IT-Administrator: NIS-2 verpflichtet Betreiber kritischer Infrastrukturen zu deutlich strengeren Sicherheitsvorgaben. Was bedeutet das konkret für Unternehmen mit cyber-physischen Systemen – und welche Branchen sind besonders betroffen?

Markus Bauer: Die NIS-2-Richtlinie erweitert den Umfang der Cybersicherheitsverpflichtungen für Betreiber kritischer Infrastrukturen und anderer Akteure wie MSPs erheblich, insbesondere für diejenigen, die mit cyberphysischen Systemen arbeiten. Besonders betroffen sind unter anderem Branchen wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und Fertigung. Diese Branchen müssen nun ein umfassendes Risikomanagement, einen proaktiven Umgang mit Vorfällen und Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs einführen. Konkret bedeutet dies, dass die Unternehmen technische und organisatorische Kontrollen einrichten müssen, einschließlich regelmäßiger Risikobewertungen der Lieferkette, robuster Berichtsmechanismen und Maßnahmen zur Minimierung potenzieller Störungen. Diese Anforderungen umfassen nicht nur die Umsetzung von Sicherheitsmaßnahmen, sondern auch deren kontinuierliche Überprüfung und Anpassung als Teil eines ganzheitlichen Sicherheitsansatzes.

Die Richtlinie betont die Themen Geschäftskontinuität, Risikomanagement und SecurityMaßnahmen. Wie können Unternehmen diese Anforderungen in komplexen Industrie- und IoT-Umgebungen technisch und organisatorisch umsetzen?

Die Umsetzung dieser Anforderungen erfordert einen mehrschichtigen Sicherheitsansatz, der sich nicht nur auf technische Ansätze, sondern auch auf eine robuste Organisationsstruktur stützt. Unternehmen sollten eine Cybersicherheitsarchitektur aufbauen, die einen angemessenen Endpunktschutz wie EDR, regelmäßige Sicherheits- und Schwachstellenbewertungen, Patchmanagement sowie Security-Awareness-Trainings und zentrale Überwachung kombiniert. Eine geeignete Lösung bietet eine integrierte Plattform, die Anti-Malware, Backup, Patchmanagement und Überwachung vereint und so die Einhaltung von NIS-2 in komplexen OT- und IoT-Infrastrukturen erleichtert. Außerdem sollten Unternehmen ihre internen Sicherheitsprozesse regelmäßig durch simulierte Cyberangriffe und Sicherheitsaudits testen, um Schwachstellen frühzeitig zu erkennen und zu beheben.

Ein besonderes Augenmerk liegt auf der Absicherung von Lieferketten. Wie lässt sich die Sicherheit entlang der Supply Chain gewährleisten – insbesondere dann, wenn Drittanbieter remote auf Steuerungssysteme zugreifen?

Die Gewährleistung der Sicherheit entlang der Lieferkette erfordert strenge Praktiken für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM), den Einsatz von Multifaktor-Authentifizierung, Netzwerksegmentierung und die kontinuierliche Überwachung aller Zugriffsversuche. Besonders beim Fernzugriff von Drittanbietern auf kritische Systeme sind klare Zugriffsrichtlinien nötig. Dies kann durch sichere, isolierte VPN-Verbindungen und Echtzeitüberwachung des Netzwerkverkehrs erreicht werden. Darüber hinaus sollten Unternehmen regelmäßig Penetrationstests und Schwachstellenbewertungen durchführen, um potenzielle Angriffsvektoren innerhalb der Lieferkette zu identifizieren und zu beseitigen. Die Kombination dieser Maßnahmen mit sicheren Backup- und Wiederherstellungsprodukten gewährleistet Datenintegrität und Geschäftskontinuität, selbst in einer dynamischen und risikobehafteten Lieferkettenumgebung.

Ransomware-Angriffe zielen zunehmend auf Backupsysteme ab

Cyberbedrohungen gegen OT- und IoT-Systeme nehmen zu – von gezieltem Ransomware-Einsatz bis hin zum Missbrauch vertrauenswürdiger Verbindungen. Welche Angriffsmuster beobachten Sie aktuell besonders häufig?

Wir sehen eine besorgniserregende Zunahme von Ransomware-Angriffen, die speziell auf Backupsysteme abzielen, um eine Datenwiederherstellung zu verhindern. Angriffe, die vertrauenswürdige Verbindungen von Drittanbietern nutzen, um sich lateral innerhalb von Netzwerken zu bewegen, nehmen ebenfalls zu. Darüber hinaus sind KI-generierte Phishingund BEC-Angriffe (Business E-Mail Compromise) auf dem Vormarsch. Laut unserem Cyberthreats Report für das zweite Halbjahr 2024 nahmen E-Mailbasierte Angriffe um 197 Prozent zu. Diese Angriffsmuster werden immer raffinierter und nutzen fortschrittliche Techniken, um herkömmliche Sicherheitsmaßnahmen zu umgehen und in kritische Systeme einzudringen.

In vielen Industrieumgebungen gibt es Air-Gapped-Netzwerke, die nicht ständig online sind. Wie können Unternehmen dort trotzdem effektive Schutz- und Wiederherstellungsstrategien etablieren – ohne die Betriebsstabilität zu gefährden?

In Air-Gapped-Umgebungen sollten Unternehmen OfflineBackupstrategien implementieren, die eine sichere, regelmäßige Synchronisierung der Daten mit der Außenwelt ermöglichen. Diese Strategien müssen durch regelmäßige Integritätsprüfungen und manuelle Wiederherstellungsprotokolle ergänzt werden, um eine vollständige Systemisolierung zu gewährleisten. Eine geeignetes Vorgehen ist das Erstellen von Disk-Image-Backups, die regelmäßig auf Malware gescannt und in sicheren Offline-Umgebungen gespeichert werden. Darüber hinaus benötigen Unternehmen Aktualisierungsmechanismen, die sicherstellen, dass kritische Updates regelmäßig eingespielt werden und gleichzeitig die Netzwerksicherheit aufrechterhalten wird, ohne die Systemisolierung zu beeinträchtigen.

Stichwort Geschäftskontinuität: Welche Rolle spielt aus Ihrer Sicht ein modernes Backup- und Recovery-Konzept bei der Umsetzung von NIS-2-Anforderungen, insbesondere im Hinblick auf Wiederanlaufzeiten und Datenintegrität?

Ein modernes Backup- und Disaster-Recovery-Konzept ist für die Erfüllung der NIS-2-Anforderungen entscheidend. Unternehmen müssen sicherstellen, dass sie Daten nach einem Vorfall schnell und vollständig wiederherstellen können, wobei die Datenintegrität gewahrt bleiben muss. Dies bedeutet, dass Sicherungsstrategien zum Einsatz kommen, die nahezu sofortige Wiederherstellungsoptionen, unveränderliche Speicherung und überprüfbare Backupketten bieten. Dies gewährleistet minimale Ausfallzeiten und eine vollständige Rückverfolgbarkeit der Daten. Solche Maßnahmen sind sowohl für die Compliancedokumentation als auch für die betriebliche Resilienz von entscheidender Bedeutung.

Welche neuen Risiken bringt der Einsatz von KI – sowohl als Verteidigungs- als auch als Angriffswerkzeug – im Kontext von kritischen Infrastrukturen mit sich? Und wie können IT-Verantwortliche in Unternehmen darauf reagieren?

Künstliche Intelligenz birgt sowohl Chancen als auch Risiken. Auf der Angriffsseite ermöglicht KI schnellere, anpassungsfähigere Bedrohungen, wie zum Beispiel Deepfake-Phish ing und die automatische Ausnutzung von Schwachstellen. Auf der Verteidigungsseite kann KI helfen, Bedrohungen zu erkennen, Anomalien automatisch zu analysieren und schnelle Reaktionen zu ermöglichen. Unternehmen müssen in fortschrittliche Sicherheitslösungen investieren, die KI für die Erkennung von Bedrohungen und automatisierte Sicherheitsmaßnahmen nutzen und gleichzeitig die neuen Angriffsvektoren berücksichtigen, die durch KI-gesteuerte Bedrohungen entstehen. Ein hybrider Ansatz, der KI für die Sicherheitsanalyse nutzt und gleichzeitig wachsam gegenüber KI-basierten Angriffsmethoden ist, ist für die Abwehr komplexer Bedrohungen unerlässlich.

Vielen Dank für das Gespräch!