Eine Hausordnung für IT-Systeme
NIS-2 einfach erklärt
NIS-2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung vergleichen, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert: Die europaweite Direktive ist das Regelwerk (Hausordnung), dessen Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS-2? Welche Maßnahmen müssen Firmen umsetzen? Dies erklärt die folgende Checkliste.
(Bild: Arvato Systems GmbH)
Nur wenige Anforderungen von NIS-2 sind grundlegend neu. Zu den Neuerungen gehört vor allem zweierlei:
- • Ab Mitte Oktober 2024 müssen Unternehmen relevante Security-Vorfälle melden. Sind sie dazu nicht in der Lage oder lassen sie die Meldefrist verstreichen, drohen empfindliche Bußgelder.
- • Davon unberührt führt NIS-2 auch viele Einzelmaßnahmen, die Firmen bereits umsetzen, in ein Regelwerk zusammen.
Dennoch ergeben sich für Unternehmen zentrale Aspekte, welche die NIS-2 betont und auf die Unternehmen besonders achten sollten.
1. System-Inventur
Unternehmen müssen ihre Systeme vollständig inventarisieren und Assets professionell managen. Nur so können sie Cyber-Risiken verlässlich handhaben. Doch kennen Firmen ihre Unternehmenswerte? Und sind diese vor Missbrauch oder Diebstahl geschützt? In der Haus-Analogie gedacht: Wie oft verstaut die Mieterschaft Schätze auf dem Dachboden und verliert gänzlich den Überblick darüber, was sie eigentlich alles Wertvolles besitzt. Vergleichbar dazu ist womöglich der Quellcode einer geschäftskritischen Unternehmens-Software auf einem Speichergerät unterhalb eines Schreibtisches abgelegt – und damit vor unberechtigten Zugriffen nicht sicher. Eine umfassende Bestandsaufnahme ist also der erste Schritt.
2. System-Monitoring
Unternehmen müssen ihre Systeme auf Schwachstellen scannen und ein Vorgehen für deren Beseitigung definieren. Da sie früher oder später Opfer eines Cyber-Angriffs werden, benötigen sie Systeme zur Angriffserkennung (SzA). Zudem braucht es weitere Maßnahmen wie Pentesting, Security Audits, Log Monitoring und Compliance Monitoring. Vergleichbar ist diese Anforderung mit der notwendigen Installation von Rauchmeldern im Haus, die eine Art Frühwarnsystem darstellen – wenn auch nicht ohne Restrisiko. Die Batterie könnte leer oder der Rauchmelder defekt sein. Für Unternehmen heißt dies, dass trotz ergriffener Prevention- und Detection-Maßnahmen ein Hacker-Angriff unbemerkt bleiben kann.
3. Schadenserkennung
Unternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und beheben. Darum sind automatisierte Detection- und Response-Maßnahmen ebenso in den Kernprozessen von Unternehmen zu verankern wie das Patch Management. Ein typisches Problem: Ein Unternehmen mit komplexer IT-Systemlandschaft setzt für das Schwachstellenmanagement auf lokale Excel-Listen. Weil es aufgrund der Menge an Schwachstellen den Überblick verliert, dringen Hacker in die Unternehmens-IT ein. Zum Verständnis der Vergleich: Ist im Haus beispielsweise eine Fensterscheibe oder ein Schloss defekt, lässt sich dies leicht erkennen und beheben. Doch was, wenn in einem Gebäudekomplex gleich mehrere solcher Schwachstellen identifiziert werden? Dann gilt es, die Dringlichkeit der Reparaturmaßnahmen zu bewerten und verschiedene Handwerker bei der Schadensbehebung zu koordinieren.
4. Sensibilisierung
Unternehmen benötigen zentrale Richtlinien und müssen Mitarbeitende und Geschäftsführung für Cyber-Gefahren sensibilisieren. Zudem ist neben Identity und Access Management auch Incident Management Pflicht. Ein mögliches Szenario: Weil Mitarbeitende oft unsichere Passwörter verwenden, sind ihre E-Mail-Konten in der Cloud nicht gesichert. Zugleich dürfen sie auf Geschäfts-Software zugreifen, ohne sich mit einem zweiten Faktor zu authentifizieren. Kriminelle gelangen dann über gehackte E-Mail-Konten in die Unternehmens-IT und breiten sich weiter aus. Sensibilisierung ist daher unverzichtbar, und Richtlinien verankern diese verbindlich für alle Beteiligten: So findet man eben auch in Hausordnungen Vorgaben, die es etwa untersagen, bei Unbekannten den Haustüröffner zu betätigen oder für Paketdienste Ablageorte innerhalb der Mieteinrichtung zu vereinbaren. Für die Unternehmens-IT bedeutet das: Mitarbeitende müssen den Umgang mit sensiblen Daten beherrschen. Es braucht Regeln für den Zugriff auf diese Daten. Und es muss überprüfbar sein, ob sie fehlerhaft sind.
5. Transparenz
Unternehmen müssen ihre Systeme mithilfe von Tools für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sowie Security Information and Event Management (SIEM) fortlaufend überwachen und bezüglich ihrer Sicherheitsrisiken bewerten. Das Problem: Unternehmen wissen oft nicht, welche Systeme ihre Mitarbeitenden einsetzen. Diese unbekannten oder ‘vergessenen’ Tools sind im Scope nicht erfasst und werden darum weder auf Schwachstellen gescannt noch gepatcht. Daneben können ungewollte Abhängigkeiten entstehen, weil das Personal unautorisierte Systeme nutzt, um wichtige Prozesse zu managen. Im Treppenhaus kann beispielsweise ein unbedarft abgelegter Müllsack ein Brandrisiko für alle Bewohner darstellen, welches sich so auch nicht auf einen Blick abschätzen lässt.
6. Notfallpläne
Unternehmen müssen mit vorab definierten Response-Maßnahmen im Angriffsfall unmittelbar reagieren können. Sie sind dazu verpflichtet, sicherheitsrelevante Vorfälle in einem bestimmten Zeitfenster zu melden – einschließlich Zwischen- und Abschlussmeldungen. Diese Meldewege müssen vorbereitet, bekannt und implementiert sein. Sensible Assets gilt es speziell abzusichern. Zudem sollten Unternehmen Vorkehrungen für Notfälle und bestimmte Szenarien treffen, denn: Notfallplanung, Notfallmanagement und Pläne für die Wiederherstellung des Geschäftsbetriebs sind Pflicht. So ist etwa auszuschließen, dass hochsensible Daten auf mobilen Geräten der Mitarbeitenden existieren, sodass unbefugte Dritte bei Verlust oder Diebstahl Zugang zu den Daten erhalten und das Unternehmen so Opfer von Hackerangriffen oder Erpressungen wird. Ein Beispiel aus der Hausordnung: In Mehrfamilienhäusern und Firmengebäuden müssen alle Fluchtwege ausgewiesen, gekennzeichnet und stets ungehindert zugänglich sein. Auch der Verlust von Zentralschlüsseln ist immer direkt anzuzeigen.
Das könnte Sie auch interessieren
Deutsche Unternehmen verzeichneten Schäden durch Datenlecks in Höhe von durchschnittlich 4,9Mio.€ pro Fall. Laut einem aktuellen IBM-Report waren gestohlene oder kompromittierte Zugangsdaten dabei der häufigste Angriffsvektor.‣ weiterlesen
Ein an der Technischen Chemie der Universität Duisburg-Essen (UDE) entwickelter 3D-Drucker soll dafür sorgen, dass Seltene Erden, ein wichtiger Bestandteil von Elektromotoren, effizienter genutzt werden können. Das Besondere: Das Baumaterial wird bereits während des Herstellungsprozesses analysiert, so dass eine Qualitätskontrolle in Echtzeit möglich ist.‣ weiterlesen
Durch Industrie 4.0 entstehen Datenräume für unterschiedlichste industrielle Anwendungen. Damit die heterogenen Prozesse und Systeme effizient ineinandergreifen, werden Standards für Datencontainer benötigt. Das Verbundprojekt David, das vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) über drei Jahre mit rund 290.000€ gefördert wird, forscht daher an einem gemeinsamen Datenraum.‣ weiterlesen
Ein individueller Fahrradsattel bietet viel Komfort, doch sind im Markt erhältliche Sättel meist standardisiert. Fizik, ein Hersteller für Fahrradzubehör, will diesen Umstand mit seinem One-to-One-Programm adressieren. Dabei helfen die 3D-Druck-Technologien von Carbon.‣ weiterlesen
Wenn 2023 das Jahr war, in dem die Welt die generative KI entdeckte, dann ist 2024 das Jahr, in dem Unternehmen diese neue Technologie wirklich nutzen und daraus einen Nutzen ziehen.‣ weiterlesen
Die Blockchain ist vielen aus dem Finanzsektor bekannt, etwa wenn es um Kryptowährungen geht. Doch kann die Technologie auch in anderen Wirtschaftsbereichen einen Mehrwert bieten? Das Ifo Institut hat die Verbreitung der Blockchain untersucht.‣ weiterlesen
Neben der Industrie kann auch die Kultur- und Kreativbranche vom digitalen Zwilling profitieren. Wie? Das zeigt Siemens am Beispiel des Großen Festspielhauses in Salzburg.‣ weiterlesen
Nanorobotik, Quantum Computing oder grüner Wasserstoff: Europas Anteil an globaler Deep-Tech-Finanzierung ist laut einer McKinsey-Analyse auf 19 Prozent gestiegen. Darin beobachtet die Unternehmensberatung auch, dass die Finanzierung seit einigen Jahren rentabler ist als Investitionen in verbrauchernahe digitale Technologien.‣ weiterlesen
Werkzeugbahnen für Zerspanprozesse in CAM-Systemen zu planen erfordert Expertenwissen. Viele Parameter müssen bestimmt und geprüft werden, um die Bahnplanung Schritt für Schritt zu optimieren. Im Projekt CAMStylus arbeiten die Beteiligten daran, diese Aufgabe zu vereinfachen - per KI-gestützter Virtual-Reality-Umgebung.‣ weiterlesen
AappliedAI hat vier KI Use Cases identifiziert, die es dem produzierenden Gewerbe ermöglichen, ihre Effizienz und Produktivität zu steigern. Mit der Anwendung bewährter Technologien können sich die Investitionen bereits nach einem Jahr amortisieren.‣ weiterlesen
Hinter jedem erfolgreichen Start-up steht eine gute Idee. Bei RockFarm sind es gleich mehrere: Das Berliner Unternehmen baut nachhaltige Natursteinmauern aus CO2 bindendem Lavagestein. Oder besser gesagt, es lässt sie bauen - von einem Yaskawa-Cobot HC10DTP.‣ weiterlesen
INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe
Zeitschrift für Industrie 4.0, Internet of Things & Digitale Transformation
Mit IoT-Technologie zum Nachhaltigkeits-Reporting
In einer Studie von Techconsult in Zusammenarbeit mit Grandcentrix wurden 200 Unternehmen ab 250 Beschäftigten aller Branchen zum Thema ESG in ihren Unternehmen befragt. Die Studie hebt die zentrale Rolle der jüngsten CSR-Direktive der EU bei der Förderung von Transparenz und Nachhaltigkeit in Unternehmen hervor. Dabei beleuchtet sie die Fortschritte und Herausforderungen bei der Umsetzung von Umwelt-, Sozial- und Unternehmensführungskriterien (ESG) im Zusammenhang mit der Nutzung von IoT-Technologien.‣ weiterlesen
Wie aus Schrott neuer Stahl wird
Mit über 2,2Mio.t verarbeitetem Schrott pro Jahr ist die Swiss Steel Group einer der größten Recyclingbetriebe Europas. Für seinen 'Green Steel', also Stahl aus recyceltem Material, arbeitet das Unternehmen an einem digitalen Zwilling des ankommenden Schrotts.‣ weiterlesen
GenAI stellt Unternehmen vor Herausforderungen
Laut einer aktuellen Studie von Hitachi Vantara betrachten fast alle der dafür befragten Unternehmen GenAI als eine der Top-5-Prioritäten. Aber nur 44 Prozent haben umfassende Governance-Richtlinien eingeführt.‣ weiterlesen
Generative KI als Wegbereiter für analytische KI
Mit generativer KI erlebt 'Right Brain AI', also eine KI, die kreative Fähigkeiten der rechten menschlichen Gehirnhälfte nachahmt, derzeit einen rasanten Aufstieg. Dieser öffnet aber auch die Tür für einen breiteren Einsatz von eher analytischer 'Left Brain AI'. Das zeigt eine aktuelle Studie von Pegasystems.‣ weiterlesen
