Die EU-Richtlinie zur Netzwerk- und Informationssicherheit soll EU-weit die Cybersicherheit verbessern. IT-Dienstleister bieten dazu automatisierte Security-Audits. Mit drei Kniffen können Unternehmen den Nutzen steigern.
Eine Kultur der Sicherheit in allen Sektoren, die gesellschaftlich relevant und stark von Informations- und Kommunikationstechnologien abhängig und somit verwundbar sind, soll die NIS2-Richtlinie schaffen. Betroffene Unternehmen sind künftig verpflichtet, „geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen (zu) ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen und die Auswirkungen von Sicherheitsvorfällen (…) zu verhindern oder möglichst gering zu halten.
Zu den erforderlichen Maßnahmen zählen unter anderem Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen sowie Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen. Aufsichtsbehörden können sich davon überzeugen, indem sie Nachweise anfordern oder Kontrollen vor Ort durchführen. Ebenfalls neu ist, dass der Geschäftsführung die Verantwortung für das Risikomanagement übertragen wird, für das sie gemäß der Richtlinie auch persönlich haften kann.
Von NIS2 betroffene Unternehmen müssen also verstehen, wie groß ihre Angriffsfläche und das Risiko eines Sicherheitsvorfalls ist und welche Maßnahmen erforderlich sind, um dieses Risiko so weit wie möglich zu reduzieren. IT-Dienstleister und Managed Service Provider unterstützen dabei mit automatisierten Security-Audits.
Die Basis für alle Sicherheitsmaßnahmen
Automatisierung hat die Security-Audits in den vergangenen Jahren deutlich vereinfacht und für eine breite Anwenderschicht erschwinglich gemacht. Was einst einen Vor-Ort-Termin des IT-Dienstleisters erforderte und eher selten in Anspruch genommen wurde, lässt sich nun im Rahmen von Software as a Service zu einem Bruchteil der Kosten beliebig oft durchführen. Ähnlich einem Pentest scannen die Audit-Lösungen die IT-Infrastruktur des Unternehmens und liefern anschließend einen detaillierten Report, der die Schwachstellen im System auflistet und die Sicherheitslage bewertet. Auf dieser Basis stimmen Unternehmen mit ihrem IT-Dienstleister Maßnahmen zur Verbesserung der Sicherheit ab.
Mit automatisierten Security-Audits erhalten Unternehmen nicht nur ein realistisches Bild ihrer Angriffsfläche, sondern unterstützen auch die Entscheidungsprozesse rund um alle Sicherheitsmaßnahmen. Um den vollen Nutzen aus diesen Audits zu ziehen, sollten die Verantwortlichen die folgenden Punkte beachten, argumentiert der Security-Spezialist Lywand Software:
- Eigenständige Audit-Lösungen nutzen
Unternehmen sollten sicherstellen, dass ihr IT-Dienstleister über eine eigenständige Lösung zur Durchführung von Security-Audits verfügt. Dies mag nicht immer transparent sein, da Security-Audits oftmals Bestandteil von Managed Services-Paketen sind, in denen die genutzten Produkte nicht aufgelistet sind. Es lohnt sich jedoch, dies zu überprüfen. Denn zahlreiche Lösungen für Remote Monitoring and Management bieten in ihrem Funktionsumfang eine Schwachstellenanalyse. Oft führen sie allerdings lediglich einen Softwareversionsabgleich durch und erreichen somit nicht den Detailgrad eigenständiger Security-Audit-Lösungen. Um ein möglichst konkretes Bild ihrer Sicherheitslage zu erhalten, sollten Unternehmen daher mit ihren IT-Dienstleistern klären, welche Lösung sie im Portfolio haben.
- Auch externe Infrastruktur testen
Viele Security-Audits konzentrieren sich auf interne Bereiche wie die Windows-Server-Umgebungen. Doch die extern erreichbaren Elemente von IT-Infrastrukturen sind ebenfalls ein empfindlicher Bestandteil der Angriffsfläche. Sicherheitsrisiken können dort beispielsweise durch Fehlkonfigurationen in Servern oder Firewall, sowie Schwachstellen in Webanwendungen entstehen. Diese können zu einer Kettenreaktion führen, die sich in andere Bereiche ausdehnen kann. Beispielsweise kann ein Datenleck in Folge eines Angriffs auf eine externe Website die Sicherheit der damit verbundenen Systeme gefährden. Ein realistisches Bild der gesamten Angriffsfläche zeigt nur ein Blick auf die gesamte Infrastruktur. Unternehmen sollten daher bei ihren Dienstleistern nachfragen, ob diese auch die externe Infrastruktur in ihren Audits berücksichtigen.
- Verständliche Reports verlangen
Mit NIS2 ist die IT-Sicherheit nicht mehr vorwiegend Sache der IT-Abteilung – nun ist auch die Geschäftsführung in der Pflicht. Ergebnisreports von Security-Audits bilden für alle Verantwortlichen eine Entscheidungsgrundlage über weitere Maßnahmen im Risikomanagement. Während IT-Administratoren eine möglichst detaillierte Ergebnisübersicht bevorzugen, um gegebenenfalls die Sachlage selbst nachzuvollziehen, benötigen Geschäftsführer in erster Linie eine verständliche Darstellung der Zusammenhänge, eine Bewertung der gefundenen Schwachstellen sowie eine Priorisierung der erforderlichen Maßnahmen. Unternehmen sollten daher Wert darauf legen, dass die Security-Reports unterschiedlichen Anforderungen gerecht werden. Verständliche Berichte schaffen eine einheitliche Gesprächsgrundlage und erleichtern die Zusammenarbeit.
NIS2 verlangt von Unternehmen, dass sie ihre Security-Kultur ändern. Sie müssen Kontrolle über ihre Angriffsfläche gewinnen, indem sie ihre IT-Infrastruktur regelmäßig überprüfen. Auch die Geschäftsführung sollte künftig einen Überblick der aktuellen Sicherheitslage haben. Richtig eingesetzt steigern Security-Audits die Qualität der internen Dokumentation. Zudem verbessern sie die Auskunftsfähigkeit gegenüber Aufsichtsbehörden. Jf
Der Autor
Tom Haak ist CEO des Security-Spezialisten Lywand Software.
