:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Annehmbare Auswirkungen IT-Sicherheitsgesetz NIS wird IT-SiG kaum ändern
Ursprünglich war es so: Die Europäische Union hat 2013 angestoßen, dass IT-Infrastrukturen gesondert normativ geschützt werden müssen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Auch die Bundesrepublik Deutschland hat erkannt, dass IT ein wichtiger Faktor ist, damit das eigene Land funktionieren kann. Darum hat sie die auf Europaebene bereits diskutierten und absehbaren Richtlinien eigenständig im Voraus ausgearbeitet und 2015 durch das IT-Sicherheitsgesetz (IT-SiG) verabschiedet. Zwar gilt es heute als Vorbild und Grund für Deutschland als gesicherten Standort. Zweifelsohne bleibt aber der Schutz von IT-Infrastrukturen europaweit mindestens genauso wichtig.
Unter der Bezeichnung NIS (Network and Information Security) wurden daher Vorschläge inhaltlich von der EU-Kommission verabschiedet und sollen nun in eine verbindliche EU-Richtlinie mit Gesetzescharakter umgewandelt werden. Für deutsche Unternehmen, die sich nach dem IT-SiG eingerichtet und beispielsweise bereits ein ISMS eingeführt haben, ändert sich nach aktuellem Stand dadurch kaum etwas.
Aufatmen: Wie wichtig der Schutz von IT-Infrastrukturen und Informationen ist, wurde auch in Europa erkannt. Das IT-SiG ist damit kein deutscher Regulierungswahn. Es steckt viel mehr dahinter. Denn das Ziel von NIS ist, nach Vorbild des IT-SiG kritische Infrastrukturen in der EU zu ermitteln und deren Schutz zu definieren.
Auch die betroffenen Branchen sind die gleichen. Das ist eine gute Nachricht für deutsche Unternehmen: Sie befürchteten doppelten Aufwand, wenn sie ISMS zuerst nach dem IT-SiG und später nach NIS einführen müssten. Es ist aber auch eine gute Nachricht für europaweit arbeitende Unternehmen, die nun keine deutschen „Extrawürste“ braten müssen.
Verantwortlich ist ENISA
Verantwortlich als europäische Zentrale beziehungsweise Kooperationsstelle wird die ENISA (European Network and Information Security Agency) sein. Analog zum deutschen BSI koordiniert sie die Umsetzung, Aktivitäten sowie Vorfälle und ruft gegebenenfalls europaweite Maßnahmen aus. Die ENISA wird sich dazu anders aufstellen müssen. Wie viele Ressourcen dazu allerdings benötigt werden, ist noch unklar. Ebenso ungewiss ist, welche Befugnisse ENISA über die jeweiligen Landesbehörden wie zum Beispiel das BSI haben wird.
Fest steht indes ein erster NIS-Zeitplan. Dieser sieht vor, dass mit Rechtsgültigkeit des Gesetzes die jeweiligen EU-Staaten 21 Monate für ihr eigenes nationales IT-Sicherheitsgesetz haben. Das beinhaltet Beschluss, Verabschiedung und Inkrafttreten.
Diesem durchaus straffen Zeitansatz kann Deutschland durch das bestehende IT-SiG zunächst entspannt entgegensehen - vorausgesetzt, die ENISA beschließt nicht doch völlig Neues. Anschließend werden den Mitgliedern sechs Monate eingeräumt, um KRITIS-Unternehmen zu definieren und zu ermitteln.
Nicht alles ist regulierbar
Diese Festlegung kann nur in Eigenregie erfolgen. Denn einige Punkte sind durch NIS gar nicht regulierbar. Das Werk kann unter anderem keine absoluten Zahlen europaweit definieren. Zum Beispiel die Reichweite von 500.000 Bürgern, welche die deutsche KRITIS-Verordnung als Merkmal für KRITIS-Unternehmen in der ersten Stufe festlegt. In Ländern mit geringerer beziehungsweise geballterer Bevölkerungsdichte macht solch eine Zahl keinen Sinn.
Wichtig dagegen ist zu beschließen, dass die landeseigene Definition der Spezifika für kritische Infrastrukturen überwacht oder zumindest gegengeprüft wird. Das ist noch nicht vorgesehen. Jedoch soll durch NIS der Schutz von IT-Infrastrukturen nicht mehr nur dem Eigeninteresse der Länder dienen.
Der Fokus rückt auf den der Schutz Europas als Bündnis, weshalb den Ländern im Konsens festgelegte Richtlinien zu allen wesentlichen Aspekten an die Hand gegeben werden müssen. Die Festlegung, kritische Infrastrukturen zu kontrollieren, ist dabei ebenso entscheidend, wie die Umsetzung der Maßnahmen zum Schutz der IT.
Mein Fazit
Als Fazit bleibt daher: Im Rahmen ihrer Cyberstrategie drehen sich die Räder der EU derzeit schnell. Deutschland hat durch seine kluge Vorausarbeit dabei Zeit gewonnen. Wer in Deutschland bereits ein ISMS gemäß IT-SiG eingerichtet und gegebenenfalls zertifizieren lassen hat, kann zunächst durchatmen. Das wird voraussichtlich auch eine der Voraussetzungen von NIS sein.
Natürlich kann die ENISA bestimmte Inhalte anpassen, ändern oder neu hinzufügen. Da das IT-SiG jedoch als Vorbild für NIS gilt, werden das nach aktuellen Stand keine gravierenden Änderungen sein. Falls andere organisatorische oder technische Maßnahmen doch notwendig sein sollten, bleibt wahrscheinlich ein Gros der Voraussetzungen durch das IT-SiG erfüllt.
*Der Autor:
Robert Hellwig ist Senior Consultant und Prokurist bei Securisk. Das Unternehmen ist eine der fünf Töchter der international agierenden Data Center Group und Spezialist für Informationssicherheit, nicht nur in Rechenzentren. Im Auftrag seiner Kunden führt Securisk unter anderem Risikoanalysen und Beratungen durch.
(ID:44059985)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/61/ea615fff956d73c3cfdc6f6fafc5f7c1/0112940061.jpeg "Die Uhr zur Umsetzung der NIS2-Richtlinie tickt... KRITIS-Betriebe sollten schon jetzt damit beginnen, die erforderlichen Maßnahmen zu implementieren. (Bild: sorapop - stock.adobe.com)")