Mit Zero-Trust-Segmentierung zu NIS-2
Mitte Oktober müssen die EU-Staaten die neue NIS-2-Richtlinie für Cybersicherheit in die nationale Gesetzgebung übertragen. Die hierzulande etwa 30.000 von NIS-2 betroffenen Unternehmen und Organisationen haben dann höchstens vier Jahre Zeit, die Vorgaben umzusetzen und dies auch nachzuweisen. Der Gastbeitrag erklärt, welche Mindeststandards die Richtlinie einfordert und wie IT-Verantwortliche die Cyberresilienz erhöhen können, um eine durchgängige Compliance zu erreichen.
Im Januar 2023 trat in der Europäischen Union die erweiterte Richtlinie für Netzwerk- und Informationssicherheit – kurz NIS-2 – in Kraft. NIS-2 ist eine Aktualisierung der NIS-Richtlinie, die Betreiber kritischer Infrastrukturen (KRITIS) in der EU seit 2016 verpflichtete, geeignete Maßnahmen zum Schutz gegen Cyberangriffe zu implementieren. Die Richtlinie führte jedoch aufgrund definitorischer Unschärfen zu Abweichungen bei der praktischen Umsetzung in den einzelnen Ländern.
Die neue NIS-2-Richtlinie spiegelt die aktuelle Cybersicherheitslandschaft besser wider und basiert auf Erkenntnissen von NIS-1. NIS-2 verschärft mit der Festlegung von Cybersicherheitsstandards die Anforderungen an die technischen, operativen und organisatorischen Mindestmaßnahmen von KRITIS-Betreibern. Durch erweiterte Anforderungen und Sanktionen soll das Cybersicherheitsniveau in den Mitgliedstaaten vereinheitlicht und verbessert werden. Unternehmen und Organisationen werden verpflichtet, sich intensiv mit Themen wie Cyberrisikomanagement, Kontrolle und Überwachung sowie dem Umgang mit Zwischenfällen und der Aufrechterhaltung der Geschäftskontinuität auseinanderzusetzen. Zudem dehnt NIS-2 den Anwendungsbereich auf eine größere Anzahl von Organisationen aus. Die Geschäftsleitung der betroffenen Organisationen wird strengeren Haftungsregeln unterliegen.
Bis zum 18. Oktober 2024 haben die Mitgliedstaaten nun Zeit, die Vorgaben in ihre jeweilige nationale Gesetzgebung zu übertragen. Wann genau die neuen Vorschriften endgültig umgesetzt werden müssen, steht noch nicht fest, jedoch ist klar: Ab dem 18. Oktober bleibt den betroffenen Unternehmen und Organisationen – in Deutschland etwa 30.000 – ein Zeitraum von höchstens vier Jahren. Den Nachweis müssen die Unternehmen spätestens nach zwei Jahren der Umsetzung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erbringen. Die Verantwortung obliegt hierfür der Unternehmensleitung, während die Überwachung durch das BSI geschieht.
Wer ist von NIS-2 betroffen?
NIS-2 führt die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ein und sieht einheitliche und umfangreichere Maßnahmen für die Betreiber vor. Die wesentlichen Sektoren wie das Gesundheitswesen, die Energiewirtschaft oder der Verkehr werden um die Sektoren Abwasser, öffentliche Verwaltung und Raumfahrt erweitert. Zu den wichtigen Sektoren gehören unter anderem Digitalanbieter sowie Post- und Kurierdienste. Um von NIS-2 betroffen zu sein, müssen Unternehmen mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz von über zehn Millionen Euro erzielen. Da auch Lieferketten durch NIS-2 gestärkt werden sollen, fallen potenziell auch Lieferanten und Servicebetreiber darunter.
Unternehmen müssen cyberresilient werden – Zero Trust hilft
Das Ziel von NIS-2 ist es, die Cyberresilienz kritischer Infrastrukturen in der EU zu verbessern. Die spezifischen technischen Anforderungen werden noch von den einzelnen Nationalstaaten präzisiert – es empfiehlt sich betroffenen Unternehmen aber bereits jetzt, auf die eigene Cyberresilienz hinzuarbeiten, um bezüglich der NIS-2-Compliance nicht ins Hintertreffen zu geraten.
Ein bewährter Ansatz für den Aufbau beziehungsweise die Stärkung von Cyberresilienz ist Zero Trust. Dieser Ansatz geht von der Annahme aus, dass weder Benutzer, Geräte noch Netzwerke immer vertrauenswürdig sind. Eine Schlüsselkomponente von Zero Trust ist Zero-Trust-Segmentierung (ZTS). Sie soll laterale Bewegungen verhindern und kritische Ressourcen besser schützen. Herkömmliche Mikrosegmentierung mit Netzwerk-Firewalls erfordert noch immer das manuelle Erstellen von Richtlinien, ist personal- und zeitaufwendig und somit teuer.
Mit modernen Ansätzen wie ZTS lassen sich Policies mit geringem Aufwand erstellen und automatisch anwenden. Die sehr granulare Anwendung von Segmentierung auf Asset-Ebene stellt somit einen einfacheren und sichereren Weg zur Eindämmung von Angriffen dar, mit der Unternehmen mindestens einem Teil der technischen Mindestanforderungen von NIS-2 gerecht werden können.
Was fordert NIS-2 und wie Zero Trust dabei unterstützt
Im Folgenden gehen wir auf einige der technischen Anforderungen von NIS-2 eingegangen und erläutern, wie Zero-Trust-Segmentierung Unternehmen und Organisationen bei deren Einhaltung helfen kann:
- Risikoanalyse und Richtlinien für die Sicherheit von IT-Systemen: Mit einer übersichtlichen und adaptierbaren Karte aller Kommunikationsverbindungen, wie sie moderne Segmentierungsansätze wie ZTS bieten, lassen sich alle Anwendungen und deren Abhängigkeiten visualisieren. Das ist essenziell, denn man kann nur schützen, was man sieht. Ein vollständiger Einblick in den Datenverkehr aller Workloads, einschließlich Container, IoT und virtueller Maschinen ermöglicht es Sicherheitsteams, Risiken zu erkennen und Policies zu erstellen, die unnötige Verbindungen zwischen Ports blockieren.
- Handhabung von Incidents: Während eines Vorfalls sollten Sicherheitsverantwortliche schnell reagieren können, um den Zugriff auf kritische Ressourcen einzuschränken, die Ausbreitung eines Angriffs zu stoppen und kompromittierte Systeme vollständig zu isolieren. Mit ZTS lässt sich das infizierte System vom Rest der Umgebung trennen, um eine sichere Wiederherstellung der Daten zu ermöglichen.
- Geschäftskontinuität: IT-Sicherheitsteams können mithilfe von ZTS Ringfencing für einzelne Abteilungen und Systeme einsetzen, sodass diese ihren Betrieb aufrechterhalten können, während sie vom Angriff abgeschirmt sind. Alle Versuche einer erneuten Infizierung lassen sich verhindern, indem während der Wiederherstellung nur Verbindungen mit unveränderlichen Datenquellen zugelassen werden.
- Sicherheit der Lieferketten: Zwischen segmentierten Umgebungen findet nur bekannte und verifizierte Kommunikation statt. Dadurch wird verhindert, dass Angriffe auf die Lieferkette in die Systeme des Unternehmens eindringen und sich dort ausbreiten.
- Sicherheit für Netzwerk und Informationssysteme: ZTS lässt sich auf alle Umgebungen ausdehnen – von On-Premises-Rechenzentren bis zu hybriden und Multicloud-Umgebungen. So lässt sich gewährleisten, dass eine Sicherheitsverletzung sofort gestoppt und eingedämmt wird, damit Angreifer nicht in andere Teile des Netzwerks eindringen können.
- Bewertung der Wirksamkeit von Maßnahmen: Moderne Protection-Dashboards helfen dabei, sich besser auf Angriffe vorzubereiten, indem sie Einblicke in die Risikoexposition von Workloads geben, einen Überblick über geschützte und ungeschützte Workloads bieten sowie die Wirksamkeit von Schutzmaßnahmen bewerten.
- Grundlegende Praktiken der Computerhygiene und Schulungen zu ZTS: Die Sichtbarkeit der gesamten Oberfläche bietet Einblicke in Sicherheitslücken, die Informationen über Cyberhygiene und Schulungsbedarf liefern. ZTS stellt sicher, dass menschliche Fehler keine Schwachstellen hinterlassen, die Angreifer ausnutzen können.
- Sicherheit im Personalwesen, Zugriffskontrollen und Assetmanagement-Maßnahmen: Mit granularen Segmentierungs-Policies lässt sich der Zugriff auf Systeme, einschließlich Personalressourcen, beschränken. Somit können sich Angriffe nicht auf kritische Ressourcen ausbreiten.
Im Fall eines Angriffs – erfolgreich oder nicht erfolgreich – sieht NIS-2 strenge Meldepflichten vor: Ein Vorfall muss innerhalb von 24 Stunden dem lokalen Cybersecurity Incident Response Team gemeldet werden. Unternehmen haben nach einem Vorfall höchstens 72 Stunden Zeit, einen Bericht mit den entsprechenden Indicators of Compromise – digitale Spuren, die auf die Kompromittierung hinweisen – den zuständigen Behörden zu übermitteln. Diese Spuren können etwa eine Verbindung zu einer bekannten bösartigen IP-Adresse oder Domain, der Einsatz von bekannten bösartigen Ports oder Protokollen sein.
Eine Laissez-faire-Strategie wird von der EU nicht länger toleriert: Statt der vorherigen Höchststrafe von 150.000 Euro gemäß NIS-1, riskieren Betreiber kritischer Dienste nun Geldstrafen von bis zu 1,4 Prozent ihres Jahresumsatzes oder 7 Millionen Euro. Für Betreiber von wesentlichen Diensten können die Geldbußen sogar bis zu 2 Prozent des Jahresumsatzes oder 10 Millionen Euro betragen. Mit NIS-2 wird außerdem eine individuelle Haftung für Geschäftsführer und Vorstände eingeführt, die bei Nichteinhaltung der Cybersicherheitspflichten mit erheblichen Geldstrafen rechnen müssen. Verstöße gegen nationale Umsetzungsvorschriften können außerdem zu strafrechtlichen Sanktionen für die verantwortlichen Personen führen.
Fazit
Durch die angestrebte Harmonisierung der Anforderungen zwischen den Mitgliedstaaten will die EU ein noch resilienteres Umfeld schaffen und für Sicherheitsverletzungen reduzieren. Obwohl noch nicht für jeden Mitgliedstaat spezifische technische Anforderungen für NIS-2 vorliegen, können Organisationen sich bestmöglich vorbereiten, indem sie jetzt handeln, einen modernen Zero-Trust-Ansatz zur Eindämmung von Sicherheitsverletzungen wählen und somit die Cyberresilienz des eigenen Unternehmens stärken.
In der Realität setzen viele Unternehmen bisher nur symbolische Maßnahmen im Bereich der Cybersicherheit um, und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Ansätze. Selbst grundlegende Schritte wie die Netzwerksegmentierung, um das Eindringen von Angreifern zu erschweren, werden kaum getan. Das kann verheerende Auswirkungen haben, nicht nur für die eigene Organisation, sondern potenziell für die kritische Infrastruktur in Europa. Angreifer nutzen jede Gelegenheit, daher ist die Umsetzung von NIS-2 ein wichtiger Bestandteil einer umfassenden unternehmerischen Verantwortung.
ln/Paul Bauer, Regional Sales Director bei Illumio