NET 5/24

22 www.net-im-web.de 05/24 Network Information Security (NIS 2) fenen Unternehmen zur Einhaltung des „Stands derTechnik“ bei der Absicherung der IT-Systeme und Netzwerke. Aber wie dies imDetail auszusehen hat, bleibt un- beschrieben. Eine Definition wäre auch problematisch, da der Stand der Technik sich kontinuierlich weiterentwickelt und neue Bedrohungen auftauchen. Es ist daher wichtig für Unternehmen, sich über aktuelleTrends und „Best Practises“ auf dem Laufenden zu halten und ihre Sicherheitsstrategien entsprechend anzu- passen. Folgende Schlüsselbereiche lassen sich für den Stand der Technik nennen: • Verschlüsselung: DieVerschlüsselung von Daten und Kommunikation über Netzwerke ist ein grundlegender Aspekt der IT-Sicherheit. • Authentifizierung und Zugriffskon- trolle: Die Implementierung von starken Authentifizierungsmethoden (Mehrfaktor-Authentifizierung) und das Verwalten von Zugriffsrechten und -berechtigungen verhindern den unberechtigten Zugriff auf firmen- interne Informationen. • Sicherheitsüberwachung und -ma- nagement: Netzwerke, Systeme und Anwendungenmüssen kontinuierlich auf verdächtige Aktivitäten überwacht werden. Dazu ist die Implementie- rung eines SIEM-Systems vorzusehen. • Patch-Management: Software und Systeme sind regelmäßig zu aktu- alisieren, um Sicherheitslücken zu schließen und die Angriffsfläche zu minimieren. • Awareness und Schulung: Mitarbeiter müssen regelmäßig geschult werden, um das Sicherheitsbewusstsein zu stärken. Dadurch lassen sich Social- Engineering-Angriffe und interne Sicherheitsrisiken minimieren. • Cloud-Sicherheit: Absicherung der Cloud-Dienste durch zusätzliche Sicherheitsmaßnahmen. • Compliance und Datenschutz: Ein- haltung vonDatenschutzbestimmun- gen und Industriestandards wie der DSGVOund der ISO/IEC27001 zur Erfüllung gesetzlicher Anforderungen und Schaffung vonKundenvertrauen. Die zentrale Sicherheitslösung in diesem Zusammenhang ist die Einführung eines SIEM-Systems, welches auch in der Lage ist, Advanced Persistent Threat (APT) Angriffe zu erkennen, die darauf ausgelegt sind, über einen längerenZeitraumhinweg unbemerkt im Zielsystem zu bleiben, um Schwachstellen auskundschaften zu kön- nen (siehe Abbildung 2). Solche Angriffe sind schwer zu erkennen, da sie keinen unmittelbaren Alarm auslösen. Dies sollte hingegen durch SIEM-Systeme mit integrierten KI-Me- thoden gelingen (siehe Abbildung 3). Denn diese ermöglichen, eine Verhaltens- analyse durchzuführen, um das normale Verhalten von Benutzern, Geräten und Anwendungen in einem Netzwerk von ungewöhnlichen Vorfällen (Incidents) zu trennen. Dies gelingt, indemnicht nur die Netzwerkdaten analysiert, sondern auch die Logging-Daten von Serversystemen geprüft undmiteinander kombiniert (kor- reliert) werden. So lassen sich auch bisher unbekannte Bedrohungen erkennen und abwehren. Fazit Ein SIEM-System in ein bestehendes Unternehmensnetz einzuführen, ist al- lerdings nicht trivial und kann je nach Umgebung einige Monate in Anspruch nehmen. Denn es müssen die IT-Systeme benannt werden, die es zu schützen gilt, undRegelwerke definiert bzw. das Normal- verhalten ermittelt werden. Asset-Listen mit allen technischen Systemen müssten daher vorliegen. Diese fehlen aber in den meisten Unternehmen. Zwar ist mit Buß- geldern bei Nichteinhaltung frühestens in drei Jahren zu rechnen. Trotzdem sollte man sich auf die Einhaltung dieser neuen Regularien frühzeitig einstellen, da ihre Umsetzung grundlegend geplant werden sollte. Abschließend sei darauf hingewie- sen, dass NIS 2 auch nicht alleine durch ein SIEM-Systemumgesetzt werden kann. Denn es ist ein ganzheitliches Risikoma- nagement gefordert, welches technische, operative und organisatorische Maß- nahmen zur IT-Sicherheit bündelt. Ein wichtiger grundlegender Schritt auf der technischen Seite ist durch die SIEM-Ein- führung aber in jedem Fall getan. Danach müssen die organisatorischenMaßnahmen folgen, um zeitnah Meldungen und Be- richte von Sicherheitsvorfällen dem BSI vorlegen zu können. Bild 3: Exemplarisches Dashboard der SIEM-Lösung ScanBox. Integrierte KI-Methoden erlauben es der Lösung, eine Verhaltens- analyse durchzuführen, um das normale Verhalten von Benutzern von ungewöhnlichen Vorfällen zu trennen (Bild: Detken)