NET 4/2023

www.net-im-web.de 23 4/23 Kritis-Unternehmen in Zugzwang • Konzepte für die Risikoanalyse und Sicherheit der IT-Systeme; • Vorgehensweise zur Bewältigung von Sicherheitsvorfällen; • Maßnahmen zur Aufrechterhaltung des Betriebs (etwa Backup-Manage- ment und Recovery) und Krisen- management; • Sicherheit der Lieferkette; • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen; • Konzepte und Verfahren zur Bewer- tung der Wirksamkeit von Risiko- managementmaßnahmen imBereich der Cybersicherheit; • Verfahren zur Cyberhygiene und Schulungen im Bereich der Cyber- sicherheit; • Konzepte und Verfahren für den Einsatz von Kryptografie und Ver- schlüsselung; • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Kritis-Anlagen; • Multifaktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- undTele- kommunikation sowie gegebenenfalls gesicherte Notfallkommunikations- systeme innerhalb der Einrichtung. Die Liste umfasst eine Reihe von Maß- nahmen, die in vielen betroffenen Unter- nehmen heute noch nicht annähernd umgesetzt sind und zum Standard ge- hören. Zwar ist noch etwas Zeit, bis die Regularien 2024 in nationales Recht überführt sein müssen, die Verabschie- dung des IT-Sicherheitsgesetzes 3.0, das dies praktisch umsetzt, erwarten Experten jedoch bereits in diesem Jahr. Unterneh- men sind hier also bald in der Pflicht und stehen daher unter großemDruck. Deren Verantwortliche sollten daher (schon aus persönlichem Interesse) nicht länger war- ten und sich entsprechend vorbereiten. Strategie und Tools Trotz des Handlungsdrucks sollten Unternehmen nicht in Panik geraten, sondern systematisch vorgehen. Dazu gehört im ersten Schritt das Erstellen eines sogenannten Runbook, also eine Sicher- heitsstrategie, in der die Vorgehensweise festgelegt wird. Anschließend gilt es zu evaluieren, welche Anwendungen und Daten kritisch für den Betrieb sind. Sie benötigen imFalle eines Angriffs besonde- ren Schutz und müssen nach einem Aus- fall möglichst umgehendwieder verfügbar gemacht werden. Damit das überhaupt realisierbar ist, brauchen Unternehmen Sicherungssysteme wie Cyber Vaults, die Daten und Anwendungen quasi in einem digitalen Tresor vorhalten. Teil der Strategie müssen auch gezielte Abwehrmaßnahmen sein, das heißt konkret Firewalls für die Netzsicher- heit nach außen und die Implementierung von Multifaktor-Authentifizierungen. Eine Zero-Trust-Architektur und die Verwendung sicherer Kommunikati- ons-Tools sind wirksame Mittel, um die Angriffsfläche zu verkleinern und die Folgen von gezielten Angriffen gegen einzelne Mitarbeiter abzuschwächen. Um die Vorgänge in der IT-Infrastruktur überhaupt kontinuierlich im Blick zu haben und Anomalien zu erkennen, sind Monitoring-Lösungen erforderlich. Zur Cyberhygiene, wie es in NIS2 heißt, also quasi dem Pflichtprogramm, gehören so essenzielle Prozesse wie das regelmäßige Aufspielen von Patches und die ständige Aktualisierung der eingesetzten Betriebs- systeme und Anwendungen. Diesem angesichts der wachsen- den Bedrohungslage sinnvollenMaßnah- menkatalog gerecht zu werden, wird nicht jedemder nun bald betroffenenKritis-Be- triebe leichtfallen. Die Verantwortlichen stehen mit dieser Mammutaufgabe aber im Zweifel nicht alleine da. In solchen Fällen kann es sich lohnen, Hilfe von ex- ternen Beratern in Anspruch zu nehmen. Security-Experten evaluieren im Zuge solcher Dienstleistungen gemeinsammit wichtigen Stakeholdern individuelle Bran- chenherausforderungen und vermitteln ihnen Sicherheitstrends und Best Practices für ihren Anwendungsfall. Zudem be- sprechen sie mit Unternehmen bewährte Methoden, Ansätze und Techniken für die Maximierung der Ausfallsicherheit. Auf den rein theoretischen Teil folgt die aktive Planung. Dafür ermitteln die Experten den aktuellen Status quo in Sachen Cybersecurity und besprechen anschließendmit den Stakeholdern deren Zielvorstellungen. Danach erstellen sie ein Muster für die optimale Sicherheits- architektur. Im dritten Schritt wird die Cy- ber-Recovery-Lösung implementiert. Sie besteht meist aus einer Kombination der üblichen Security-Tools wie Firewalls und Monitoring-Lösung in Verbindung mit einem Datentresor. Sogenannte Cyber Vaults, die in der Regel mit „Air Gap“ und unveränderlichem Speicher implemen- tiert werden, sind physisch und logisch vollständig vom Rest der IT getrennt, erlauben aber dennoch eine Übertragung und Sicherung wichtiger Daten. Auch bei der Entwicklung sogenannter Runbooks, also Strategien für die schnelle Wieder- herstellung des Betriebs, helfen externe Dienstleister. Noch einfacher erhöhen Unter- nehmen ihre Ausfallsicherheit bei Cyber- angriffen durch „As-a-Service“-Lösungen, die ebenfalls viele Sicherheitsdienstleister im Angebot haben. Sie umfassen typi- scherweise ein holistisches Paket aus Hardware, Software und Dienstleistun- gen, wie sie Kritis-Betriebe zum Schutz kritischer Daten benötigen, in einem praktischen Abonnement.