Cybersicherheit: Auf dem Weg zu strengeren Sicherungspflichten für Unternehmen

Kritische Einrichtungen (mit einem Umsatz von mehr als 50 Millionen Euro und mehr als 250 Beschäftigen) und wichtige Einrichtungen (mit einem Umsatz von mehr als 10 Millionen Euro und mehr als 50 Beschäftigen) in kritischen und hochkritischen Sektoren (siehe Tabelle unten) werden nun von diesen Regelungen zur Stärkung der Cybersicherheit betroffen sein.

Hochkritischer Sektor	Kritischer Sektor
Energie Transport Gesundheitswesen Bankensektor Wasserwirtschaft Digitale Infrastruktur Verwaltung von IKT-Diensten Öffentliche Verwaltung Raumfahrt	Post- und Versanddienste Abfallwirtschaft Herstellung Chemische Erzeugnisse Lebensmittel Digitale Anbieter Forschung

Die erste Fassung Richtlinie konzentrierte sich vor allem auf die folgenden Punkte:

• Der Ausbau der Kapazitäten auf nationaler Ebene für die Cybersicherheit
• Die Stärkung des Austauschs innerhalb der Europäischen Union
• Die Einführung von Verpflichtungen zum Risikomanagement und zur Meldung von Vorfällen für Betreiber zentraler Dienste und digitaler Datenverarbeiter.

Der zweite Teil europäischen NIS-2-Richtlinie bringt neue Herausforderungen für Unternehmen mit sich, darunter Folgendes:

• Einrichtung und Einhaltung von Risikomanagementmaßnahmen (Artikel 20 - Governance)
• Gewährleistung der betrieblichen Kontinuität und Sicherheit der Lieferkette
• Die Sicherheit bei der Einrichtung, Entwicklung und Wartung von Netzwerken und Informationssystemen gewährleisten (Artikel 21 - Risikomanagementmaßnahmen)
• Meldung von Vorfällen (innerhalb von 24 Stunden), die zu erheblichen betrieblichen oder finanziellen Schäden führen könnten (Artikel 23 - Berichtspflichten)

Nicht nur Unternehmen sind von diesen neuen Regelungen betroffen, sondern auch Zulieferer. Sie sind verpflichtet, die Sicherheit und Wartung ihrer Produkte zu gewährleisten und Vorfälle zu melden, die zu Betriebsschäden führen könnten.

Laut dem Global E-Security Barometer für 2024 investieren 51 % der Unternehmen in Technologien, mit denen sie Bedrohungen erkennen und Vorfälle aufspüren können, um die Einhaltung der Vorschriften zu verbessern. Angesichts der zunehmenden Bedrohungen und der sich schnell ändernden Standards für Netzwerksicherheit, wollen 85 % der Befragten Bedrohungen frühzeitig erkennen und verhindern. Die Videoüberwachung steht bei den befragten Unternehmen mit 55 % hinter der Zugangskontrolle an zweiter Stelle der Investitionen, die in den nächsten 18 Monaten zunehmen werden (Quelle: securitas technology barometer).

Zeitserver sind unerlässlich, um IT-Daten zu sichern und die neuen europäischen Anforderungen durch drei wesentliche Aufgaben zu erfüllen:

Mit welchen Lösungen lässt sich die Angriffsfläche reduzieren?

Es empfiehlt sich, eine zuverlässige lokale Quelle zu installieren, um nicht von externen Ressourcen abhängig zu sein und die Risiken zu vermeiden, die mit dem Abrufen der Uhrzeit aus dem Internet einhergehen. Der Zeitserver von Bodet sichert Netzwerke mithilfe der folgenden Funktionen:

• Physische Trennung durch Hinzufügen einer modularen Netzwerkkarte
• Logische Trennung nach dem Standard 802.1Q (VLAN)
• Netzwerkfilterung nach dem Standard 802.1X
• Kontrolle des Datenverkehrs mithilfe einer integrierten Firewall

Wie kann das Protokollierungssystem abgesichert werden?

Innerhalb eines Computernetzwerks muss jedes Ereignis protokolliert werden, insbesondere um die Rückverfolgbarkeit von Informationen, die Historie von Dateien und den Zugriff auf Daten zu gewährleisten. Mitunter dienen solche Informationen auch als rechtliche Beweismittel. Die Protokollierung ist also ein unverzichtbarer Baustein bei der Aufrüstung der Sicherheit eines Informationssystems. Ein Bodet-Zeitserver gewährleistet die Zeitstempelung aller digitalen Geräte durch die Verteilung von Zeitinformationen. Diese Informationen werden durch einen symmetrischen Schlüssel authentifiziert und erfüllen die Anforderungen der neuen NIS-2-Richtlinie.

Wie schützt man die Verwaltung von Informationssystemen?

Die Verwaltung von Informationssystemen ist eine regelmäßig von der Cyberkriminalität genutzte Angriffsfläche, um den Betrieb und die Sicherheit einer Infrastruktur und ihrer Daten zu kompromittieren. Die Bodet-Zeitserver reagieren mit folgenden Diensten auf diese Problematik:

• Eine über HTTPS zugängliche Webschnittstelle
• Eine verschlüsselte Benutzerauthentifizierung (LDAPS oder RADIUS)
• Eine verschlüsselte Überwachung (Syslog oder SNMPv3)

Die Richtlinie zur Cybersicherheit NIS 2 geht speziell auf zwei heute auftretende Probleme ein: die Sicherheit der Architektur und die Protokollierung von Informationssystemen für einen besseren Datenschutz.

Ein Zeitserver spielt eine wichtige Rolle bei der Bewältigung dieser Herausforderungen:

• Die Protokollierung des gesamten Computernetzwerks sowie dessen Analyse und Korrelation: Hier spielt der Zeitserver eine Schlüsselrolle, um alle Geräte im Netzwerk zu synchronisieren und so die Protokolle analysieren zu können.
• Die Sicherheit der Architektur: Der Zeitserver erweist sich als unverzichtbar, um sich gegen externe NTP-Quellen abzuschirmen.

Akteure aus dem Bereich der Cybersicherheit sind heute zur Stelle, um die Unternehmen bei ihrer Transformation und der Einhaltung der neuen Vorschriften zu unterstützen. Durch die Einführung effektiver Lösungen und neuer Anwendungen können sich Unternehmen und Institutionen vor Sanktionen schützen, die bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes betragen können, wenn die digitale Infrastruktur nicht in Einklang mit den Vorschriften gebracht wird. Auch wenn der Zeithorizont 2025 für die Umsetzung von Teil II der NIS-Richtlinie weit entfernt zu sein scheint, ist die Frist für die Implementierung heute auf Oktober 2024 festgelegt. Dies ist eine entscheidende Herausforderung, die für wichtige und kritische europäische Unternehmen daher immer dringlicher wird. Die neuen Regelungen verpflichten die Staaten der Europäischen Union, ein höheres Maß an Cybersicherheit zu bieten und so die Datensicherheit mit all ihren zukünftigen finanziellen Herausforderungen zu gewährleisten.