04 Special KRITIS Leseprobe

Verlagsbeilage, August 2023 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Special NIS-2-Richtlinie: Was Unternehmen tun sollten, um vorbereitet zu sein S. 26 Netzwerk- sicherheit: Firewall- Orchestrierung in der Praxis S.12 Sicherheit für kritische Infrastruk- turen

Inhalt Wie ein Begriff die IT-Sicherheit entscheidend verändert Kunden verwenden den Begriff „Stand der Technik“ oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungs- bereich kann die Deﬁ nition von Stand der Technik unter- schiedlich ausfallen. Seite 4 Wie sich Insellösungen bei der Ano- malieerkennung in der OT-Security ver- meiden lassen Eine Angriffserkennung für Produktionsanlagen erfordert aufgrund ihrer Strukturen, Geräte und Protokolle spezielle Lösungen. Insgesamt gilt es, die OT-Security in das Gesamt- konzept der Automatisierung zu integrieren und nicht als Fremdkörper oder Insellösung zu betrachten. Seite 6 NIS-2: Es wird ernst Bis Oktober 2024 soll die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Worauf müssen sich Unternehmen einstellen? Seite 10 Firewall-Orchestrierung in der Praxis Je komplexer die Organisation, desto schwieriger wird es für IT-Verantwortliche, den Überblick über alle Firewall-Regeln zu behalten. Melvin Hayn von Cactus eSecurity gibt im Interview KRITIS-Betreibern Tipps zum Thema Firewall- Orchestrierung. Seite 12 Patientensicherheit mit Schlüsselfertigem ISMS gewährleisten Neue Gesetze und Verordnungen nehmen Kranken- haus- und Klinikbetreiber in die Pﬂ icht, Cybersicherheit umzusetzen. Ein ISMS kann bestehende Standards wie die ISO-Bestimmungen oder den IT-Grundschutz nutzen und neue schaffen. Unkompliziert und schnell geht es dabei mit schlüsselfertigen ISMS-Lösungen. Seite 15 Jetzt handeln und IT-Sicherheitsniveau steigern Die NIS-2-Direktive setzt viele Unternehmen unter Druck. Sie müssen das Thema IT-Sicherheit ganzheitlich angehen und geeignete Maßnahmen realisieren, um schnell und ef- fektiv auf Sicherheitsvorfälle zu reagieren. Wir geben einen Überblick, welche Schritte Verantwortliche auf dem Weg zu NIS-2 helfen. Seite 18 Security-Awareness-Training für KRITIS-Betreiber Zum Schutz der KRITIS-Betreiber und ihrer Lieferketten sind angesichts der Bedrohungslage Security-Awareness-Schu- lungen für alle Mitarbeiterinnen und Mitarbeiter unerläss- lich. Ein gutes Trainingsprogramm zielt dabei jedoch nicht nur auf die Schulung von Einzelpersonen ab. Seite 20 Angreifer schlagen außerhalb der Geschäftszeiten zu Die permanente Datenerfassung und -analyse durch ein Se- curity-Operations-Center (SOC) ist für den Schutz kritischer Infrastrukturen unerlässlich. Noch viel wichtiger sind aber schnelle Reaktionsfähigkeiten im Ernstfall. Seite 23 Was Sie jetzt tun sollten, um gut vorbereitet zu sein Die NIS-2-Richtlinie macht Risikomanagement zur Pﬂ icht. Unternehmen müssen in der Lage sein, Cyberrisiken zu er- kennen, zu bewerten und zu mindern. Wie gelingt das am besten und worauf sollten Security-Verantwortliche dabei achten? Seite 26 News und Produkte Seite 28 Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁ nden Sie online auf www.kes.info/media/. GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁ lm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 41 vom 01. Januar 2023 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: Inga Nielsen - stock.adobe.com © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 3

Management und Wissen Stand der Technik: Wie ein Begriff die IT-Sicherheit entscheidend verändert Unternehmen müssen den Spagat zwi- schen Bedrohungslage, gesetzlichen Anforderungen und eigenen Security- Ansprüchen meistern Auf den ersten Blick erscheint der Begriff „Stand der Technik“ absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Tech- nologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unter- schiedlich ausfallen. Von Michael Klatte, ESET Deutschland GmbH Besonders in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforde- rungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie dem Informationssicherheitsgesetz (Schweiz), dem Netz- und Informationssystemsicherheitsgesetz (Öster- reich) oder dem BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation. Aufklärungsarbeit muss intensiviert werden Offensichtlich ist das noch längst nicht jedem Verantwortlichen geläufig. In einer aktuellen Umfrage von ESET zeigte sich, dass lediglich 37 Prozent der Befragten glaubten, den Stand der Technik in der IT-Security richtig definieren zu können. Ein Trugschluss, wie die dazu ge- wählte Kontrollfrage bewies: Nur etwas mehr als die Hälfte von ihnen lag tatsächlich korrekt. Dieses Ergebnis zeigt eindeutig, dass noch viel Aufklärungsarbeit zu leisten ist. „Hinter dem Begriff Stand der Technik in der IT-Sicherheit verbergen sich leider keine klar umgrenzten Handlungsempfehlungen oder eine eindeutige Defini- tion, welche IT-Security-Technologien oder -Lösungen einzusetzen sind. Es handelt sich vielmehr um einen un- bestimmten Rechtsbegriff, dessen Tragweite sich erst bei intensiver Betrachtung als vielschichtig und weitreichend herausstellt“, sagt Michael Schröder, Manager of Security Business Strategy DACH bei ESET Deutschland. „Dies gilt nicht nur für Kunden, sondern auch für Reseller, Fach- händler, Systemhäuser, Distributoren und schließlich die Hersteller selbst. Anders als in anderen Branchen ist der Stand der Technik am Ende (und sogar im schlimmsten Fall) für das Überleben des Unternehmens entscheidend.“ Relevanz für den IT-Alltag Wie stark sich der Stand der Technik bereits im IT-Alltag verfestigt hat, erleben aktuell viele Unterneh- men, die an eine Cyberversicherung als Teil ihrer Sicher- heits- und Risikomanagementstrategie denken. Diese soll das Restrisiko absichern, das trotz aller eingesetzten Maß- nahmen und getroffenen Vorkehrungen der Worst Case – ein erfolgreicher Cyberangriff – eintritt. In diesem Fall hilft die Police, die entstandenen Schäden auf ein vertret- bares Minimum zu reduzieren. Immer mehr Versicherer gehen jedoch dazu über, die Security-Anforderungen für ihre Policen zu verschärfen – ganz im Sinne von Stand der Technik. Wer sich als Versicherungsnehmer beispiels- weise vor Störungen im Alltag, Datenverschlüsselungen durch Ransomware-Angriffe oder Haftpflichtschäden bei Datenschutzvorfällen absichern möchte, der muss entsprechende IT-Sicherheitskonzepte und -maßnahmen vorweisen können. Versicherern reicht es immer seltener aus, wenn Organisationen lediglich einen Basisschutz betreiben und einen Aufbau eigener Schutzmaßnahmen sowie regelmä- ßige Investments in die Infrastruktur versprechen. Die logische Konsequenz: die Ablehnung des gewünschten Versicherungsvertrags oder eine Police mit kostspieligen Aufschlägen. Übrigens sind „unscharfe“ Angaben in punc- to IT-Sicherheit keine gute Idee, um die Beitragszahlungen klein zu halten. Versicherungen werden einen Schaden nur dann ersetzen (oder überhaupt absichern), wenn die getroffenen Maßnahmen für die jeweilige Organisation als angemessen angesehen werden und somit das Risiko von Sicherheitsvorfällen nachweislich minimiert wurde. Von der Theorie zur Praxis Vor diesem Hintergrund stellt sich generell die Fra- ge, welche Anforderungen an die IT-Sicherheit auf Unter- 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

zu: Sie zeigt im Detail, welche Maßnahmen ergriffen werden sollten. Dazu zählen beispielsweise die Schulung und die Sensibilisierung der Mitarbeiter, ein belastbares IT-Notfallmanagement sowie die regelmäßige Überprü- fung und Aktualisierung der IT-Sicherheitsrichtlinien und -verfahren. Für größere Organisationen kommt zum Beispiel auch die Einführung eines Information-Securi- ty-Management-Systems infrage. Eine regelmäßige Überprüfung der eigenen Maß- nahmen ist in diesem Zusammenhang unerlässlich. Wie hat sich die Technologie am Markt entwickelt? Gibt es mittlerweile Veränderungen in meinen Prozessen sowie meiner Arbeitsweise, und bilden sich dadurch neue Ri- siken? Penetrationstests und auch die Expertise externer Spezialisten helfen hier weiter. Neben diesen rein organisa- torischen Fragen spielt auch der Anbieter der eingesetzten Security-Lösungen eine zentrale Rolle. Dieser sollte immer die neusten Techniken und Schutzmodule im Repertoire haben. Viele Lösungen finden Verantwortliche in der Handreichung zum Stand der Technik vom TeleTrust-Ver- band oder im kostenlosen Whitepaper von ESET. Zero-Trust-Security anhand des Reifegradmodells Als eine mögliche Lösung zur effektiven Risi- kominimierung gelten Zero-Trust-Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren. Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihen- folge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik. Beispielsweise ist das Reifegradmodell von ESET ein praxiserprobtes Zero-Trust-Security-Konzept für Orga- nisationen, die den Stand der Technik umsetzen möchten. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Techniken oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Or- ganisationsgröße sinnvoll. Können Sie erklären, was mit dem Begriff „Stand der Technik“ im Bereich IT-Sicherheit gemeint ist? (Quelle: ESET-Umfrage 2023, 982 Befragte) nehmen zukommen und wie angemessene Maßnahmen aussehen könnten. Denn ein unbestimmter Rechtsbegriff hilft Entscheidern wenig, wenn sie die praktische Umset- zung der eigenen Security vorantreiben möchten. Es reicht bekanntlich nicht mehr aus, nur eine Sicherheitslösung und eine Firewall zu implementieren. Allerdings gibt es aktuell kein klar definiertes Basisniveau für den Stand der Technik, an dem man sich orientieren könnte. Der Grund dafür liegt auf der Hand: Die Anforderungen und der tatsächliche Handlungsbedarf in puncto IT-Sicherheit unterscheiden sich von Organisation zu Organisation. Es gilt also immer, die eigene individuelle Situation exakt zu betrachten. Erst anhand einer Risikoanalyse kann man bestimmen, welche technischen Maßnahmen ein „angemessenes Schutzniveau“ überhaupt versprechen. Im gleichen Zuge sind verschiedene Aspekte zu betrachten, wie zum Beispiel die wirtschaftliche Machbarkeit und die Fähigkeit zur Umsetzung. Von einem Freelancer kann niemand ernsthaft eine Endpoint-Detection-and-Respon- se-(EDR)-Lösung für seinen PC verlangen. Inzwischen besteht ein gewisser Common Sen- se, was für jeden umsetzbar, bezahlbar und leistbar ist. Dazu zählt für Unternehmensrechner beispielsweise der sogenannte Multi Secured Endpoint, der sich für jede Organisationsgröße in Anbetracht der aktuellen Bedro- hungslage und der Datenschutzgesetze eignet. Dieser Basisschutz erfordert auf jedem PC Malwareschutz, Da- tenträgerverschlüsselung, Multi-Faktor-Authentifizierung und Cloud-Sandboxing. Auf dem Markt gibt es eine Viel- zahl dedizierter technologischer Lösungen und Services, die von Experten bereitgestellt werden. Zudem beraten externe Dienstleister und Security-Hersteller mit ihrer Expertise Organisationen umfassend bei der Einhaltung des Stands der Technik. Unternehmen müssen organisatorische Maßnahmen umsetzen und überprüfen Wer sich um den Stand der Technik bemüht, kommt an organisatorischen Maßnahmen zur Umset- zung von IT-Sicherheitsanforderungen nicht vorbei. Auch wenn sie viel Arbeit machen, tragen sie entscheidend dazu bei, dass die eingesetzten Produkte und Services optimal strukturiert und konfiguriert sind. Auch hier kommt der durchgeführten Risikoanalyse eine entscheidende Rolle Das Whitepaper „IT-Security auf dem Stand der Technik“ vermittelt kompakt, was sich hinter dem ver- meintlich einfachen Begriff versteckt und welche direkten Auswirkungen er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen hat. Es kann kostenlos unter www.eset.de/stand-der-technik herunter- geladen werden. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 5

Management und Wissen Automatisierung und IT-Sicherheit: Wie sich Insellösungen bei der Anomalieerkennung in der OT-Security vermeiden lassen Eine Angriffserkennung für Produktionsanlagen erfordert aufgrund ihrer Strukturen, Geräte und Protokolle spezielle Lösungen. Herkömmliche Erkennungsmethoden sind für vernetzte Automatisierungs- und Produktionsanlagen oft nicht anwendbar und auch nicht ausreichend. Insgesamt gilt es, die OT-Security in das Gesamtkonzept der Automatisierung zu integrieren und nicht als Fremdkörper oder Insellösung zu betrachten. Von Dieter Barelmann, VIDEC Data Engineering GmbH Bereits seit Sommer 2015 ist in Deutschland das IT-Sicherheits- gesetz in Kraft. Es wurde im Mai 2021 aktualisiert und schreibt mit einer Frist bis zum 1. Mai 2023 vor, dass KRITIS-Betreiber Systeme zur Angriffserkennung implementie- ren müssen. Dieser Termin ist nun verstrichen, aber längst nicht alle betroffenen Unternehmen sind den gesetzlichen Regelungen nachge- kommen. Auch die Aufforderungen der Regierungen (Bund und Länder) sind verhallt. Die meisten Unter- nehmen sind bisher noch nicht über die Planungsphase hinaus, obwohl die Umsetzung im eigenen Interesse schnellstmöglich erfolgen sollte. Ein Grund dafür ist beispiels- weise, dass die auf dem Markt erhält- lichen Insellösungen sowie überteu- erte Gesamtlösungen die betroffenen Unternehmen eher verwirren und abschrecken, als dass sie der Sache helfen. Aus unseren Erfahrungen bei der Einführung von Anomalieerken- nungen haben wir daher wichtige Punkte herausgearbeitet, die Anwen- der dabei unterstützen, das Projekt Angriffserkennung schnell und ohne Schwierigkeiten umzusetzen. Abbildung 1: Maximale Transparenz bei minimalem Aufwand Einfache Handhabung Jedes System ist nur so gut wie die Menschen, die es bedienen. Dieser Leitsatz hat uns bei der Ent- wicklung der Security-Appliance IRMA (Industrie Risiko Management Automatisierung) stark geprägt. Eine einfache Handhabung und ein schneller Überblick auf die laufende Anlage haben die Funk- tionen vereinfacht und verbessert und zusätzlich die Akzeptanz beim Personal erhöht. Alle wichtigen In- formationen auf einen Blick, der Si- cherheitsstatus der gesamten Anlage in einer Grafik sichtbar, die sofortige Analyse verfügbar – das ist der erste Eindruck von IRMA. Im Leitsystem zum Beispiel gibt die Kennzahl des Bedrohungslevels in einer einfachen grafischen Darstellung dem Anla- genpersonal einen schnellen Über- blick. Schnelle und einfache Umsetzung bei der Integration Bei der Einführung eines Systems sind immer ein paar Hürden zu nehmen. So sind zum Beispiel die Kenntnisse des Personals durchaus unterschiedlich. Die Prozedur bei 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

der Integration ist allerdings fast immer identisch. Das IRMA-System wird an einen Mirrorport ange- schlossen und beginnt ab diesem Zeitpunkt, sämtliche Informationen aus dem Netzwerk aufzuzeichnen und Angriffsmuster aufzuspüren. Die Systemverantwortlichen werden in maximal zwei Tagen auf das System geschult und können mit der Validie- rung der Assets beginnen. Im gleichen Arbeitsgang wird eine Risikobewertung durchgeführt, um in der späteren Betrachtung alle Entscheidungskriterien zur Hand zu haben. Sind alle Assets validiert, sieht man im Dashboard den Zustand der Anlage sowie den Netzstrukturplan auf einen Blick. Support, Partnernetz und Schulungen Viele Endkunden verfü- gen nicht über eine ausreichende Personalstruktur, um Funktionen wie Support und Schulung selbst umzusetzen. Für die anfallenden Dienstleistungen ist ein flächende- ckendes Partnernetzwerk wichtig. Hier kann der IRMA-Anwender sich frei entscheiden, mit welchem der Systempartner er zusammenarbeiten möchte. Erstellt er die Applikation allein, kann er zu den Geschäfts- zeiten auf den technischen Support zurückgreifen. Für alle Szenarien wurden spezielle Schulungsblöcke entwi- ckelt. Für den Einstieg wird eine eintägige kostenlose Produktschu- lung angeboten. Hier kann sich der Interessent orientieren, und er bekommt einen Einblick in die Funktionen und Anforderungen. Um ein System komplett zu schulen, haben wir einen zweitägigen Kurs entwickelt, der es dem Anwender ermöglicht, die Konfiguration selbst zu übernehmen. Darüber hinaus gibt es eine Bedienerschulung für Mitar- beiter, die das System nicht projek- tieren, sondern im Arbeitsablauf als Werkzeug benutzen. Abbildung 2: Mit IRMA hat man immer ein Ohr an seinen Daten. Kontinuierliche Weiter- entwicklung „Made in Germany“ Integration in die OT-Architektur und deren Schnittstellen Um die Anforderungen des Bundesamtes für Sicherheit in der In- formationstechnik (BSI) auch in den nächsten Jahren erfüllen zu können, ist es wichtig, dass die Software in Deutschland entwickelt wird. Neben der Möglichkeit, schnell auf aktua- lisierte Anforderungen reagieren zu können, kann so die Qualität der Entwicklung und die Liefersicherheit gewährleistet werden. Darüber hi- naus wird sichergestellt, dass es keine Hintertüren im Programm gibt. Kenntnisse in der Automatisierung, Security und IT Wer seine Produktion schüt- zen möchte, benötigt erweitertes Know-how im Bereich der Automa- tisierung. Dieses Feld wird von uns seit über 30 Jahren durch sämtliche Bereiche betreut beziehungsweise supportet. Die Kenntnisse in der IT kamen automatisch dazu und ha- ben sich in den letzten acht Jahren durch das Thema Operational-Tech- nology-(OT)-Security entsprechend vertieft. Für die Anwendungen in der OT-Security existiert in allen Be- reichen des Unternehmens ein gutes Verständnis, was unseren Kunden zugutekommt. Industrielle Netzwerke und Protokolle sind vielfältig und mit- unter viele Jahre im Einsatz. Eine Se- curity-Appliance richtig einzusetzen, ist durch unser technisches Personal leicht zu realisieren. Eine Integration kann schrittweise erfolgen, je nach Budget und verfügbaren Ressourcen. In den nächsten Versionen werden weitere Schnittstellen zur Verfügung stehen, um die wichti- gen Security-Informationen in den unterschiedlichen Bereichen der Produktion und dem Security-Ma- nagement zur Verfügung zu stellen. Auf der OT-Ebene liegt der Schwer- punkt auf einer WebAPI sowie einem integrierten OPC-UA-Server. Damit lassen sich die Informationen in die Leitsystemebene sowie auch zu Se- curity-Information-and-Event-Ma- nagement-(SIEM)-Systemen einfach weiterleiten. Zusatznutzen einer Anomalie-/Angriffs- erkennung Neben der Erfüllung der Anforderungen des BSI sind weite- re nützliche Funktionen in IRMA integriert. Die sofortige Übersicht über den Sicherheitsstatus ist wohl © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 7

Management und Wissen Abbildung 3: Eine nahtlose Integration in das OT-Umfeld und SIEM-Systeme ist selbstverständlich. die wichtigste. Aber auch die Mög- lichkeit eines stets aktuellen Netz- strukturplanes mit verschiedenen Einstellungsmöglichkeiten bringt einen aktuellen Überblick über die Anlage. Zudem ermöglicht das in- tegrierte Risikomanagement durch eine zeitnahe Bewertung eine rasche Identifizierung der Bereiche, in die vorrangig investiert werden sollte. Eine Übersicht über alle akti- ven Assets ermöglicht es dem Nutzer, sich schnell über den Status seiner Anlage zu informieren. Das kann bei Serviceeinsätzen und Inbetriebnah- men erheblich Zeit sparen. Auch bei Netzwerkproblemen lässt sich das Werkzeug optimal zur Fehlerfindung einsetzen. Das Berichtswesen spei- chert wichtige Informationen und bietet die Möglichkeit, diese in einem Report auszugeben. Damit hat der Anwender eine einfache Übersicht zur Dokumentation. Es gibt Anlagen, bei denen man sagen kann, dass die Ver- antwortlichen die Kontrolle über das Netz verloren haben. Über Jahrzehnte wurden einfach Geräte ins Netzwerk hinzugenommen. Netzwerkpläne – sofern überhaupt vorhanden – wurden nicht erneu- ert. Im Fall eines Angriffs ist die Handlungsfähigkeit damit sehr stark reduziert. Das Netzwerk ist jedoch das Rückgrat der Automation. Im Fall einer Anomalie ist schnelles, entschiedenes und sicheres Handeln gefragt. Handlungsfähigkeit ist so- mit der wichtigste Faktor bei einem Angriff. Unsere Kunden lernen über IRMA ihr OT-Netzwerk kennen. Fast immer werden Netzwerkteilnehmer gefunden, die eigentlich nicht da sein sollten. Kommunikationsbezie- hungen, ebenfalls über Jahrzehnte gewachsen, sind auf einmal sichtbar. Das Gefühl, sein OT-Netz- werk so gut wie den Rest der Auto- matisierung zu kennen, gibt unseren Kunden ein Gefühl der Sicherheit. Der Bedrohungswert, ein Indikator für unbekanntes Verhalten, erzeugt auf einen Blick das Gefühl, dass alles in Ordnung und nichts Unbekanntes hinzugekommen ist. Wenn externe Servicetechni- ker sich auf die Anlage aufschalten, werden sie unmittelbar sichtbar. Je- der Teilnehmer und jede Aktion kann somit protokolliert werden. Mit einer IRMA holen sich unsere Kunden die Kontrolle über ihr Netzwerk zurück. Keine Doppelung der Funktionen Um sämtliche Informa- tionen mit möglichst geringem Aufwand und größtem Nutzen zu vereinen, sind Doppelungen der Funktionen zu vermeiden. In der Regel haben Unternehmen bereits ein paar Werkzeuge für Funktionen im Einsatz. Das können Werkzeuge im Bereich Netzwerk sein oder auch Listen in denen die Assets verwaltet werden. Doppelungen verursachen Mehrarbeit für die Mitarbeiter und reduzieren die Möglichkeit, zentral auf Informationen zuzugreifen. Nach einer gewissen parallelen Laufzeit sollten diese Werkzeuge abgeschaltet werden. Fazit Anomalien frühzeitig zu erkennen und zu melden, ist von entscheidender Bedeutung für die Sicherheit der Anlagen nach KRITIS, Dienstleistungen und Produktions- anlagen. Um Angriffe erfolgreich zu verhindern, ist das Protokollieren und Detektieren von Änderungen in den Anlagen ein wesentlicher Faktor. Die Überwachung des Netzes ist da- her von entscheidender Bedeutung. So können die gesetzlichen Anforde- rungen schnell und effizient erfüllt und die Verfügbarkeit sichergestellt werden. So einfach, so sicher. n 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

Management und Wissen und Zugriffsmanagement helfen, die gesetzlichen Vorgaben einzuhalten. Strafen bis zu 10 Millionen Euro Schon aus Eigeninteresse sollten Unternehmen sich aktiv gegen Cyberkriminalität schützen, aber auch der Druck durch den Ge- setzgeber steigt. Während NIS-2 bei Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hi- nausgeht, müssen Unternehmen mit schärferen Kontrollen, Nach- weispflichten und im Fall der Zuwi- derhandlung mit deutlich höheren Strafen rechnen. So wurde unter an- derem die Obergrenze bei Verstößen gegen die Cybersecurity-Maßnah- men oder Meldepflichten von 50 000 Euro deutlich erhöht: Unternehmen der Kategorie „Wesentliche Einrich- tungen“ drohen nun Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie „Wichtige Einrichtungen“ liegen die Höchststrafen bei 7 Millionen Euro oder 1,4 Prozent des Vorjahresum- satzes – jeweils je nachdem, welche Summe höher ist. Fazit Viele Unternehmen, die nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des kommenden IT-Sicherheitsgesetzes 3.0 unterliegen. Daher sollten alle bisher unregulierten Unternehmen prüfen, ob sie betroffen sind. Ist dies der Fall, müssen die nötigen Schutzmaßnahmen ermittelt und implementiert werden. Für die Umsetzung können Experten wie Outpost24 hinzugezogen werden. Mit deren Unterstützung werden die gesetzlichen Bestimmungen erfüllt und Präventionsmaßnahmen zuver- lässig durchgesetzt, ohne Gefahr zu laufen, die eigenen IT-Ressourcen zu überlasten. n NIS-2: Es wird ernst Bis Oktober 2024 soll die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Das Ziel – ein modernisierter Rechts- rahmen, der mit der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität Schritt hält. Worauf müssen sich Unternehmen einstellen? Von Patrick Lehnis, Outpost24 Für alle, die bereits unter die Bestimmungen von NIS-1 fie- len, sind die Änderungen nicht gravierend. Nach Artikel 21 müssen weiterhin Maßnahmen in den Be- reichen Cyber-Risikomanagement, Business-Continuity-Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zu- gangskontrolle und Authentisierung durchgeführt werden. Neu hinzuge- kommen ist in NIS-2 die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist das allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben. Aber: Eine der wichtigsten Änderungen durch NIS-2 ist die Er- weiterung des Anwendungsbereichs. Die neue Regelung bezieht eine viel größere Zahl an Organisationen und Sektoren mit ein, darunter kleine Un- ternehmen und digitale Plattformen. Daher ist die erste Frage, die gestellt werden muss: „Bin ich betroffen?“ Wenn ja, lautet die zweite: „Was muss ich tun?“ Gerade kleinere Unterneh- men können mit der Umsetzung der festgelegten Meldepflichten und den geforderten Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleis- tungen überfordert sein, denn laut Richtlinie müssen sie diese aktiv ver- teidigen. Dazu gehört beispielsweise, dass regelmäßig Penetrationstests durchgeführt sowie Systeme zur Meldung von Sicherheitsvorfällen eingerichtet werden müssen. Um dies gewährleisten zu können, ist es sinnvoll, auf das Know-how von Experten wie Outpost24 zurück- zugreifen. Deren Erfahrungen im Bereich Cyber-Risk-Management und Tools zum Schwachstellenma- nagement von Webanwendungen, Cloud- und On-Prem-Infrastruktur sowie Cyber-Threat-Intelligence 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

Interview Firewall-Orchestrie- rung in der Praxis Je komplexer die Organisation, desto schwieriger wird es für IT-Verantwortliche, den Überblick über alle Firewall-Regeln zu behalten. Spätestens wenn ein Unternehmen Firewalls unterschiedlicher Hersteller einsetzt, fehlt meist eine einheit- liche Sicht auf sämtliche Konfigurationen. Melvin Hayn von Cactus eSecurity gibt im Interview KRITIS-Betreibern Tipps zum Thema Firewall-Orchestrierung. Herr Hayn, was sind die wichtigsten Funktionen einer Fire wallOrchestrierungslösung? ßeren Umgebungen eine stufenweise Einführung mit folgenden Evoluti- onsstufen bewährt: Melvin Hayn ist Marketing Manager bei Cactus eSecurity GmbH. Firewall-Orchestrierung, von Gartner auch Network Security Policy Management (NSPM) genannt, soll Unternehmen bei den Prozessen rund um die Firewall-Konfiguration helfen. Orchestrierung könnte man hier mit integrierter Automation übersetzen: Tägliche Prozesse wie die Dokumentation von Änderungen, die Generierung von Reports, die Beantragung und Umsetzung von Änderungen, aber auch komplexere Themen wie die Rezertifizierung von Regelwerken oder der Soll-Ist-Vergleich sollen den Firewall-Administratoren und -Nutzern zu einem möglichst großen Teil abgenommen werden. Das muss natürlich für alle in einem Unter- nehmensnetzwerk vorhandenen Firewall-Systeme unterschiedlicher Hersteller funktionieren. Hier bietet ein Firewall-Orchestrator die stan- dardisierte Schnittstelle zu allen eingesetzten Firewall-Plattformen, sei es im eigenen Rechenzentrum oder in der Cloud. Was sollte man bei der Einführung einer Orchestrierungslö sung beachten? In den von Cactus über Jahre begleiteten Projekten hat sich in grö- Reporting/Dokumentation von Änderungen, Antragstellung ohne Implementierung aber mit teilauto- matisierten Schritten, dezentrale Re- zertifizierung von Regeln, vollauto- matische Implementierung (ggf. manueller Genehmigungsschritt) von beantragten Änderungen. Unabhängig davon, ob dieser schrittweise Ansatz gewählt wird oder in kleineren Umgebungen alle benö- tigten Funktionen parallel implemen- tiert werden, sollten Unternehmen vor dem Kauf einer Lösung ein sehr konkretes Konzept für die Vorgehens- weise entwickeln. So kann es bei der Realisierung einer dezentral ange- legten Rezertifizierung vorkommen, dass benötigte Basisdaten, etwa die Zuordnung von Regeln zu Applikati- onen, im Unternehmen noch nicht vorliegen. In einem solchen Fall wird nicht selten ein Vorprojekt benötigt, dass hier die notwendigen Voraus- setzungen schafft. Geht es bei der Rezertifizierung rein um die Erfüllung von regulatorischen Auflagen, kann es aber auch ein valider Ansatz sein, sich die deutlich voneinander abwei- chenden Lösungen in den Produkten auf dem Markt einmal anzusehen und zu entscheiden, ob ein Herstelleran- satz die eigenen Bedürfnisse bereits vollständig abdecken kann. Ein weiter Tipp ist neben der Erstellung eines detaillierten Pflichtenhefts zunächst der Mietkauf auf ein Jahr, anstatt sich durch einen unbefristeten Lizenzkauf länger an einen Hersteller zu binden. In den ersten zwölf Monaten nach dem Kauf sollte man ein gutes Gefühl entwickeln können, ob man sich den richtigen Partner ausgewählt hat. Was kann man automati sieren und wo sind die Grenzen? Eine vollständige Automati- sierung ist nach unserer Erfahrung nicht möglich und auch nicht anzu- streben. Es gibt immer Entscheidun- gen, die von Menschen übernommen werden müssen. Dabei sollte man den Fokus auf eine für die jeweili- ge Unternehmensgröße passende Lösung legen. So ist eine zentrale Rezertifizierung von mehr als 1 000 Firewall-Regeln allein durch das Firewall-Team nicht praktikabel. Bei solchen Größenordnungen sollte ein dezentraler Ansatz gewählt werden, etwa durch eine Unterteilung des Re- gelwerks in anwendungs- oder abtei- lungsbezogene Regelgruppen. Diese können dann von den zuständigen Teams dezentral gepflegt und geprüft werden. Ein Orchestrierungstool bringt erst dann einen echten Mehr- wert, wenn mit dessen Hilfe ein Pro- zess etabliert werden kann, der hier entsprechend den Bedürfnissen des jeweiligen Unternehmens skaliert. Welche Funktionen arbeiten ohne viel Customizing direkt „out of the box“? Das Reporting funktioniert bei den meisten Firewall-Orches- trierungs-Produkten ohne viel An- passung. Allerdings ist bereits beim Workflow-Modul zur Beantragung von Änderungen häufig Customi- zing oder Integrationsskripting in größerem Umfang notwendig. Hier- für bieten die meisten Produkte die Möglichkeit, Arbeitsschritte mittels (Python-)Skripten an die eigenen Bedürfnisse anzupassen. Schwierig 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

wird es dann im Rezertifizierungsprozess, da hier die An- forderungen von Unternehmen zu Unternehmen zum Teil stark variieren. Mit wie viel Aufwand ist die Einführung eines Orchestrierungstools verbunden? Je nach dem Grad der zu erreichenden Automati- sierung sind in komplexen Umgebungen Projektlaufzeiten zur Einführung einer Lösung von 18 bis 36 Monaten üblich. Oft ist auch eine Evolution der Prozesse notwen- dig und sinnvoll, um eine optimale Unterstützung aller beteiligten Gruppen zu erreichen. Es gilt wie so oft eine gesunde Balance zwischen zentralen (häufig beim Netz- werkteam angesiedelten) und dezentralen (etwa bei den Anwendungsverantwortlichen liegenden) Tätigkeiten zu etablieren. Welche regulatorischen Auflagen gilt es beim Betrieb von Firewalls zu beachten? Finanzdienstleister, die den Regularien der BaFin unterliegen, müssen darauf achten, dass eine regelmäßige Sichtung und Rezertifizierung der Firewall-Regeln erfolgt. Üblich ist hier ein Turnus von zwölf Monaten. Werden Kreditkartendaten verarbeitet, ist die Firewall-Konfigurati- on nach PCI-DSS allerdings mindestens alle sechs Monate zu prüfen. Für KRITIS-Unternehmen ist zu erwarten, dass im nächsten Prüfzyklus ähnliche Anforderungen gestellt werden. Werden Kreditkartendaten verarbeitet, ist eine Rezertifizierung der Firewall-Regeln ohnehin erforderlich. Wo gibt es die größten Schwierigkeiten? Wir sehen in der Praxis vor allem mangelhafte Ba- sisdaten und Probleme im Feld „Know your Application“. Besonders bei einem dezentralen Ansatz, bei dem die Ver- antwortung des Regelwerks nicht bei einer Stelle, sondern bei vielen Teilverantwortlichen liegt, ist es wichtig, dass die der Regelaufteilung zugrunde liegenden Daten, etwa IP- Adressdaten aus dem IPAM, korrekt und tagesaktuell sind. Wenn die Basisdaten nicht stimmen, sind die Chancen auf die erfolgreiche Implementierung der hierauf basierenden Prozesse eher gering. Natürlich sind auch die Fachkenntnisse der für die Regeln Verantwortlichen wichtig. Wenn niemand oder nur wenige im Unternehmen den Kommunikationsbedarf der eingesetzten Anwendungen kennen, können weder die korrekten Firewall-Regeln beantragt noch diese später auf ihre Sinnhaftigkeit überprüft und rezertifiziert werden. Darüber hinaus kann es Schwierigkeiten beim einzusetzenden Orchestrierungsprodukt geben, zum Bei- spiel fehlende Flexibilität der etablierten Hersteller bei Kundenwünschen oder fehlende umfassend verfügbare Schnittstellen zur Automation. Wenn ein Orchestrierungs- tool keine Schnittstelle für ein bestimmtes Feature bietet oder die Bereitschaft des Herstellers zur Erweiterung der Produktmöglichkeiten nur gering ausgeprägt ist, wird die Automatisierung schwierig bis unmöglich. Neben den angebotenen Features ist somit erfahrungsgemäß die Be- reitschaft des Herstellers, auf Kundenwünsche einzugehen, ein entscheidender Faktor für den Erfolg eines Projekts. Welche Lösungen gibt es auf dem Markt? Neben den beiden Marktführern von Tufin und AlgoSec seien mit Skybox und FireMon noch zwei Heraus- forderer mit etwas geringerem Funktionsumfang genannt. Für größere Umgebungen bieten sich die Produkte von Tufin oder AlgoSec an. Allerdings können dann auch je nach Umgebung sehr hohe Kosten anfallen. Um eine Alter- native zu bieten, haben wir vor drei Jahren mit dem Firewall Orchestrator eine Open-Source-Lösung ins Leben gerufen, die viele der angesprochenen Probleme adressiert. n Firewall Orchestrator Die Open-Source-Lösung Firewall Orchestrator schafft Transparenz und Sicherheit für ein plattformübergreifendes Firewall-Management: — Open-Source: verfügbar auf github (https://github.com/CactuseSecurity/ ﬁrewall-orchestrator) — keine Lizenzgebühren — Wartung und Customizing durch Cactus eSecurity und Partner verfüg- bar (kostenpﬂichtig) — unterstützt die gängigen Firewall-Plattformen (Check Point Juniper, Fortinet, Azure, Cisco ...) — enthält Module für Reporting, Rezertiﬁzierung, Compliance (Matrix), Antrags-Workﬂow — offene APIs für sämtliche Funktionalitäten — made in Germany — „Community driven“: Entwicklung von eigenen Modulen möglich Die Cactus eSecurity GmbH (https://cactus.de, info@cactus.de) berät Unternehmen seit 1999 im Bereich Netzwerksicherheit und hat seit über 15 Jahren dabei den Schwerpunkt auf Firewalling und Automatisierung. Weitere Informationen gibt es unter https://fwo.cactus.de/ Screenshot Beispiel-Report Firewall Orchestrator © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 13

NIS2: Neue EURichtlinie für mehr Cybersicherheit Die wichtigsten Punkte der NIS-2-Richtlinie und deren Auswirkungen auf Unternehmen. Die steigende Bedrohungslage durch Cyberangriffe hat den eu dazu ro päischen Gesetzgeber be wo gen, die Network and In for mation Security Richtlinie 2.0 (NIS2) zu verabschieden. Diese legt erhöhte neue EURichtlinie Anforderungen an die ITSicher heit fest und betrifft Unternehmen und Einrichtungen in 18 Sektoren, die ihre Dienste in der EU anbieten oder Tätigkeiten dort ausüben. Die NIS2Richtlinie erweitert den bis herigen Anwendungsbereich und macht Cybersicherheit zur Ma na ge mentaufgabe. Hintergrund und wesentliche Inhalte der NIS-2-Richtlinie Die NIS2Richtlinie ist die Weiter entwicklung der NISRichtlinie von 2016 und enthält strengere Anfor derungen als das ITSicherheits gesetz 2.0 (ITSiG 2.0) von 2021. Die EUMitgliedstaaten müssen die NIS2Richtlinie bis Oktober 2024 in nationales Recht überführen. In Deutschland wird dies voraussicht lich im neuen Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cy bersicherheit (NIS2UmsuCG) ge schehen. Erweiterter Anwendungs bereich der NIS-2-Richtlinie Die NIS2Richtlinie erweitert den Anwendungsbereich und umfasst nun 18 Sektoren, darunter auch die Luft und Raumfahrt sowie kritische Dienste der öffentlichen Verwaltung. Unternehmen und Einrichtungen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen EUR fallen unter die NIS 2Regulierung. Sogar Unternehmen, die nur zuliefernde Tätigkeiten für europäische Unternehmen erbrin gen, können mittelbar betroffen sein. Cybersicherheit als Managementaufgabe Die NIS2Richtlinie betont die Be deu tung von Cybersicherheit als Managementaufgabe. Die Leitungs organe jedes Unternehmens müssen die Einhaltung von Risikomana ge mentmaßnahmen nachhalten und können persönlich für Verstöße haftbar gemacht werden. EXPERTENTIPPS Frühzeitige Vorbereitung: Unternehmen sollten bereits jetzt die neuen Anforderungen der NIS 2Richtlinie prüfen und sich auf die Umsetzung vorbereiten, um mögliche Risiken zu minimieren und Compliance sicherzustellen. Managementbeteiligung: Das Management sollte sich aktiv mit der Implementierung von Cyber sicherheitsmaßnahmen befassen und die gesetzlichen Anforderun gen selbst im Blick haben, um per sönliche Haftung zu vermeiden. Erweiterte Schutzmaßnahmen: Unternehmen sollten auch ihre Mitarbeitenden mit einbeziehen und beispielsweise Security Awa reness Programme für Mitarbei tende anbieten. Unser Webinar informiert über Entscheidungsbedarfe und gibt einen Ausblick auf die EU NIS2Richtlinie. IT-Sicherheitsgesetz und Neuerungen durch IT-SiG 2.0 Herausforderungen und Entscheidungsbedarf für KRITIS Unternehmen Alle Details zum TÜV NORD Akademie IT-SiG 2.0 Training

Informationssicherheit für Krankenhäuser und Kliniken Patientensicherheit mit schlüssel- fertigem ISMS gewährleisten Neue Gesetze und Verordnungen nehmen Krankenhaus- und Klinikbetreiber in die Pflicht, Cybersicherheit umzusetzen. Risiken müssen strukturiert bewertet und Gegenmaßnahmen gesteuert werden. Ein Informationssicherheits-Managementsystem (ISMS) kann hierzu beste- hende Standards wie die ISO-Bestimmungen oder den IT-Grundschutz nutzen und neue schaf- fen. Unkompliziert und schnell geht es dabei mit schlüsselfertigen ISMS-Lösungen. Von Tim Cappelmann, AirITSystems GmbH Die Digitalisierung im Health care-Sektor bringt zahlreiche Vorteile: einen schnelleren Da- tenaustausch, eine durchgängige Patientendokumentation und eine vereinfachte Organisation. Gleich- zeitig gehen mit ihr aber auch Risiken einher: Durch die Nutzung und Ver- netzung von IT-Systemen entstehen Angriffsflächen für Cyber-Attacken, Störungen und Manipulationen. Da- her wird es auch in Krankenhäusern und Kliniken immer wichtiger, die Informations- und IT-Sicherheit von Systemen und Medizingeräten zu gewährleisten. Gesetzliche Regulari- en machen dies zur unabdingbaren Notwendigkeit: Das Patientendaten- schutz-Gesetz (PDSG), der neue § 75c im Sozialgesetzbuch (SGB V), das BSI-Gesetz (BSI Kritis-Verordnung) und der branchenspezifische Sicher- heitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG) stellen Regeln auf, die berücksichtigt werden müssen. Dazu gehören zum Bei- spiel „nach dem Stand der Tech- nik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele“ für informations- technische Systeme, Komponenten oder Prozesse. Krankenhäuser und Kliniken benötigen hierfür ein Sys- tem zur Angriffserkennung, das den laufenden Betrieb überwacht und auswertet: ein Informationssicher- heits-Managementsystem (ISMS). Informationssicherheit zuverlässig gewährleisten Als Rahmenwerk umfasst und organisiert ein ISMS Prozesse, Richtlinien, Verfahren und Tech- nologien, um Informationen vor Bedrohungen wie Hackerangriffen, Malware, Phishingmails und inter- nen Missbrauch zu schützen. Kernbestandteile sind ein Dokumentenmanagement und ide- alerweise eine Prozess-Engine. Die Dokumentenpyramide bildet die hierarchische Struktur der schriftlich fixierten Ordnung ab; operative Kon- trollen sorgen dafür, dass sie korrekt umgesetzt werden. Dabei erstreckt sich der Geltungsbereich auf den Betrieb, die Projekte, aber ebenso auf die Partner und Lieferanten. Die Herausforderungen Ein ISMS im Klinikumfeld zu implementieren und die Sicher- heitsanforderungen umzusetzen, ist in der Praxis jedoch nicht einfach: In der Vergangenheit wurde die IT als notwendiges Übel wahrgenom- men, weit weg vom Business und vom Patienten. Außerdem stehen organisatorische Trennungen zur Medizintechnik bis heute einem ganzheitlichen Managementsystem im Weg. Das manifestiert sich in getrennten Berichtslinien, Zustän- digkeiten und einer uneinheitlichen Sicht auf Technikrisiken. Der Ge- danke, dass IT-Sicherheit am Ende Patientensicherheit bedeutet, ist in diesem Umfeld hingegen neu. Hinzu kommen Hemmnisse in Form von heterogenen System- landschaften, Datensilos und feh- lendes Wissensmanagement. Zwar sind die zentralen Datenbanken zu Krankenhaus-Informationssyste- men (KIS) und dem Picture-Archi- ving-and-Communication-System (PACS) noch bekannt. Schwammig wird es aber bei der Einbindung ex- terner Partner oder Schattenkopien in Subsystemen. Außerdem fehlen Standards: Die Ursache liegt hier in der zweckgebundenen Zertifizierung der medizinischen IT. Sie bezieht sich auf ein vernetztes Gesamtsys- tem. Der Medizintechnik-Experte baut die enthaltene Commodity-IT in dem Glauben mit auf, ein in sich geschlossenes Verfahren zu instal- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 15

Management und Wissen Vorteile einer schlüsselfertigen Lösung. (Bild: AirITSystems GmbH). lieren. Wegen scharfer Gewährleis- tungsbestimmungen oder der Zer- tifi zierungen darf das System nicht verändert werden. Das hat jedoch zur Folge, dass Standard-Betriebssysteme und Netzkomponenten in einem medizinischen System entstehen, die seit Jahren keine Patches erhalten haben und keinen Schadcode-Schutz besitzen. Speziell die bildgebende Diagnostik setzt auf standardisierte Windows-Server mit einhergehen- den Angriffsfl ächen für Hacker oder Schadcode. Diese Medizintechnik wird dann als Black-Box mit dem Krankenhausnetz verbunden. Ein ISMS implementieren Aus diesen Gründen ist es wichtig, dass Zuständigkeitsgrenzen aufgebrochen und entlang der Da- tenfl üsse einheitliche Bewertungs- standards angelegt werden. Schutz- bedarfsanalysen und Datenschutz benötigen einheitliche, nachvoll- ziehbare Maßstäbe. Die Einführung eines ISMS beginnt deswegen mit ei- ner Prozessanalyse. Leitfragen unter- stützen dabei, die richtigen Maßstäbe beim Schutzbedarf von Systemen und Komponenten anzulegen: ––——— Welche Prozesse sind be- sonders schützenswert? ––——— Wo befinden sich deren Informationen? ––——— Welche Sicherheitslösun- gen sind bereits im Einsatz? ––——— Wie sind die Grundwerte der Informationssicherheit (Integri- tät, Verfügbarkeit, Vertraulichkeit) zu bewerten? Workﬂ ows, Funktionen und Features für ein erfolgreiches ISMS Ein effizient arbeitendes ISMS beinhaltet die Einbeziehung neuer Assets samt Anforderungs- management. Informations- und Datenschutzbeauftragte werden eingebunden, die Verantwortlichkeit fachlich und technisch defi niert, au- ßerdem werden Schutzbedarfsana- lysen und Wiederanlaufparameter festgelegt und genehmigt. Vor allem die durch ein ISMS erzielte Prozessautomation sorgt für Akzeptanz, da dadurch Aufwände vermieden und Ressourcen geschont werden. Prozesseffi zienz beziehungs- weise Ressourcenschonung heißt in diesem Zusammenhang, dass eine erzeugte Vorfallsmeldung geringen Aufwand bedeuten muss und somit keine Hemmschwelle zur Bearbei- tung eines Vorfalls darstellen darf: Die verantwortlichen Stabsfunktio- nen werden automatisch einbezo- gen, der Vorfall wird klassifi ziert und der Risikoprozess initiiert. Es erfolgt eine stringente Dokumentation in- klusive der Kommunikation sowie eine Dokumentation für Meldungen an Aufsichtsbehörden bei besonders kritischen Vorfällen. Zum Risikoma- nagement gehören zusätzlich die Bewertung der Kritikalität und die Initiierung möglicher Folgemaßnah- men in Abhängigkeit zur gewählten Risikobehandlungsmethodik. Eine Automatisierung erfolgt durch die Zuweisung nachvollziehbarer Aufgaben an die Verantwortlichen inklusive Bearbeitungszeitraum, au- tomatischen Eskalationsstufen und revisionssicherer Dokumentation samt Historie aller Aktivitäten. Die Vorteile eines schlüsselfertigen ISMS Maßgeschneiderte ISMS können häufi g hohe Projektkosten bedeuten, werden dann aber oft nicht vollständig akzeptiert bezie- hungsweise gehen nicht richtig in den Regelbetrieb, weil sich während des Projekts zum Beispiel die Prioritä- ten und Zuständigkeiten verändern. Sie scheitern in solchen Fällen an Zuständigkeiten, Fehleinschätzun- gen und fehlendem Durchhaltever- mögen. Schlüsselfertige Lösungen as a Service hingegen sind sofort einsatzbereit: Die Implementierung erfolgt in kurzer Zeit. Integrierte Leitlinien, schlüssige Rollen- und Funktionskonzepte und eine Auf- gabensteuerung helfen in einem „Fit-to-Standard-Verfahren“ Grund- satzdiskussionen zu vermeiden (vgl. Abbildung). Insgesamt ordnet das vorge- fertigte ISMS die Ressourcen schnell und ermöglicht transparente Ent- scheidungen auf fundierten Informa- tionen. Die Orientierung an Normen hilft, die Finanzmittel für die echten Risiken einzusetzen. Missstände – eine Firewall fürs Rechenzentrum, wenn die Daten in der Cloud liegen oder nicht abgeschlossene Türen im Rechenzentrum – kommen immer ans Tageslicht. Das erzeugt Rechtssi- cherheit für Geschäftsführung und Vorstand. Mit einem schlüsselfertigen ISMS können nicht nur Krankenhäu- ser und Kliniken, sondern sämtliche Betreiber kritischer Infrastrukturen ihr Datenschutz-, Qualitäts- und Ri- sikomanagement sicher und unkom- pliziert unter einen Hut bringen und den gesetzlichen Anforderungen für IT- und Informationssicherheit genügen. n 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

Management und Wissen Jetzt handeln und IT-Sicherheits- niveau steigern Die NIS-2-Direktive setzt viele Unternehmen unter Druck. Sie müssen das Thema IT-Sicherheit ganzheitlich angehen und geeignete Maßnahmen realisieren, um schnell und effektiv auf Si- cherheitsvorfälle zu reagieren. Wir geben einen Überblick, welche Schritte Verantwortliche auf dem Weg zu NIS-2 helfen. Von Tim Berghoff, G DATA CyberDefense AG Von vielen unbemerkt ist im Januar 2023 die euro- päische NIS-2-Direktive in Kraft getreten. Bis Oktober 2024 haben die EU-Länder nun Zeit, die Vorgaben dieser Direk- tive in nationales Recht umzusetzen. Für Unternehmen gibt es einige Herausforderungen, die noch nicht überall bekannt sind. Incident Readiness lautet hier das Stich- wort. Wie bereits der Name suggeriert, ist die NIS-2 die zweite Ausgabe der europäischen Netzwerk- und Informa- tionssicherheitsrichtlinie NIS. Diese Neuauflage hat das Ziel, die IT-Sicherheit in kritischen Geschäftsbereichen EU-weit zu vereinheitlichen und die Anforderungen deutlich zu verschärfen. Viele Unternehmen, die sich künftig im Anwendungsbereich der NIS-2 befinden, sind sich darüber jedoch noch nicht im Klaren. Hier laufen gleich mehrere Uhren gegen die IT-Verantwortlichen in potenziell betroffenen Geschäftsbereichen. Denn neben der Frage, ob die NIS-2 für das eigene Unter- nehmen zum Tragen kommt, gilt es auch zu klären, ob und welche neuen Sicherheitsmaßnahmen umzusetzen sind. An dieser Stelle haben zahlreiche Unternehmen Nachholbedarf. Stellt sich nämlich heraus, dass die NIS-2 auf das eigene Unternehmen anwendbar ist, weil es zu einer von insgesamt elf als „kritisch“ eingestuften Branchen oder einer der sieben „sonstigen kritischen“ Branchen gehört, besteht dringender Handlungs- bedarf. Mit NIS-2 zu mehr IT-Sicherheit Eines der Hauptziele von NIS-2 ist es, EU-weit kri- tische Geschäftsbereiche sowie Lieferketten zu schützen, die Resilienz gegenüber Ausfällen zu erhöhen und die dazu geeigneten Anforderungen zu vereinheitlichen. Teil dieser Strategie ist, dass alle kritischen Branchen ein einheitlich geregeltes Risikomanagement vorweisen müssen, in dem genau darzulegen ist, welche Maßnahmen ergriffen wurden, wie diese umgesetzt sind und warum bestimmte Maßnahmen nicht ergriffen worden sind. Zusammen mit den verschärften Sicherheitsanforderungen gibt die NIS-2 den nationalen Behörden auch ein starkes „Motivations- mittel“ an die Hand, und zwar in Form von teils drakoni- schen Geldstrafen. Hier drohen in den Sektoren mit hoher Kritikalität mindestens 10 Millionen Euro beziehungswei- se 2 Prozent des globalen Umsatzes als Geldstrafe. In den wichtigen Sektoren sind es immerhin noch mindestens 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsat- zes. Verstöße können also schnell teuer werden. Handlungsfelder identiﬁzieren Doch wie können sich Unternehmen gegen Cy- berangriffe schützen und hinsichtlich NIS-2-Maßnahmen vorbereiten? Ein Unternehmen oder eine Organisation sollte also in der Lage sein, auf Sicherheitsvorfälle schnell und effektiv zu reagieren, um den Schaden zu begrenzen, 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

die Wiederherstellung zu beschleunigen und potenzielle Risiken für die Organisation zu minimieren. Incident Readiness ist daher ein wichtiger Bestandteil eines umfas- senden Sicherheitsprogramms. Für Unternehmen ist es zunächst einmal wich- tig zu wissen, welche Maßnahmen sie ergreifen sollten, um auf die zu erwartenden gesetzlichen Anforderungen vorbereitet zu sein. Hier macht es Sinn, eine Gap-Analyse durchführen zu lassen, beispielsweise durch ein IT-Security Assessment, um Schwachstellen im System zu identifi- zieren und zu bewerten. Ein weiteres Werkzeug, das zur Bewertung der bisher getroffenen Sicherungsmaßnahmen geeignet ist, sind Penetrationstests. Diese geben Unterneh- men eine klare Vorstellung, wo noch Nachbesserungsbe- darf besteht und wie groß die Kluft zwischen Soll und Ist ausfällt. Beide Ansätze sind wichtig, um die Sicherheit eines Systems zu verbessern und Risiken zu minimieren. Oft werden sie in Kombination eingesetzt, um ein umfas- sendes Bild der Sicherheitslage zu erhalten. Ein Pentest simuliert keinen Angriff Vorab: Ein Penetrationstest (kurz: Pentest) ist kein simulierter Angriff auf die IT-Infrastruktur. An dieser Stelle unterscheidet sich der Pentest vom sogenannten „Red Teaming“, auch wenn es stellenweise Überschneidungen zwischen den beiden gibt. Wenn Unternehmen wissen wollen, ob ihre Kronjuwelen – Produktionssysteme, Kundendaten, Geschäftsgeheimnisse etc. – gut genug vor gezielten Angriffen geschützt sind, können sie über sogenanntes Red Teaming einen Angriff simulieren lassen. Im Unterschied zum Red Teaming versucht der Pentest, alle Schwachstellen innerhalb des Netzwerkes und der Infrastruktur zu finden, um darauf aufbauend das Sicher- heitskonzept zu optimieren. Hier sollten Testszenarien im Hinblick auf die konkreten NIS-2-Anforderungen vorgese- hen werden, zum Beispiel die Prüfung der Remote-Zugriffe von Zulieferern und Dienstleistern, die mittlerweile ein beliebtes Einfallstor bei Cyberkriminellen sind. Um in Sachen Incident Readiness gut aufgestellt zu sein, gehört für Unternehmen zu einem ganzheitli- chen Sicherheitskonzept – neben dem Einsatz von End- point-Protection-Lösungen, IT-Security-Assessments und Pentests – auch ein Incident-Response-Plan. Für IT-Not- fälle brauchen Unternehmen unbedingt eine Strategie – am besten auf Papier. Diese sollte unter anderem eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte enthalten. Im Notfall sind diese Informationen wichtig und aus einem Ordner eindeutig praktischer, als wenn diese auf dem verschlüsselten Server oder dem nicht funktionsfähigen Notebook des Administrators oder der Administratorin gespeichert sind. Einen essenziellen Part nehmen auch die Mitarbeitenden ein. So sind Schulungen des Personals über den Incident-Response-Plan sowie zur Erkennung von Angriffen und zur Meldung von Vorfäl- len unerlässlich. Daher sind die eigenen Angestellten ein integraler Teil der Notfallvorsorge. Für den Worst Case absichern Angesichts des hohen Bedrohungsrisikos sollten Verantwortliche schon im Vorfeld Kontakt zu einem qua- lifizierten Dienstleister für Incident-Response aufnehmen. So sichern sich Unternehmen mit einem sogenannten Incident-Response-Retainer die Unterstützung von Fach- leuten. Der Vorteil: Es gibt vertraglich zugesicherte Fristen, innerhalb derer die Experten ihre Arbeit aufnehmen. Denn bei Großlagen ist die kurzfristige Verfügbarkeit entsprechender Dienstleister nicht immer garantiert. Wer vorab einen Rahmenvertrag abschließt, genießt hier Priorität, bleibt im Krisenfall handlungsfähig und muss nicht untätig zuschauen. Wichtig ist: „Mehr Sicherheit“ ist nicht immer gleichbedeutend mit „Mehrkosten“. Die Erfahrung zeigt, dass sich mit optimierten Einstellungen der Bordmittel schon viele Schwachstellen schließen oder Hürden für Angreifer erhöhen. Generell gilt: Mit einem einzigen Test, mit einer einzigen Maßnahme ist es jedoch nicht getan. IT-Sicherheit ist kein Sprint, sondern ein Marathon. Immer am Ball zu bleiben und bestehende Sicherheitskonzepte regelmäßig neu auf den Prüfstand zu stellen, ist auch au- ßerhalb der Vorgaben der NIS-2 eine gute Idee. Doch ab sofort werden regelmäßige Tests als Standards gefordert. Ausblick und Ungewissheit Bereits der Oktober 2024 gibt eine recht enge Deadline vor. Doch dieses Datum ist trügerisch. Es be- schreibt nämlich nur die Frist, bis zu der die NIS-2 in nationales Recht umzusetzen ist. Wie dies jedoch passiert, ist – Stand Juli 2023 – noch gar nicht klar, denn das dafür vorgesehene Umsetzungsgesetz befindet sich noch im Entwurfsstadium. Auch eventuelle Übergangsfristen sind bis dato noch nicht festgelegt. Vieles ist also noch unklar. Aufgrund dessen nun die Hände in den Schoß zu legen und darauf zu warten, dass der Ball in Form eines verabschie- deten Gesetzes wieder im eigenen Spielfeld landet, wäre fatal. IT-Sicherheit sollte intrinsisch motiviert sein. So nützlich eine Direktive auch sein mag: Sie verleitet oft ge- treu dem Motto „Ein gutes Pferd springt nur so hoch wie es muss“ dazu – gerade eben die Mindestanforderungen zu erfüllen, aber nicht ein Iota mehr. Vor dieser Falle sollten IT-Verantwortliche sich in Acht nehmen. Denn die NIS-2 beschreibt nicht etwa einen genauen Maßnahmenkata- log, der dann nur abzuarbeiten ist, sondern die Mindestan- forderungen. Von diesen darf jedoch gerne jederzeit nach oben abgewichen werden. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 19

Management und Wissen Security-Awareness-Training für KRITIS-Betreiber Zum Schutz der KRITIS-Betreiber und ihrer Lieferketten sind angesichts der Bedrohungs- lage Security-Awareness-Schulungen für alle Mitarbeiterinnen und Mitarbeiter unerlässlich. Denn Studien zeigen, dass mehr als die Hälfte aller Cyberangriffe durch verantwortungs- bewusstes Handeln eingedämmt oder verhindert werden können. Ein gutes Trainingspro- gramm zielt dabei jedoch nicht nur auf die Schulung von Einzelpersonen ab. Von Dr. Martin J. Krämer, KnowBe4 Die Stromversorgung, der Transport von Waren und Gütern, die Versorgung der Bevölkerung mit Wasser, aber auch die Abfallentsor- gung in Siedlungen – ohne eine funk- tionierende kritische Infrastruktur geht im Inland nichts mehr. Gleich- falls rufen uns Naturkatastrophen im Inland und Kriege im nahen Ausland die enorme Bedeutung der neun KRITIS-Sektoren in Erinnerung. „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrich- tungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs- engpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten wür- de“, so die KRITIS-Definition der Bundesressorts. Informationstechnologie in Verwaltungs- und Administra- tionssystemen wird längst durch digitale Steuerelemente im Zuge der IT/OT-Konvergenz vernetzt. Um den Anforderungen an die Datensicherheit gerecht zu werden und den Fluss von Informationen im Unternehmen zu überwachen, implementieren Organisationen ein Informationssicherheits-Manage- mentsystem (ISMS). Zur Absicherung dieser Teile der kritischen Infrastruktur ist die enge Zusammenarbeit von Staat und Privatwirtschaft notwendig. Das zeigt auch das gemeinsame Vorge- hen des Bundesamts für den Bevöl- kerungsschutz und Katastrophen- hilfe (BKK) und des Bundesamts für Sicherheit in der Informationstech- nik (BSI). Im Umsetzungsplan Kri- tische Infrastrukturen (UP KRITIS), einem Zusammenschluss der Betrei- ber kritischer Infrastrukturen, deren Verbänden sowie von zuständigen staatlichen Stellen, wird das zentrale Ziel verfolgt, die Resilienz kritischer Infrastrukturen zu erhöhen. Dem gleichen Ziel dient auch die europäische NIS-2-Direktive (Richtlinie zur Netz- und Informa- tionssicherheit). Unternehmen mit mehr als 50 Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz sind betroffen und müssen nun auch die Cybersicherheit ihrer Lieferket- ten garantieren. Dazu kurbelt die Richtlinie die Zusammenarbeit in der EU zwischen den Behörden und den Betreibern an. Sie schärft ebenso die Rechtsprechung. Unternehmen sehen sich mit höheren Strafen und Vollzugsmaßnahmen konfrontiert, die je nach Sektor bis zu 10 Millionen Euro betragen können. Mit in Sum- me 18 Sektoren nennt die Richtlinie unter anderem auch Post und Kurier sowie die Forschung als kritische Bereiche. Cyberangriffe auf KRITIS als Warnsignal Immer wieder werden Ver- waltungen, Krankenhäuser, Wasser- versorger oder ganze Städte Opfer von Ransomware. Selbst Betreiber von Flughäfen bleiben nicht ver- schont, sodass Einschränkungen im Flugbetrieb hingenommen wer- den mussten. Ein Weckruf war der Sicherheitsvorfall bei der Colonial Pipeline in den USA, die zeitweise zum Stillstand des Betriebs führte und auf ein verlorenes Passwort eines Mitarbeitenden zurückgeführt werden konnte. Besonders im Ran- somware-Bereich gibt es inzwischen Schutzgeldkartelle, die regelmäßige Zahlungen ihrer Opfer einfordern. Ransomware gelangt dabei über verschiedene Kanäle ins Unterneh- men, zum Beispiel über klassisches Phishing und andere Formen von Social-Engineering. Angriffe auf KRITIS sind sowohl kommerziell als auch po- litisch oder ideologisch motiviert. Die Grenzen verschwimmen zu- 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

chender Vorbereitung nicht nur die erste, sondern die wichtigste Vertei- digungslinie. n nehmend. Gerade bei der Orga- nisation der Verteidigung stehen staatliche Organisationen jedoch vor einer großen Herausforderung. 15 Mitarbeitenden des BSI stehen 2 000 Organisationen der kritischen Infrastruktur gegenüber. Die AG Kritis, ein Zusammenschluss von Fachleuten und Experten, hat daher ein Konzeptpapier zur Bewältigung von großflächigen Cybersicherheits- vorfällen ausgearbeitet. Die Gruppe schlägt mit dem Cyberhilfswerk die Einbindung ziviler Helfer zur Ab- wehr von Cyberangriffen vor. Dass derartige Modelle erfolgreich sein können und einen Mehrwert für alle Beteiligten bieten, zeigen Initiativen anderorts bereits eindrücklich auf. Security-Awareness Eine regelmäßige Cybersi- cherheitsschulung aller Beteiligten in Privatwirtschaft, im öffentlichen Sektor und auch in der Zivilbevölke- rung ist angesichts der Bedrohungs- lage unabdingbar. Der Bedarf ergibt sich aus Richtlinien (z. B. NIS/NIS-2), der geplanten Zusammenarbeit zwischen privaten und staatlichen Organisationen, den rechtlichen Rahmenbedingungen (z. B. DSGVO) sowie der Notwendigkeit, sicheres Handeln der Mitarbeitenden zu för- dern (z. B. ISO 27001) – gemeinhin gilt es, die Resilienz ganzer Sektoren sicherzustellen. Zur Verbesserung der Resili- enz in Organisationen der kritischen Infrastruktur ist die Einbeziehung des gesamten Personals zwingend notwendig. Statistiken belegen, dass mehr als 70 Prozent aller Cy- bersicherheitsvorfälle durch sichere Verhaltensweisen eingedämmt oder sogar abgewendet werden können. Die reine Sensibilisierung der Mit- arbeitenden reicht dazu nicht aus, denn auch der gute Wille führt nicht immer zum Handeln. Vielmehr müssen Verhaltensweisen bewusst gefördert und durch eine aktive Gestaltung der Sicherheitskultur im Unternehmen unterstützt werden. Das ist für die Unternehmen vielerorts gar nicht so neu. In einigen Branchen sind strikte Vorkehrungen zur Sicherheit am Arbeitsplatz seit Jahren Gewohnheit. Gerade in der Energiebranche weiß man mit vielen Vorgaben der physischen Sicherheit umzugehen. Gleiches gilt für das Gesundheitswesen. Gut durchdach- te Protokolle zum Schutz von Leib und Leben der Patienten sind das Rückgrat eines gut funktionierenden Krankenhauses. Das Training der Mitarbei- tenden unterliegt dabei bestimmten Anforderungen und Herausforde- rungen. Nicht alle Mitarbeitenden haben Zugang zu Computer oder Workstation. Umso wichtiger ist es, das Training zielgruppenspezifisch zu gestalten und auch über mobile Endgeräte zur Verfügung zu stellen. Die Fortbildungs- und Schulungs- maßnahmen müssen für Menschen mit verschiedenen Fähigkeiten, Ver- antwortlichkeiten und Begabungen gestaltet werden. Die Lerninhalte für technische Rollen unterscheiden sich von Personen aus dem Manage- ment und der Unternehmensleitung. Ein gutes Trainingspro- gramm zielt dabei nicht nur auf die Schulung von Einzelpersonen ab, sondern trägt auch zur Weiterent- wicklung der gesamten Organisation bei. Schließlich gilt es, die Sicher- heitskultur der Organisation gezielt voranzubringen und dabei ein gewis- ses Level an Cyber-Security-Wissen für alle Beteiligten sicherzustellen. Dazu sind regelmäßiges und kon- tinuierliches Training notwendig, welches den Lernbedarfen der Ein- zelpersonen entspricht. Fazit Ein Security-Awareness-Trai- ning ist besonders auch für den Schutz der Lieferketten notwendig und sollte entlang der gesamten Wertschöpfungskette sichergestellt werden. Mitarbeiter sind für KRI- TIS-Betreiber deshalb bei entspre- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 21

Management und Wissen Erkennung und Abwehr – Tag und Nacht, an 365 Tagen im Jahr Angreifer schlagen außerhalb der Geschäftszeiten zu Die permanente Datenerfassung und -analyse durch ein Security-Operations-Center (SOC) ist für den Schutz kritischer Infrastrukturen unerlässlich. Noch viel wichtiger sind aber schnelle Reaktionsfähigkeiten im Ernstfall – möglich nur, wenn auch wirklich rund um die Uhr und an 365 Tagen im Jahr Analysten verfügbar sind. Von Götz Schartner, 8com GmbH & Co. KG Rund um die Uhr erreich- bar dank Schichtdienst jeder Tages- und Nachtzeit schnellst- möglich reagieren zu können. Ähnliche Vorkommnisse passieren tagtäglich. Bislang ist alles gut gegangen, konnte die Versor- gungssicherheit aufrechterhalten und die große Katastrophe verhin- dert werden. Damit das so bleibt, müssen Security-Operations-Center aber immer in Alarmbereitschaft sein. Der Vorfall zeigt, wie wichtig es ist, dass es für notwendige mensch- liche Expertise und Analysefähigkei- ten niemals Feierabend geben darf. Um das zu gewährleisten, arbeitet das 8com-SOC im Drei- Schicht-Betrieb. Rund um die Uhr und an 365 Tagen im Jahr sind SOC-Analysten im Einsatz, um An- griffe zu erkennen und wirklich zu Automatische Analysen reichen nicht aus Selbstverständlich setzt auch das 8com-SOC auf Automatisierung, um bestmögliche Erkennung und schnellste Reaktionen zu jeder Tages- und Nachtzeit sicherzustellen. Die Grundlage für effiziente IT-Analysen bietet beispielsweise die permanen- te Datenerfassung und -analyse mithilfe eines Security-Informati- on-and-Event-Managements (SIEM). EDR- und XDR-Tools (Endpoint/ Extended-Detection-and-Response) ermöglichen darüber hinaus sogar die Einleitung von Maßnahmen direkt aus dem SOC, ohne ein Zutun der Kunden. Speziell für OT-Systeme Head of SOC Tobias Rühle und CEO Götz Schartner im Gespräch (v. l.) Heiligabend, 18:56 Uhr. Die Familie sitzt gemütlich beim Weihnachtsessen. Zur gleichen Zeit geht ein Alarm im Security-Opera- tions-Center von 8com ein. Umge- hend wird das Ereignis von einem SOC-Analysten verarbeitet und zum Incident hochgestuft – ein „True Positive“. Es muss schnell gehen. Innerhalb kürzester Zeit nehmen die Incident-Responder ihre Arbeit auf. Denn nur durch die schnelle Erkennung und Analyse der Bedro- hungsindikatoren sind die SOC-Ana- lysten in der Lage, rechtzeitig zu reagieren. Umgehend nehmen sie mit der IT-Abteilung des betroffenen Kunden Kontakt auf – der Informa- tionssicherheitsbeauftrage (ISB) und der Leiter der IT-Infrastruktur werden vom Gabentisch gerufen – und leiten Abwehrmaßnahmen ein. Nur so ver- hindern sie, wie die spätere Analyse ergeben wird, die von den Angreifern angestrebte Verschlüsselung sämtli- cher Netzleittechnik. Der sehr wahr- scheinliche Impact auf die Versor- gungssicherheit beim Betreiber von Energieversorgungsnetzen bleibt aus. Die angestrebte Verschlüsselung sämtlicher Systeme, in deren Folge hunderttausende Haushalte und zahlreiche Unternehmen betroffen gewesen wären, konnte abgewandt werden. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 23

Management und Wissen setzt 8com auf Network-Detecti- on-and-Response-Lösungen (NDR), die die Überwachung komplexer OT-Umgebungen ermöglichen. All diese Tools bringen zahlreiche Automatisierungsfunktionen mit. Automatisierte Bedrohungsanalysen helfen dabei, die enorme Flut von mehreren Milliarden Security-Events täglich sinnvoll zu kanalisieren und zu selektieren, damit sich der Ana- lyst jederzeit bestmöglich auf seine Arbeit konzentrieren kann. Abwehrmaßnahmen einleiten zu können. Dennoch ist für effektive Reaktionen die direkte und störungs- freie Kommunikation zwischen SOC und Kunden-IT unerlässlich. Im Vor- feld jeder Zusammenarbeit müssen daher Verantwortliche auf Kunden- seite und deren Ansprechpartner im 8com-SOC klar benannt sein. Beide Parteien müssen zu jeder Tages- und Nachtzeit wissen, an wen sie sich wenden müssen, damit im Ernstfall keine Zeit verloren geht. Dennoch werden selbst ausgefeilte Analysetools und Machi- ne-Learning menschliche Analysen nach heutigem Stand nicht ersetzen können – eine fast schon absurde Annahme angesichts der Tatsache, dass auch hinter den immer profes- sionelleren Angriffen menschliche Akteure stehen. Auch deshalb ist Wichtig ist auch, dass SOC und Kunden-IT sich auf Augen- höhe begegnen. Auch wenn die Security-Kompetenz beim SOC liegt, müssen die IT-Verantwortlichen auf Kundenseite immer eingebunden sein und kontinuierlich mit Informa- tionen versorgt werden. Wirksame Reaktionen sind nur möglich, wenn Hohe Sicherheits- standards, Trennung von Ofﬁce- und SOC-IT Weil im SOC mitunter sen- sible Daten verarbeitet werden, sollten diese Informationen auch bestmöglich geschützt sein. Um das sicherzustellen, arbeiten unsere Analysten ausschließlich vor Ort am Standort Neustadt an der Wein- straße. Sämtliche Analysen finden nur im baulich getrennten, streng abgeschotteten Hochsicherheitsbe- reich statt – und selbstverständlich bestehen keinerlei Verbindungen zwischen der für die Analysten ein- gesetzten SOC- und der herkömmli- chen Office-IT des Unternehmens. Sämtliche Datenverarbeitungstätig- keiten und -vorgänge im SOC sind zudem streng dokumentiert und mit ISO-27001-Zertifikat gemäß BSI IT-Grundschutz verbrieft. Geballte Security- Kompetenz aus einer Hand Das Security- Opreations-Center von 8com es entscheidend, dass menschliche Analyse- und Reaktionsfähigkeiten immer innerhalb kürzester Zeit ver- fügbar sind – auch am 31. Dezember um 24 Uhr. Direkter und barriere- freier Informations- austausch Schnelle Erkennungs- und Analysefähigkeiten sind wichtige Grundvoraussetzung, um wirksame die Kunden-IT versteht, worum es geht und dementsprechend richtig handeln kann. Weil wir bei 8com wissen, wie komplex und schwer verständ- lich die Informationen manchmal sein können, legen wir großen Wert darauf, dass unseren Kunden jederzeit ein deutschsprachiger An- sprechpartner zur Verfügung steht, um Verständnisprobleme auf sprach- licher Ebene auszuschließen. Cyber-Security, besonders der Schutz kritischer Infrastruktu- ren, verlangt nach weit mehr als der Einführung und dem Betrieb eines SIEM oder irgendeiner anderen Technologie. Es braucht zahlreiche Kompetenzen, die im Bedarfsfall schnell verfügbar gemacht werden können. Um kritische Infrastruk- turen effektiv zu schützen, vereint das 8com-SOC neben den Bereichen Angriffserkennung und -reaktion auch Schwachstellenmanagement, Endpoint-Detection-and-Response, IT-Forensik und Incident-Response aus einer Hand. Seit der Gründung 2004 kon- zentriert sich 8com ausschließlich auf Cyber-Security. Angefangen mit Penetration-Testing haben wir Stück für Stück sämtliche erforderlichen Kompetenzen auf- und ausgebaut, um unseren Kunden bestmöglichen Schutz anbieten zu können – rund um die Uhr und an 365 Tagen im Jahr. n 24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

Management und Wissen NIS-2-Richtlinie Was Sie jetzt tun sollten, um gut vorbereitet zu sein Die NIS-2-Richtlinie macht Risikomanage- ment zur Pflicht. Unternehmen müssen in der Lage sein, Cyberrisiken zu erkennen, zu bewerten und zu mindern. Wie gelingt das am besten und worauf sollten Security-Ver- antwortliche dabei achten? Von Richard Werner, Trend Micro Mit der NIS-2-Richtlinie will die EU-Kommission die Cybersecurity-Fähigkeiten in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen stärken. Vor allem geht es darum, Ausfälle von kritischen Infrastrukturen zu vermeiden. Bereits seit 16. Januar 2023 ist die neue EU-Direktive in Kraft. Bis zum 17. Oktober 2024 haben die Mitgliedstaaten noch Zeit, sie in nationales Recht umzu- setzen. Unternehmen sollten am besten jetzt schon ihre Cybersecurity-Strategie überprüfen und gegebenenfalls anpassen. Denn Security-Projekte wollen gut geplant sein, und erfahrungsgemäß werden auf den letzten Drücker meist die Ressourcen knapp. Wer dann Unterstützung eines Managed-Services-Providers braucht, muss sich hintanstellen. An Security-Maßnahmen schreibt die EU im Grunde gängige Best Practices vor. Dazu gehören zum Beispiel eine Back-up-Strategie, Systeme zur Bedrohungs- erkennung sowie ein Notfallplan. Wer das bereits etabliert hat, für den ändert sich gar nicht so viel. Neu ist allerdings, dass die NIS-2-Direktive einen Schwerpunkt auf Risikoma- nagement legt. Und das aus gutem Grund. Cyberrisikomanagement wird Pﬂicht Cybervorfälle und Betriebsunterbrechungen sind heute das größte Geschäftsrisiko, so das Allianz Risk Barometer. Da es in Folge eines Cyberangriffs häufig zur Betriebsunterbrechung kommt, stehen Cyberrisiken also ganz oben auf der Agenda. Diese zu mindern, ist im ureigenen Interesse jedes Unternehmens – schon allein aus wirtschaftlichen Gründen. Im Hinblick auf kritische Infrastrukturen steht zudem das Wohl der Gesellschaft auf dem Spiel. NIS-2 schreibt Cyberrisikomanagement nun explizit für KRITIS-Betreiber vor und siedelt das Thema auf oberster Ebene an. Geschäftsleiter stehen persönlich in der Verantwortung, Cyberrisken zu erkennen, zu bewerten und zu mindern. Bei Verstößen gegen die Risikomanage- ment-Pflichten drohen Bußgelder in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jah- resumsatzes. Laut einer Trend-Micro-Studie sind deutsche Unternehmen bereits auf einem guten Weg: Immerhin 51 Prozent der befragten IT-Teams sprechen mindestens einmal wöchentlich mit der Geschäftsleitung über Cyber- risiken. Dabei stehen IT-Verantwortliche vor der Heraus- forderung, dem Management verständlich darzulegen, wo ein Risiko für das Unternehmen liegt, wie gefährlich dieses ist und wie es sich am besten bewältigen lässt. Was ist bei der Risikobewertung zu beachten? Risikobewertung muss kontinuierlich erfolgen. Denn mit jeder noch so kleinen Veränderung der IT-Um- gebung, der Angriffswelt oder der Sicherheitsforschung kann sich der Risikostatus ändern. Die neue Cloud-In- stanz, der gerade eingespielte Patch oder die heute erst veröffentlichte Schwachstelle – all das kann dazu führen, dass plötzlich akuter Handlungsbedarf besteht, auch wenn man sich gestern noch sicher wähnte. Wie groß ein Risi- ko ist, hängt immer von der Eintrittswahrscheinlichkeit und vom möglichen Schaden ab. Beide Faktoren müssen unternehmensspezifisch betrachtet werden. Dafür ist es nötig, sowohl interne Security-Informationen zur eigenen Angriffsfläche als auch externe Security-Informationen zu aktiven Hackergruppen und Angriffsmustern im Zu- sammenhang zu betrachten. Eine ältere Schwachstelle, die gerade häufig angegriffen wird, kann zum Beispiel gefährlicher sein als eine neue, im CVSS-Wert als kritisch eingestufte – erst recht, wenn ein Unternehmen zur Zielgruppe bestimmter Akteure zählt. Risikomanagement bedeutet, dass man in der Lage ist, die individuell größten Risiken zu priorisieren und zu adressieren. Risiken minimieren mit Attack Surface Risk Management Die NIS-2-Richtlinie gibt keine klaren Handlungs- empfehlungen, wie Unternehmen Risikomanagement umsetzen sollten. Theoretisch könnten sie die nötigen Informationen auch von Hand zusammentragen. In der Praxis ist das schon allein aufgrund der Datenflut, hohen Dynamik und komplexen IT-Umgebungen nicht mach- bar – ganz zu schweigen vom Fachkräftemangel. Gefragt ist eine Lösung, die den Risikostatus kontinuierlich au- tomatisiert ermittelt. Genau dafür wurde Attack Surface Risk Management (ASRM) von Trend Micro entwickelt. 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

Die Technologie sammelt interne Daten aus den ange- schlossenen Sensoren und korreliert sie KI-gestützt mit Security-Informationen aus unzähligen externen Quellen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Security-Unternehmen und Ana- lysten. Intelligente Algorithmen berechnen in Echtzeit den individuellen Risiko-Score des Unternehmens. Secu- rity-Teams können einen Schwellenwert definieren, ab dem sie alarmiert werden möchten, und sehen in einer Ampel-Darstellung, wie gefährlich die ermittelten Risiken sind. In einem Dashboard können sie sich Details anzeigen lassen. Warum hat sich der Risikostatus geändert? Welche Systeme sind betroffen? Was hat höchste Priorität? Auch wenn eine neue Schwachstelle veröffentlicht wird, zeigt das ASRM, wie kritisch die Sicherheitslücke aktuell für das Unternehmen ist. Außerdem gibt die Lösung Hand- lungsempfehlungen und kann Risiken sogar automatisiert adressieren, sofern man entsprechende Regeln konfigu- riert. Auswirkungen mindern mit XDR ASRM hilft dabei, Security-Ressourcen gezielt einzusetzen. Es betrachtet die IT-Umgebung aus der An- greiferperspektive und zeigt an, wo Cyberkriminelle am wahrscheinlichsten zuschlagen würden – und mit welcher Wucht. Dort können Security-Teams dann die stärksten Verteidigungsmechanismen platzieren. Trotzdem bleibt immer ein Restrisiko, denn es wird nie möglich sein, alle Schwachstellen zu schließen. Unternehmen müssen also stets damit rechnen, dass es zu einem Cyberangriff kommt. Für diesen Fall brauchen sie Maßnahmen, um die Auswirkungen zu mindern. Zum Risikomanagement zählt daher auch eine leistungsfähige Detection und Re- sponse. Bereits im IT-Sicherheitsgesetz 2.0 sind Systeme zur Angriffserkennung für KRITIS-Betreiber vorgeschrie- ben. Hier kommt Trend Micro XDR (Extended Detection and Response) ins Spiel. Die Technologie nutzt dieselben Sensoren wie das ASRM, sammelt deren Informationen in einem Data-Lake und analysiert sie KI-gestützt. Die intelligenten Algorithmen erkennen Zusammenhänge zwischen Bedrohungsindikatoren über alle Vektoren der IT-Umgebung hinweg und korrelieren sie zu verwertbaren Warnungen. So sehen Security-Teams sehr schnell, was passiert ist und wo sie aktiv werden müssen. Wer XDR zu- dem mit Managed XDR kombiniert, entlastet die eigenen Mitarbeiter noch mehr. Spezialisierte Security-Analysten von Trend Micro übernehmen dann die Überwachung und Auswertung der Warnmeldungen. Sie verständigen das Unternehmen, sobald sie etwas Kritisches entdecken, und unterstützen bei der weiteren Untersuchung. So spielen ASRM und XDR zusammen ASRM und XDR sind die zwei Grundpfeiler im Risikomanagement. ASRM zeigt den Risikostatus der Eine einheitliche Cybersecurity-Plattform, wie die von Trend Micro integriert modernste XDR-Funktionen mit leistungsstarkem Angriffsﬂächen-Risikomanagement und dynamischen Zero-Trust-Tools. IT-Umgebung an und dient dazu, die Eintrittswahr- scheinlichkeit eines Cybervorfalls zu minimieren. Falls es trotzdem zum Angriff kommt, hilft XDR dabei, die Auswirkungen zu mindern. Die beiden Technologien arbeiten perfekt zusammen, wenn sie unter einer Platt- form vereint sind und Daten austauschen können. Die XDR-Lösung versorgt das ASRM dann mit umfassenden Informationen aus der IT-Umgebung. Zusätzlich lassen sich auch Vulnerability-Scanner oder Firewalls anderer Hersteller anbinden. Identifiziert das ASRM ein erhöhtes Risiko, kann die XDR-Lösung das genauer untersuchen. Werden wiederum im XDR Anzeichen für einen Cyber- angriff erkannt, verändert sich sofort der Risikostatus im ASRM. Alle Informationen laufen in Trend Micro Vision One zusammen und werden dort übersichtlich dargestellt. Die Plattform ermöglicht es, ASRM und XDR zentral zu überwachen und zu steuern. Gut vorbereitet auf NIS-2 Es lohnt sich, Risikomanagement zeitnah umzu- setzen und nicht bis zur finalen deutschen Gesetzgebung zur NIS-2-Richtlinie zu warten. Denn der Ansturm auf Beratungsressourcen wird aller Voraussicht nach groß. Nicht nur kommen mit NIS-2 sieben neue KRITIS-Sektoren hinzu, auch die Schwellenwerte für die Zugehörigkeit wur- den erheblich gesenkt. Ferner müssen KRITIS-Betreiber den Ausfall wichtiger Lieferanten durch Cyberangriffe in ihre Risikobetrachtung integrieren. In der Praxis wirkt sich NIS-2 also auf nahezu alle Unternehmen aus. Mit ASRM und XDR können sie die Herausforderungen im Risikoma- nagement einfach und effizient meistern. Beide Lösungen arbeiten cloudbasiert, KI-gestützt und automatisiert. Der Plattform-Ansatz mit Trend Micro Vision One sorgt für ein einheitliches Security-Management und umfassende Transparenz. So sind Unternehmen gut auf NIS-2 vorbe- reitet und sichern ihre Geschäftskontinuität. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 27

News und Produkte News und Produkte protekt 2023 veröffentlicht Konferenz- programm Am 8. und 9. November fin- det in Leipzig wieder die auf kritische Infrastrukturen (KRITIS) spezialisier- te Fachkonferenz protekt statt. Das Konferenzprogramm ist ab sofort verfügbar (www.protekt.de). Zu den Highlights zählen Vorträge, die sich mit dem Schutz einzelner KRITIS-Be- reiche beschäftigen. So spielen die Absicherung von LNG-Terminals, die Sicherheit von Lieferketten und die Bedeutung der Trinkwasserver- sorgung eine wichtige Rolle. Geplant sind laut Veranstalter auch Beiträge zur Informationssicherheit in der Landtechnik und zur IT-/OT-Sicher- heit in Stadtwerken. Zudem wird das Zufahrtsschutzkonzept der Stadt Salzburg vorgestellt. Sektorenüber- greifende Vorträge setzen sich unter anderem mit dem KRITIS-Dachge- setz, einem vernetzten Risiko- und Resilienzmanagement, Learnings aus der Sicherheit von Rechenzen- tren sowie Systemen zur Angriff- serkennung gegen Cyberattacken auseinander. In diesem Jahr wird die protekt erstmals in vier parallelen Tracks Fachwissen vermitteln. Neben den etablierten Tracks Cyber- und Informationssicherheit, Physische Sicherheit und den Workshops widmet sich ein neuer Strang am ersten Konferenztag Praxisberichten aus dem Umsetzungsplan kritische Infrastrukturen (UP KRITIS). Dessen Vorträge werden in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorbereitet. (www.protekt.de) Studie: Die riskantesten OT- und ICS-Geräte der kritischen Infrastruktur Das Sicherheitsunterneh- men Armis hat eine Studie veröf- fentlicht, in der die risikoreichsten Geräte identifiziert wurden, die eine Bedrohung für kritische In- frastrukturen in der Fertigung, für Versorgungsunternehmen und im Transportwesen darstellen. Die von der Armis Asset Intelligence and Se- curity-Plattform analysierten Daten, die mehr als drei Milliarden Assets überwacht, ergaben, dass die Geräte der Betriebstechnologie (OT) und der industriellen Kontrollsysteme (ICS), die das größte Risiko für diese Branchen darstellen, technische Workstations, SCADA-Server, Auto- matisierungsserver, Data Historians und speicherprogrammierbare Steu- erungen (SPS) sind. So verzeichneten technische Workstations in den letzten zwei Monaten die meisten Angriffsver- suche in der Branche, gefolgt von SCADA-Servern. 56 Prozent der Workstations haben mindestens eine ungepatchte kritische Schwach- stelle (Common Vulnerabilities and Exposures, CVEs), und 16 Prozent sind anfällig für mindestens eine gefährliche CVE, die vor mehr als 18 Monaten veröffentlicht wurde, so Armis. Unterbrechungsfreie Strom- versorgungen (USV) sind demnach der dritthäufigste Gerätetyp, der in den letzten zwei Monaten Ziel von Angriffsversuchen war. Die Daten zeigen, dass 60 Prozent der USV-Geräte mindestens eine un- gepatchte CVE-Schwachstelle mit kritischem Schweregrad aufweisen. Darüber hinaus wiesen 41 Prozent der speicherprogrammierbaren Steuerungen (SPS) mindestens eine ungepatchte CVE-Schwachstelle mit kritischem Schweregrad auf. Diese älteren Geräte sind von großer Bedeutung, da ein Angriff zu einer Unterbrechung der zentralen Abläu- fe führen könnte. Die Untersuchung hat jedoch gezeigt, dass sie für hohe Risikofaktoren anfällig sein können. Ein Beispiel dafür ist Hardware oder Firmware, die nicht mehr unterstützt wird. Branchen mit Operational Technology (OT) haben sich in den letzten Jahren durch die Konvergenz von OT und IT erheblich verändert. Diese Angleichung leitet eine neue Phase des Industriezeitalters ein und ermöglicht eine bereichsübergrei- fende Zusammenarbeit, doch in der Praxis muss eine einheitliche Verwal- tung beider Umgebungen erst noch erfolgen, so Armis. Da sich die OT- Teams auf die Wartung industrieller Kontrollsysteme, die Abschwächung von Risiken für die OT und die Si- cherstellung der Gesamtintegrität innerhalb der Betriebsumgebungen konzentrieren, wurden die eher IT-bezogenen Aufgaben vernach- lässigt. Vier der fünf risikoreichsten Geräte laufen mit Windows-Be- triebssystemen, was zeige, dass ein grundlegendes Verständnis des Anlagenrisikos und der Sicherung gefährdeter Anlagen immer noch eine Herausforderung für IT- und OT- Teams darstellt. Armis untersuchte die Gerätetypen und stellte dabei fest, dass viele von ihnen anfälliger für bösartige Aktivitäten sind, weil sie das SMBv.1-Protokoll, nicht mehr unterstützte Betriebssysteme und viele offene Ports verwenden. SMBv.1 ist ein veraltetes, unver- schlüsseltes und kompliziertes Proto- koll mit Schwachstellen, die bei den berüchtigten Wannacry- und Not- Petya-Angriffen ins Visier genom- men wurden. Sicherheitsexperten rieten Unternehmen zuvor, dieses Protokoll nicht mehr zu verwenden, 28 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023

die Daten zeigen aber, dass es noch in diesem Bereich eingesetzt wird. (www.armis.com/de/) Bedrohungsanalyse zur Royal-Ransomware Seit ihrer ersten Entdeckung im September 2022 war die Royal- Ransomware an einer Reihe von öffentlichkeitswirksamen Angriffen auf kritische Infrastrukturen, beson- ders im Gesundheitswesen, beteiligt. Vor ihrem ersten Auftreten war sie mit einer früheren Ransomware-Fa- milie namens Zeon in Verbindung gebracht worden, die im Januar des- selben Jahres auftrat. Entgegen dem weit verbreiteten Trend, Partner an- zuheuern, um ihre Bedrohungen als Dienstleistung anzubieten, operiert Royal als private Gruppe, die sich aus ehemaligen Conti-Mitgliedern zu- sammensetzt. Das Team von Unit 42 (Palo Alto Networks) hat beobachtet, dass diese Gruppe ihre Opfer mit ei- ner BATLOADER-Infektion kompro- mittiert, die Angreifer normalerweise durch Suchmaschinenoptimierung (SEO) verbreiten. Bei dieser Infektion werde ein Cobalt Strike Beacon als Vorstufe zur Ausführung der Ran- somware abgesetzt. Da einige der Drahtzieher an der Entwicklung von Ryuk, dem Vor- gänger von Conti, beteiligt waren, verfügen sie über langjährige Erfah- rung. Das bedeute, dass sie eine solide Grundlage für die Durchführung von Angriffen haben und wissen, wie sie ihre Opfer erpressen können. Mögli- cherweise aufgrund dieser Erfahrung hat die Gruppe bereits zahlreiche Unternehmen und Institutionen auf der ganzen Welt in Mitleidenschaft gezogen. Die Forscher von Unit 42 haben zudem beobachtet, dass die Gruppe Forderungen in Höhe von bis zu 25 Millionen Dollar in Bitcoin gestellt hat. Royal hat auch häufig be- stimmte kritische Infrastrukturbe- reiche wie die Fertigungsindustrie und das Gesundheitswesen bedroht. Innerhalb weniger Monate im Jahr 2022 hat die Gruppe laut ihrer Leak- Site 14 Unternehmen des verarbei- tenden Gewerbes angegriffen und anschließend behauptet, dass sie im Jahr 2023 26 weitere Unternehmen des verarbeitenden Gewerbes angrei- fen wird. Seit ihrer Gründung hat die Gruppe auch acht Organisationen im Gesundheitswesen angegriffen. Das U.S. Department of Health and Human Services hat im Januar 2023 eine Warnung vor der Bedrohung des Gesundheitswesens durch Royal- Ransomware herausgegeben. Die Gruppe nutzt ihre Leak- Site, um die Opfer öffentlich zur Zah- lung des Lösegelds zu erpressen. Die Royal-Gruppe belästigt sie so lange, bis die Zahlung sichergestellt ist, und setzt dabei Techniken wie E-Mails an die Opfer und den Massenversand von Erpresserbriefen ein. Der Strippenzieher der Ro- yal-Ransomware hat ein aktives Twitter-Konto, das im Oktober 2022 erstellt wurde und den Namen „Lo- ckerRoyal“ trägt. Bei den meisten Inhalten des Kontos handelt es sich um Ankündigungen von Opfern, wobei das Twitter-Konto des Opfers markiert wird. Laut Unit 42 ist es ist nicht ungewöhnlich, dass Gruppen von Angreifern Social-Media-Konten einrichten, um ihre Marke und ihre Ankündigungen weiter zu verbrei- ten. Es sei klar, dass diese Gruppe mit allen Mitteln versucht, die Aufmerk- samkeit mehrerer Organisationen zu gewinnen. Royal-Ransomware hat sich auf eine Vielzahl von Branchen ausgewirkt, darunter sowohl kleine Unternehmen als auch große Kon- zerne. Die Auswirkungen von Royal gehen oft über finanzielle Verluste hinaus. So gab es Fälle, in denen die Gruppe kritische Infrastrukturen wie Gesundheitseinrichtungen und landwirtschaftliche Betriebe ins Vi- sier genommen hat. Seit 2022 haben die Forscher beobachtet, dass diese Gruppe sieben lokale Regierungsbe- hörden in den Vereinigten Staaten und Europa angegriffen hat – wie bei dem jüngsten Angriff auf die Stadt Dallas. Royal-Ransomware ist in die- sem Jahr aktiver geworden, verwen- det eine Vielzahl von Tools und zielt aggressiver auf kritische Infrastruk- turen ab, so das Fazit von Unit 42. Unternehmen sollten bewährte Si- cherheitspraktiken anwenden und sich vor der ständigen Bedrohung durch Ransomware in Acht nehmen, und zwar nicht nur vor Royal, son- dern auch vor anderen opportunis- tischen kriminellen Gruppen. Das Team von Unit 42 empfiehlt den Verteidigern, fortschrittliche Pro- tokollierungsfunktionen zu imple- mentieren und richtig zu konfigurie- ren. Dazu gehören Tools wie Sysmon, Windows-Befehlszeilenprotokollie- rung und PowerShell-Protokollie- rung. Idealerweise sollten sie diese Protokolle an ein Security-Informa- tion-and-Event-Management-Sys- tem weiterleiten, um Abfragen und Erkennungsmöglichkeiten zu schaf- fen. Unternehmen sollten ihre Com- putersysteme nach Möglichkeit mit Patches versehen und auf dem neu- esten Stand halten, um die Angriffs- fläche für Ausnutzungstechniken zu verringern. Ebenfalls ratsam ist der Einsatz einer XDR/EDR-Lösung zur Durchführung von In-Memory-Ins- pektionen und zur Erkennung von Process-Injection-Techniken. Im Rahmen einer Bedrohungssuche gilt es, nach Anzeichen für ungewöhnli- ches Verhalten im Zusammenhang mit der Umgehung von Sicherheits- produkten, Dienstkonten für laterale Bewegungen und Benutzerverhalten im Zusammenhang mit Domain-Ad- ministratoren zu suchen. (https://unit42.paloaltonetworks.com) © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special KRITIS, August 2023 29

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ ✓ Printausgabe liegt <kes> bei ✓ ✓ digitales eMagazine kostenfrei verfügbar ✓ weitere Specials hier kostenfrei downloaden: weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ ✓ offizielles Organ des Bundesamtes ✓ für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes ✓ <kes> genauer kennenlernen? <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ kes.info/service/probeheft/ Leseproben <kes> unter: kes.info/archiv/leseproben/

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Recht EU-Regularien NIS2UmsuCG Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo Mit dem Wortungetüm von Gesetzeswerk will Deutschland nicht nur die EU-Vorgaben der NIS-2-Richtlinie umsetzen, sondern auch das bestehende deutsche Cybersecurity-Recht teil- weise neu strukturieren. Der vorliegende Beitrag basiert inhaltlich auf einem fortgeschritte- nen internen Arbeitsdokument des BMI und gibt einen ersten Überblick über die diskutierten anstehenden gesetzlichen Änderungen, deren Umfang und systematische Auswirkungen. § t h c e R Von Dennis-Kenji Kipker, Bremen Das Recht der Cybersicherheit beﬁndet sich zur- zeit an allen Stellen im Umbruch – und das nicht nur auf- grund der geänderten und gestiegenen Bedrohungslage, sondern auch deshalb, weil ein Rechtsgebiet, das bislang vornehmlich auf dem Schutz kritischer Infrastruktur gewachsen ist, nun eine ﬂächendeckende horizontale Ausdehnung über Sektoren, Branchen und einzelne Pro- duktkategorien hinweg erfährt. Das erfordert gravierende systematische Veränderungen der nationalen und europä- ischen Cybersecurity-Compliance. Nachdem im Dezember vergangenen Jahres die lang erwartete NIS-2-Richtlinie (vgl. <kes> 2023#1, S. 19) im Amtsblatt der Europäischen Union publiziert wurde, folgt nunmehr das in Branchenkreisen mindestens genau- so erwartete nationale NIS-2-Umsetzungs- und Cybersi- cherheitsstärkungsgesetz (NIS2UmsuCG). Die Besonder- heit daran: Der deutsche Gesetzgeber nimmt die durch NIS-2 bedingte europäische Überformung des nationalen Cybersecurity-Rechts nicht nur zum Anlass, die aktuellen EU-Vorgaben umzusetzen, sondern gliedert in diesem Zuge auch das bestehende deutsche Cybersecurity-Recht in erheblichen Teilen neu und gleicht es an die Anforde- rungen des physischen KRITIS-Schutzes an. Mehr als KRITIS-Schutz Die „Wiege“ des nationalen, aber auch des europä- ischen Rechts der Cybersicherheit liegt im Wesentlichen im Schutz der kritischen Infrastrukturen. Infolge der zu- nehmenden Vernetzung sowie der signiﬁkant geänderten Bedrohungslage zielen die aktuellen Bestrebungen sowohl des europäischen als auch des nationalen Gesetzgebers zunehmend auf die Einbeziehung nicht nur zahlreicher weiterer Branchen, sondern auch Produkte in den zukünf- tigen Regulierungshorizont der Cybersicherheit. So waren für die Compliance in diesem Bereich national im Kern bislang das BSI-Gesetz (BSIG) und die dessen Anwendungsbereich konkretisierende „Verord- nung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV) einschlägig, ergänzt um spezialgesetzliche Anforderungen beispielsweise aus dem Telekommunikationsgesetz (TKG) oder dem Gesetz über die Elektrizitäts- und Gasversorgung (EnWG). Seit 2016 wurden diese nationalen Vorgaben durch die erste europäische NIS-Richtlinie überformt, die vor allem Änderungen bei digitalen Diensten in den Be- reichen Cloud-Computing, Online-Suchmaschinen und Online-Marktplätze mit sich brachte, um den komplexen digitalen europäischen Binnenmarkt cybersicherer zu ge- stalten. Das nationale IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) stellte 2021 schließlich den vorläuﬁgen „Höhepunkt“ der Cybersecurity-Regulierung dar, indem es – nicht zuletzt unter dem Eindruck der zu diesem Zeitpunkt fortdau- ernden Corona-Pandemie – Cybersicherheit zunehmend auch als eine Aufgabe des ﬂächendeckenden Wirtschafts- schutzes formulierte. Besonders die „Unternehmen im besonderen öffentlichen Interesse“ (UBI) traten als neue Kategorisierung hinzu und die gesetzlichen Pﬂichten erfuhren – zunächst theoretisch – eine erhebliche Aus- dehnung mit den UBI der Kategorie 2, der die größten Unternehmen in Deutschland nach Wertschöpfung un- terfallen sollten. Bislang wurden die UBI-Kategorie 2 noch nicht untergesetzlich konkretisiert, sodass die entsprechenden rechtlichen Anforderungen in der Praxis noch nicht zur Anwendung gelangen konnten. Deutlich geworden ist aber zumindest der gesetzgeberische Wille, in diese Rich- tung zu regulieren. Das IT-SiG 2.0 war auf jeden Fall nati- onal auch der Wegbereiter für die Ende 2022 erfolgte neue 70 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#4

Vorrang spezialgesetzlicher Regelungen ableiten. Zu nen- nen sind hier Einrichtungen, die der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) unterfallen, aber auch der Bereich der öffentlichen Telekommunikationsnetze und öffent- lich zugänglichen Telekommunikationsdienste mit den Sondervorschriften des TKG. Die Sicherheit der Telematik- infrastruktur wird bereits durch das SGB V geregelt. Die bis- lang bestehenden spezialgesetzlichen Vorgaben aus dem Energiesektor im EnWG sollen zukünftig voraussichtlich einheitlich durch das BSIG bestimmt werden. Cyber-Risikomanagement Bereits basierend auf IT-SiG, NIS-1 und IT-SiG 2.0 sieht das BSIG Maßnahmen zum Cybersecurity-Risiko- management und entsprechende Meldepﬂichten vor. Diese werden mit NIS-2 und dem Umsetzungsgesetz nicht nur weiter konkretisiert, sondern auch verschiedentlich verschärft. Nach wie vor haben besonders wichtige und wichtige Einrichtungen ein Risikomanagement zur Ge- währleistung der Cybersicherheit vorzuhalten. Auch im Entwurf einer Neufassung wird deshalb – wenig überra- schend – die Verpﬂichtung bestimmt, verhältnismäßige europäische Regulierung (kritischer) Cybersicherheit und digitaler Resilienz: Aufbauend auf der EU-Cybersicher- heitsstrategie von 2020 wurden sowohl die NIS-2-Richt- linie als auch eine neue europäische Resilienz-Richtlinie (CER-RL) verabschiedet, die durch die Mitgliedstaaten bis Oktober 2024 umzusetzen sind. Beide Richtlinien werden aktuell in Deutschland in das nationale Recht implementiert, wobei die NIS-2- RL voraussichtlich durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) Ein- gang in das deutsche Recht ﬁnden wird, wohingegen die CER-Richtlinie durch das „KRITIS-Dachgesetz“ in Aussicht zu stellen ist, um vor allem die hybride Bedrohungslage für kritische Infrastrukturen zu adressieren. Für beide Vorhaben bemüht sich der deutsche Gesetzgeber aktuell, zu einem Abschluss des Verfahrens noch weit vor Ablauf der europäischen Umsetzungsfrist zu gelangen, um be- troffenen Unternehmen mehr Zeit für die Umsetzung einzuräumen. Anlagen und Einrichtungen Mit dem NIS2UmsuCG wird das nationale Cyber- sicherheitsrecht voraussichtlich erheblichen Änderungen unterzogen, vor allem im Anwendungsbereich der neuen Regelungen: Wo der Cybersicherheit als essenzieller Be- standteil des kritischen Infrastrukturschutzes in den §§ 8a und 8b BSIG bislang eine eher knapp bemessene Regelung zukam, sollen die Anforderungen in Umsetzung von NIS-2 nun deutlich umfassender adressiert werden. Unterschie- den werden kann dabei zwischen den Betreibern von kritischen Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen – mit einer solchen nationalen Einteilung wird die im Europarecht vorgesehene und eher missverständliche Unterteilung in „wesentliche“ und „wichtige“ Einrichtungen revidiert, ohne inhaltlich aber den eigentlichen Regulierungsgehalt anzutasten. Dabei sind die Betreiber kritischer Anlagen die höchste Qualiﬁkationsstufe und die bislang durch das IT- SiG 2.0 adressierten UBI sollen zukünftig in den besonders wichtigen und wichtigen Einrichtungen aufgehen. Den bislang verwendeten Begriff der kritischen Infrastrukturen ﬁndet man in der in diesem Artikel wiedergegebenen Arbeitsfassung des BMI hingegen nicht mehr, sodass die „kritische Anlage“ voraussichtlich der neuen Subkategorie der besonders wichtigen Einrichtungen unterfällt. Um betroffenen Einrichtungen die größenmäßige Zuordnung zu erleichtern, sollen die zahlenmäßigen Be- stimmungen aus der Empfehlung 2003/361/EG, auf die auch NIS-2 Bezug nimmt, wohl als Legaldeﬁnitionen in die neuen Begriffsbestimmungen nach BSIG übernom- men werden. Ausnahmen vom Anwendungsbereich des NIS2UmsuCG lassen sich vor allem aus dem generellen © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#4 71

Recht EU-Regularien technische und organisatorische Maßnahmen (TOM) zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstech- nischen Systeme, Komponenten und Prozesse, die zur Diensteerbringung genutzt werden, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf eigene oder andere Dienste zu verhindern oder möglichst gering zu halten. Der „Stand der Technik“ als bereits durch das IT- SiG bekannter unbestimmter Rechtsbegriff wird ebenfalls erneut referenziert, denn die Schnittstelle Recht-Technik und die nicht beliebig abbildbare Aufnahme technischer Anforderungen in juristische Vorschriften haben sich insoweit nicht verändert. Auch der Angemessenheitsgrundsatz der zu tref- fenden TOM, der sich auf eine Kosten-Nutzen-Abwägung zu treffender Maßnahmen bezieht, hat Bestand: So sind bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, das Ausmaß der Risikoexposi- tion und die Größe der Einrichtung oder des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Eine solche Regelung ist notwendig, um unverhältnismäßige Bürden zu vermeiden und einen Bezug des Gesetzes zu seiner praktischen Umsetzung herzustellen. Das bedeutet aber auch, dass für die Betreiber von kritischen Anlagen erhöhte Anforderungen an die Angemessenheitsbeurtei- lung anzulegen sein werden. NIS-2 geht über den bestehenden Rechtsrahmen insoweit hinaus, als dass der Rechtsakt eine Konkretisie- rung der zu treffenden TOM im Sinne einer nicht abschlie- ßenden Kasuistik wiedergibt, die wohl auch Eingang in das NIS2UmsuCG ﬁnden wird. Der als „Minimalkonsens“ zu verstehende Katalog listet unter anderem Backup- sowie Notfall- und Krisenmanagement, die Sicherheit der Lie- ferkette, Security by Design, Schwachstellenmanagement, Cyberhygiene, Kryptograﬁe, Zugriffskontrollkonzepte und Multi-Faktor-Authentiﬁzierung (MFA) als mögliche Maßnahmen auf. Zur Konkretisierung der gesetzlich ge- forderten Maßnahmen wird für die besonders wichtigen Einrichtungen die Möglichkeit zum Vorschlag branchen- speziﬁscher Sicherheitsstandards (B3S) aller Voraussicht nach weiter fortbestehen. Meldepﬂichten Besonders im Bereich der Meldepﬂichten werden die erheblichen Änderungen in der nationalen Sicher- heits- und Cybersicherheitsinfrastruktur deutlich, indem nicht nur das BSI, sondern vor allem auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine erhebliche institutionelle Stärkung erfahren. Das hat rechtlich zur Folge, dass künftig das BSIG systematisch nicht mehr separat, sondern im Zusammenhang mit dem KRITIS-Dachgesetz zu sehen sein wird. Deshalb wird hier auch der Vorschlag für eine Neuerung eingebracht, dass die Meldungen an eine vom BSI im Einvernehmen mit dem BBK eingerichtete Meldemöglichkeit übermittelt werden. Insgesamt ist die Schaffung vereinheitlichter Meldewege vorzugswürdig, da sich digitale und physische Bedrohungen durchaus überschneiden können und es den betroffenen Einrichtungen schwer zuzumuten sein wird, für jeden Einzelfall und unter Umständen unter erheblichem Zeitdruck eine rechtsklare Differenzierung vorzunehmen. Zudem ist es in Anbetracht des erheblich ausgedehnten Anwendungsbereichs der neuen Rege- lungen statthaft, betroffenen Unternehmen die Imple- mentierung der Cybersecurity-Regulatorik größtmöglich zu erleichtern. Hierzu können einerseits chronologisch gestufte Umsetzungs- und Prüfkonzepte gehören, ande- rerseits aber auch die Vereinfachung des administrativen Rahmens, indem es in die Verantwortung der Behörden gestellt wird, den Informationsaustausch zu gewährleisten und in die „richtigen Kanäle“ zu lenken. Im Vergleich zum geltenden Recht wird das neue Meldeverfahren durch eine mehrstuﬁge Ausgestaltung vermutlich erheblichen Änderungen unterliegen. Un- terschieden wird im Gesetzentwurf zwischen der frühen Erstmeldung (unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung), der bestätigenden Erstmeldung (unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung), der Zwischenmeldung auf Ersuchen des BSI, der Fortschrittsmeldung bei Fortdauern des Sicherheitsvorfalls und einer Abschlussmeldung mit Mo- natsfrist. Insgesamt wird administrativ von einer deutlich höheren Zahl melderelevanter Vorfälle nach NIS2Um- suCG auszugehen sein. Gründe hierfür sind der ausge- dehnte Anwendungsbereich, aber auch die Einbeziehung von materiellen und immateriellen Schäden. Ebenfalls neu ist die positiv hervorzuhebende Rückmeldepﬂicht des BSI: Eine Rückmeldung der Behörde ist unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung vorgesehen. Das ist sinnvoll und adressiert die in der Vergangenheit geäußerte Kritik verschiedener Betreiber, Meldungen in ein „schwarzes Loch“ abzusetzen. Registrierung, Nachweis und Unterrichtung Das NIS2UmsuCG sieht für kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrich- tungen eine Registrierungspﬂicht vor – eine rechtliche Vorgabe, die bereits aus dem geltenden Recht für kritische Infrastrukturen bekannt ist. Infolge der europäisch veran- lassten erheblichen Ausdehnung des Betroffenenkreises 72 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#4

der gesetzlichen Regelungen ist auch hier mit einer deut- lichen zahlenmäßigen Erweiterung zu rechnen. Bei Nicht- erfüllung dieser Anforderung drohen nicht nur Bußgelder, sondern es ist ebenso die Möglichkeit einer Selbstvornah- me der Registrierung durch das BSI vorgesehen. Nach geltendem Recht bestehen ebenfalls Nach- weispﬂichten zur Umsetzung der Anforderungen aus dem Cybersicherheitsrecht – diese dürften voraussichtlich für die besonders wichtigen Einrichtungen übernom- men werden. Dementsprechend ist die Erfüllung der gesetzlichen Anforderungen zu einem vom BSI nach der Registrierung festgelegten Zeitpunkt und anschließend im Zwei-Jahres-Turnus nachzuweisen. In diesem Zusam- menhang soll vorgesehen werden, dass das BSI die Aus- gestaltung des Nachweisverfahrens nach Anhörung von Vertretern der betroffenen Betreiber und Einrichtungen und der Wirtschaftsverbände konkretisierend festlegen kann. Der Nachweis soll weiterhin in geeigneter Weise, also etwa durch Sicherheitsaudits, Prüfungen oder Zerti- ﬁzierungen erfolgen. Für erhebliche Sicherheitsvorfälle soll vorgesehen werden, dass das BSI besonders wichtige und wichtige Einrichtungen anweist, die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten, der die Er- bringung des jeweiligen Dienstes beeinträchtigen könnte – beispielsweise durch eine Veröffentlichung im Internet. Aufsicht und Durchsetzung, Sanktionen Der Vorschlag für ein NIS2UmsuCG sieht einen gestaffelten Aufsichts- und Durchsetzungsrahmen des national zuständigen BSI zur Durchsetzung der rechtli- chen Erfordernisse vor. Inhaltlich wird dabei zwischen der unterschiedlichen wirtschaftlichen Leistungsfähigkeit von besonders wichtigen und wichtigen Einrichtungen unterschieden. Für Erstgenannte soll gelten, dass das BSI ohne Verdachtsmomente die Einhaltung der Anforde- rungen nach dem BSIG überprüfen kann – dabei trifft die Einrichtungen eine Mitwirkungspﬂicht. Ebenso können Anweisungen erlassen werden. Im Zweifelsfall kann bei Nichteinhaltung der Anforderungen bei den besonders wichtigen Einrichtungen deren Tätigkeit ausgesetzt oder Leitungspersonen die Wahrnehmung ihrer Leitungsauf- gaben vorübergehend untersagt werden. Damit dürfte der neue Handlungsrahmen deutlich über den gegebenen Rechtsrahmen hinausgehen. Auch die Bußgeldtatbestände bemessen sich an der Unterscheidung zwischen den besonders wichtigen und den wichtigen Einrichtungen – zusätzlich soll ein allgemeiner Bußgeldrahmen vorgesehen werden. Dabei wird das aktuell bereits vorhandene Stufenkonzept für die Bußgeldtatbestände aufrechterhalten. Für den allgemei- nen Rahmen bewegt sich dieses in dem NIS2UmsuCG-Vor- schlag zwischen 100.000 e, 500.000 e bis zu 20 Mio. e. Die maximale Höhe des Bußgeldrahmens für besonders wichtige und wichtige Einrichtungen wird über Kon- zernregelungen bestimmt. Demnach beträgt der vorge- schlagene Bußgeldrahmen für wichtige Einrichtungen bis zu 7 Mio. e, bei besonders wichtigen Einrichtungen bis zu 10 oder einem Höchstbetrag von mindestens 1,4 % beziehungsweise für besonders wichtige Einrichtungen von mindestens 2 % des gesamten weltweiten im vo- rangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens. Fazit und Ausblick Cybersecurity ist Chefsache: Wenn mit dem NIS2UmsuCG eines klar ist, dann das. Eine derartige Ent- wicklung zeichnete sich jedoch schon im Dezember 2022 mit NIS-2 selbst ab und ist deshalb nicht überraschend. Wenngleich sich bei den konkreten Vorgaben für die TOM erst einmal nicht viel zu ändern scheint, so wird allein der erheblich ausgedehnte Anwendungsbereich der kommenden Regelungen zu deutlichen Herausfor- derungen in der praktischen Umsetzung eines NIS2Um- suCG führen, da nunmehr zahlreiche Unternehmen in den Cybersecurity-Regulierungshorizont rücken, denen Cybersecurity-Compliance bislang weit entfernt schien. Hinzu kommen die neuen und schon jetzt er- heblich umstrittenen Anforderungen und haftungsbezo- genen Reglungen der Geschäftsleitung zur Cybersecurity- Compliance, die das unlimitierte Delegieren von Verant- wortung in diesem Bereich nicht mehr ermöglichen. Sicherlich werden es nicht alle der vorgeschla- genen Regelungen für das neue NIS2UmsuCG in die ﬁnale Fassung des Gesetzes schaffen – allein der europäische NIS-2-Umsetzungsrahmen dürfte jedoch bereits ausrei- chend sein, um die nationale Cybersicherheit als eine der primären Aufgaben des Wirtschaftsschutzes deutlich und ﬂächendeckend zu stärken. ■ Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicher- heitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstands- mitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN (https://denniskenjikipker.de/). © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#4 73