestimmungen nicht konsequent eingehalten, drohen empfindliche Sanktionen wie Geldstrafen und Bußgelder, die sich mit NIS2 weiter verschärft haben.
Die praktische Umsetzung der NIS2-Richtlinie stellt die betroffenen Institutionen vor große Herausforderungen: So sind diese verpflichtet, adäquate technische und organisatorische Sicherheitsmaßnahmen zu implementieren, welche die jeweiligen Risiken adressieren. Unabdingbar hierfür ist ein Wissen um die typischen Gefahren der neuen Technologien und IT-Praktiken. So verlangt NIS2 von den Betrieben eine regelmäßige Risikobewertung im Hinblick auf die Cybersicherheit. Zudem müssen wesentliche und wichtige Einrichtungen vorbeugende Maßnahmen zum Schutz vor Sicherheitsvorfällen umsetzen. Dies erfordert durchdachte technische und auf die spezifischen Anforderungen passgenau zugeschnittene Lösungen.
Identitäts- und Berechtigungsmanagement als Schlüssel für NIS2-Umsetzung
So sind die von der NIS2-Richtlinie betroffenen Unternehmen und öffentlichen Einrichtungen dazu verpflichtet, wirksame Präventions-, Erkennungs-, Reaktions- und Compliance-Maßnahmen zu implementieren. Ein durchdachtes und effizientes Identitäts- und Berechtigungsmanagement kann dabei wertvolle Unterstützung bieten. Hierbei ist ein dreistufiges Sicherheitsverfahren aus Identifizierung, Authentifizierung und Autorisierung von entscheidender Bedeutung. Nur so lässt sich ein sicherer Zugriff auf strategische Applikationen und sensible Daten ausschließlich durch berechtigte Mitarbeiter gewährleisten. Dabei werden die User zunächst über ihre persönlichen Identifikationsdaten wie Benutzernamen und ihr Passwort eindeutig erkannt. Für einen sicheren Schutz vor Betrugsmaschen wie etwa Identitätsdiebstahl sorgen zusätzliche Authentifizierungsmaßnahmen, durch die der Benutzer seine vorgegebene Identität nachweist – wie beispielsweise die Zwei-Faktor-Authentifizierung.
Darüber hinaus verlangt die NIS2-Richtlinie die detaillierte Zuweisung von Zugangsrechten zu privilegierten Konten. Da privilegierte Benutzer innerhalb von Organisationen über besondere Administratorrechte verfügen, geht von ihnen ein höheres Bedrohungspotenzial aus. Um die Anforderungen von NIS2 abzudecken, sollten wesentliche und wichtige Einrichtungen eine robuste Lösung für die privilegierte Zugangskontrolle (Privileged Access Management, PAM) implementieren. Nur so lässt sich sicherstellen, dass ausschließlich befugte Benutzer zur jeweils richtigen Zeit auf sensible Ressourcen zugreifen können. Mit einer solchen PAM-Lösung können IT-Administratoren alle Benutzer und Systeme zentral verwalten. Dabei lassen sich auch Regeln und Bedingungen für die Authentifizierung festlegen, um automatisch Zugriff auf wichtige Ressourcen zu gewähren oder zu verweigern.
Fazit
Die NIS2-Richtlinie stellt die betroffenen privaten und öffentlichen Einrichtungen vor große Herausforderungen. Für die konsequente Umsetzung der geforderten Maßnahmen ist ein modernes Identitäts- und Berechtigungsmanagement unerlässlich. Eine wichtige Bedeutung in diesem Kontext erlangen Lösungen für Privileged Access Management (PAM).
Über den Autor: Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix, einem langjährigen Anbieter von Lösungen für Privileged Access Management (PAM).
(ID:49484602)
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/1a/6e1abeb592387d600ff333214f3eb918/0114903693.jpeg "NIS2 erfordert Transparenz in der eigenen Cybersicherheit und Maßnahmen zur Minimierung der Cyberrisiken. Hier unterstützt Cyber Guard von Eye Security nicht nur mit einem übersichtlichen Dashboard. Mittelstandsunternehmen erhalten mit dem All-in-One-Paket aus Cyberschutz und Cyberversicherung eine Bedrohungserkennung und Reaktion auf Cybervorfälle rund um die Uhr, eine Versicherung zur Deckung finanzieller Verluste und Schulung zu Cyber-Intelligenz und -Bewusstsein. (Bild: Eye Security)")