Geringes Bewusstsein für NIS-2-Anforderungen in deutschen Unternehmen

Laut Bitkom kosten Cyberattacken die deutsche Wirtschaft pro Jahr über 200 Milliarden Euro. Grund genug für betroffene Organisationen, dem Thema Cybersicherheit höchste Priorität einzuräumen – könnte man meinen. Die Realität sieht jedoch anders aus: Eine aktuelle Umfrage zeigt, dass die Hälfte aller Beschäftigten einen Cyberangriff auf das eigene Unternehmen für unwahrscheinlich halten, während nur jedem vierten Vorgesetzten in Sachen IT-Sicherheit ein vorbildliches Verhalten attestiert wird.

Erschreckend ist daran die Diskrepanz zur tatsächlichen Wahrscheinlichkeit, dass Unternehmen Opfer einer Cyberattacke werden: Im Jahr 2022 registrierte das Bundeskriminalamt über 130.000 Fälle von Cybercrime – der in Deutschland zu den Phänomenbereichen mit dem höchsten Schadenspotenzial zählt. Besonders die Anzahl von Taten, die aus dem Ausland erfolgen und in Deutschland Schaden verursachen steigt stark an. 49 Prozent der Betreiber von KRITIS-Infrastruktur geben an, eine starke Zunahme von Cyberattacken auf ihr Unternehmen zu erleben.

NIS-2-Umsetzung in deutschen KRITIS Unternehmen 

In Deutschland müssen KRITIS-Betreiber sowohl die Anforderungen der KRITIS-Gesetzgebung als auch die Vorgaben der NIS-2-Richtlinie erfüllen. Wer davon zum ersten Mal hört, hat in der Regel keine genaue Vorstellung davon, was das konkret bedeutet. Im Zweifelsfall helfen dann externe Cybersicherheitsdienstleister bei der schrittweisen Umsetzung NIS-2-konformer Sicherheitskonzepte. Dabei unterzieht man Netzwerke und Informationssysteme zunächst einer umfassenden Risikoanalyse, auf deren Basis dann geeignete Sicherheitsmaßnahmen evaluiert und implementiert werden.

Darunter fallen etwa Zugriffskontrollen, Verschlüsselungstechnologien und ein Incident Response Plan (IRP oder Vorfallreaktionsplan), der im Fall einer Cyberattacke schnelle und effektive Gegenmaßnahmen ermöglicht und deren Schadenspotenzial begrenzt. Auch die Sensibilisierung von Beschäftigten für Cyberbedrohungen durch entsprechende Weiterbildungsmaßnahmen sind fester Bestandteil jedes NIS-2-konformen Sicherheitskonzeptes. Eine Orientierungshilfe bietet ISO27001: Wer ISO27001-zertifiziert ist, kann davon ausgehen, einen Großteil der NIS2-Anforderungen zu erfüllen. 

Sicherheit und Risikomanagement gemäß NIS 2

KRITIS-Betreiber sowie „wichtige“ und „besonders wichtige“ Einrichtungen sind durch die NIS-2-Richtlinie gesetzlich dazu verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. So schützen Sie die IT und Prozesse ihrer erbrachten Dienste, vermeiden Störungen und halten Auswirkungen von Sicherheitsvorfällen gering. Wichtig zu wissen: Unternehmen, die von NIS2 betroffen sind, müssen sich proaktiv beim BSI registrieren. Wird dies versäumt, drohen empfindliche Strafen.

Entsprechend wichtig ist es also für die Betroffenen, zeitnah festzustellen, inwiefern sie von NIS-2 betroffen sind – und welche Maßnahmen bis Oktober 2024 erforderlich sind, um den neuen Anforderungen gerecht zu werden. Zu den zahlreichen sicherheitsrelevanten Handlungsbereichen zählen beispielsweise:

• Das Schwachstellenmanagement,
• Kryptografie und Verschlüsselung,
• die sichere Kommunikation über Sprach-, Video- und Textkanäle sowie
• sektor-spezifische Regelungen (je nach Art der Einrichtung oder Organisation)

NIS-2 Richtlinie umsetzen per UEM

Letztlich geht es bei der NIS-2 Richtlinie um die kontinuierliche Überwachung und Aktualisierung von Sicherheitsmaßnahmen, um auf dynamische Bedrohungslagen und die damit verbundenen Anforderungen reagieren zu können. UEM-Systeme spielen dabei eine wichtige Rolle: Sie sind prädestiniert dafür, Organisationen bei der Umsetzung der Anforderungen aus NIS-2 zu unterstützen.

UEM steht für Unified Endpoint Management. UEM-Systeme verwalten und kontrollieren Endgeräte zentral, stellen Sicherheits-Updates und Patches automatisch bereit. Darüberhinaus ermöglichen sie die Konfiguration von Sicherheitseinstellungen gemäß der Unternehmensrichtlinien und die Überwachung von Compliance-Standards in Echtzeit. Unified-Endpoint-Systeme verbessern damit die Reaktionsfähigkeit auf Sicherheitsvorfälle – und verleihen Unternehmen genau die Fähigkeiten, die Unternehmen benötigen, um die Anforderungen aus NIS-2 zu erfüllen.

ACMP Suite mit neuen NIS-2-Sicherheitsfeatures

Aktuell gibt es für die Umsetzung der NIS-2 Richtlinie keine Übergangsfrist. Bei betroffenen Unternehmen herrscht also starker Zugzwang, die Anforderungen bis Oktober 2024 umzusetzen. Auch Aagon hat die Entwicklungen im Zusammenhang mit NIS-2 im Blick und wird die ACMP Suite im Laufe des Jahres um neue Features erweitern, die auf die Umsetzung der NIS-2-Anforderungen abzielen. Dazu zählt beispielsweise eine Multifaktor-Authentifizierung für die ACMP Console, die demnächst verfügbar sein wird. Über Reports sowie im Asset- und im Lizenzmanagement bietet unsere ACMP Suite außerdem wichtige Funktionen für die Dokumentation und damit für die Risikobewertung.

Über unsere Interpretation von SOAR (Security Orchestration Automation Response) kombinieren wir zudem verschiedene Sicherheitswerkzeuge und Programme aus der ACMP Umgebung: Managed Software, Desktop Automation, CAWUM, Vulnerability-, Defender- und BitLocker-Management. Durch diese Bündelung können Unternehmen mit der ACMP Suite automatisiert, priorisiert und somit effizient auf erkannte Bedrohungen reagieren. Ein umfassendes Patchmanagement sorgt zudem dafür, dass eingesetzte Software immer mit den neuesten Sicherheitsupdates versorgt ist.