Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Anzeige

NIS-2: Mit den richtigen (Sicherheits-) Lösungen ein gutes Investment : NIS-2-Compliance dank strategischem Sicherheitskonzept und taktischen Security-Maßnahmen

Die neue NIS-2-Richtlinie nähert sich mit großen Schritten. Ob betroffen oder nicht: Wer jetzt die richtigen Security-Konzepte erstellt und die passenden Sicherheitslösungen implementiert, profitiert von starker, digitaler Resilienz.

Lesezeit 7 Min.

Advertorial

Von Michael Klatte, ESET

Wie kann man mit begrenzten Budgets den ständig wachsenden Bedrohungen im Cyberspace standhalten? Besonders jetzt, da mit der Einführung der europäischen NIS-2-Richtlinie („Network and Information Security 2“) neue Anforderungen an die Cybersecurity gestellt werden, fühlen sich viele kleine und mittlere Unternehmen (KMU) unvorbereitet. Denn der Fachkräftemangel und die aktuelle Sicherheitslage machen es gerade kleinen und mittleren Unternehmen fast unmöglich, ein angemessenes Security-Niveau zu erzielen. Zusätzlich hat sich die Erarbeitung des deutschen Gesetzesentwurfs verzögert, und dieser Umstand sorgt für Unsicherheit bei Unternehmen.

Dies sind möglicherweise die wichtigsten Gründe, warum bislang die digitale Security-Transformation nicht so recht in Gang kommen mag. Eine repräsentative ESET-Umfrage, durchgeführt von YouGov unter Unternehmensentscheidern, zeigt, dass 38 Prozent der deutschen Unternehmen noch nicht mit der Umsetzung der NIS-2-Richtlinie begonnen haben. Erst jedes dritte Unternehmen hat die NIS-2-Richtlinie bereits umsetzt. 15 Prozent sind von der Richtlinie nach eigener Aussage nicht betroffen Weitere 14 Prozent wissen gar nicht, ob sie ihr nachkommen müssen.

Die Umfrage zeigt auch, dass IT-Abteilungen das Thema auf der Agenda haben. 48 Prozent der Befragten sagen, dass ihre Unternehmen die Richtlinie bereits erfüllen. 36 Prozent planen die baldige Umsetzung. Das Thema NIS-2 scheint hier nicht unbekannt zu sein, denn nur 3 Prozent antworten auf die Frage mit „Weiß nicht“.

Was Unternehmen jetzt tun müssen

Unternehmen sollten zeitnah prüfen, ob sie unter NIS-2 fallen. Wenn ja, bieten sich unter anderem die folgenden Schritte an, um sich darauf vorzubereiten:

  • Risikobewertung: Eine gründliche Analyse der eigenen IT-Infrastruktur und der potenziellen Risiken vornehmen.
  • Sicherheitsmaßnahmen implementieren: Basierend auf der Risikobewertung geeignete Sicherheitstechnologien und -prozesse einführen.
  • Notfallpläne entwickeln: Strategien für den Fall von Sicherheitsvorfällen ausarbeiten.
  • Regelmäßige Überprüfungen: Die Sicherheitsmaßnahmen sollten kontinuierlich überwacht und angepasst werden.
  • Bewusstsein schaffen: Schulungen und Workshops für Entscheidungsträger und IT-Personal durchführen.

Klar ist: Bei der aktuellen Bedrohungslage braucht es eigentlich keine NIS-2-Richtlinie, um das eigene Security-Niveau zu verstärken. Investitionen in IT-Sicherheit zahlen sich immer aus – und sind in der Regel günstiger, als Schäden durch Hacker oder Ransomware zu beseitigen. Zumal NIS-2 sogar als Blaupause dienen kann. Die Richtlinie beschreibt im Detail, welche Sicherheitsmaßnahmen als Mindestmaß aller Dinge gelten. Wer sich also bislang nicht an die Umsetzung getraut hat, weil das (Über-)Angebot an unterschiedlichen Sicherheitslösungen überfordert, hat nun einen genauen Anhalt, wo man nachjustieren muss.

Stand der Technik spielt auch hier große Rolle

Abbildung 1: Unternehmen haben noch deutlichen Nachholbedarf (Bild: ESET)

Wie entscheidend die Absicherung der IT-Infrastruktur und vertraulicher Informationen geworden ist, beweist der digitale Dauerbeschuss auf Organisationen beliebiger Größe. Astronomisch gestiegene Sicherheitslecks und Datenpannen zwangen die EU schon beim Thema Datenschutzrecht zum Handeln: Die DSGVO sollte häufige „Fehler im System“ wie mangelnde Sicherheitsvorkehrungen oder die Wahrnehmung von Datenschutz als lästiges Übel stärker eindämmen.

Hier spielte ein Begriff eine tragende Rolle, der sich auch in der NIS-2-Richtlinie wiederfindet: Stand der Technik. Die NIS-2-Richtlinie regelt in Art. 21 ausdrücklich, dass die betroffenen Unternehmen und Organisationen unter Berücksichtigung des Stands der Technik geeignete und angemessene technische, organisatorische sowie operative Maßnahmen vornehmen müssen, um Cybersicherheitsrisiken zu beherrschen und die Folgen von Sicherheitsvorfällen zu verhindern.

Was heißt denn Stand der Technik genau?

Auf den ersten Blick erscheint der Begriff „Stand der Technik“ absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition des Stands der Technik unterschiedlich ausfallen. Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff einen direkten Einfluss nicht nur auf kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.

Der Begriff Stand der Technik in der IT-Sicherheit ist nicht klar umgrenzt. So gibt es keine eindeutigen Handlungsempfehlungen oder eine genaue Definition, welche IT-Security-Technologien oder -Lösungen Unternehmen und Organisationen einsetzen sollen. Je mehr man sich mit diesem unbestimmten Rechtsbegriff auseinandersetzt, umso vielschichtiger und weitreichender wird seine Tragweite. Im Gegensatz zu anderen Branchen ist der Stand der Technik letzten Endes und schlimmstenfalls für das Überleben des Unternehmens entscheidend.

Vor diesem Hintergrund stellt sich generell die Frage, welche Anforderungen an die IT-Sicherheit auf Unternehmen zukommen und wie angemessene Maßnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umsetzung der eigenen Security vorantreiben möchten. Es reicht bekanntlich nicht mehr aus, nur eine Sicherheitslösung und eine Firewall zu implementieren. Allerdings gibt es aktuell kein klar definiertes Basisniveau für den Stand der Technik, an dem man sich orientieren könnte. Der Grund dafür liegt auf der Hand: Die Anforderungen und der tatsächliche Handlungsbedarf in puncto IT-Sicherheit unterscheiden sich von Organisation zu Organisation.

Zero-Trust-Security als eine Lösung

In mehreren aktuellen Erhebungen wurde deutlich, dass KMU hinsichtlich der technischen Maßnahmen nur über rudimentären Basisschutz verfügen. Fast die Hälfte der befragten Unternehmen setzten keinerlei Maßnahmen zur Anomalie- oder Schwachstellenerkennung ein, verzichteten auf Tools zum Patchmanagement oder zum Incident Management. Nur wenige der Befragten betrachteten ihr aktuelles Schutzniveau als angemessen in Bezug auf die aktuelle Cyberbedrohung.

Als eine mögliche Lösung zur effektiven Risikominimierung gelten Zero-Trust-Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.

Beispielsweise ist das Reifegradmodell von ESET ein praxiserprobtes Zero-Trust-Security-Konzept für Organisationen, die den Stand der Technik umsetzen möchten. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren Ist-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.

MDR als möglicher Rettungsanker

Abbildung 2: So funktioniert MDR in der Praxis (Bild: ESET)

Ein pragmatischer Ausweg aus dem Security-Dilemma erfreut sich immer größerer Beliebtheit. Unternehmen übertragen ihre IT-Sicherheit nämlich an externe Dienstleister, die sogenannte Managed-Detection-and-Response-(MDR)-Lösungen anbieten. Dahinter verbirgt sich ein professioneller Ansatz zur Sicherung von IT-Systemen und Daten vor Cyberbedrohungen. Im Wesentlichen handelt es sich dabei um einen externen Service, der von spezialisierten Anbietern bereitgestellt wird und eine umfassende Überwachung, Erkennung und Reaktion auf potenzielle Sicherheitsvorfälle umfasst.

MDR-Provider wie ESET nutzen fortschrittliche Technologien wie künstliche Intelligenz (KI), maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten in Echtzeit zu identifizieren und Maßnahmen einzuleiten. Je größer dabei der Anteil von eingesetzter KI ist, desto kostengünstiger kann die Dienstleistung angeboten werden. Managed-Detection and Response ist kein in Stein gemeißelter Service, sondern wird vom Anbieter individuell zusammengestellt.

ESET MDR eignet sich ideal für KMU

ESET MDR übernimmt für KMU rund um die Uhr Systemüberwachung, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie erweiterte Erkennungs- und Reaktionsfunktionen. Dabei handelt es sich um einen KI-basierten Dienst, der das Netzwerk überwacht und prüft. Alle ESET MDR-Kunden sind mit dem ESET eigenen Security- Information-and-Event-Management-(SIEM)-Tool verbunden, sodass Bedrohungen erkannt und mit vordefinierten Reaktionsmaßnahmen gestoppt werden können. ESET MDR ist in der Lage, Bedrohungen innerhalb von 20 Minuten zu erkennen und darauf zu reagieren. Dazu nutzt ESET eigene innovative Cybersicherheitstechnologien und Telemetriedaten, die das Unternehmen weltweit sammelt und auswertet. Für eine effektive Gefahrenabwehr können Kunden zudem auf eine Bibliothek mit vordefinierten Mustern zugreifen und eigene benutzerdefinierte Regeln erstellen. Bei bestimmten Erkennungen oder verdächtigem Verhalten von Dateien oder Prozessen werden dann entsprechende Aktionen ausgelöst. Für größere Unternehmen mit erweiterten Sicherheitsanforderungen oder solche, die ein Security Operations Center (SOC) betreiben, bietet sich ESET Detection and Response Ultimate an.

ESET AI Advisor

Die künstliche Intelligenz nimmt weiter Einzug in die Lösungen und Services von ESET. Mit dem ESET AI Advisor haben Sicherheitsverantwortliche eine weitere Unterstützung für den Security-Alltag an der Hand. Dieser innovative, generative KI-basierte Cybersecurity-Assistent verbessert die Reaktion auf Vorfälle und die interaktive Risikoanalyse. So können Unternehmen die Vorteile von Extended-Detection-and-Response-(XDR)-Lösungen nutzen, selbst wenn sie nur begrenzte IT-Ressourcen besitzen. ESET AI Advisor wurde erstmals auf der RSA Conference 2024 präsentiert und ist nun in ESET PROTECT MDR Ultimate und ESET Threat Intelligence verfügbar.

Der neue KI-Assistent bietet eine benutzerfreundliche Oberfläche, die Sicherheitsanalysten aller Qualifikationsstufen unterstützt. Er erleichtert die interaktive Risikoidentifikation, -analyse und -reaktion und stellt komplexe Bedrohungsdaten in einem leicht verständlichen Format dar. Auch weniger erfahrene IT- und Sicherheitsexperten können mit diesem Tool effektiv arbeiten.