Die Europäische NIS-2-Richtlinie (NIS = Network and Information Security) hat das Ziel, die Cyber- und Informationssicherheit von Unternehmen und Institutionen in Europa zu erhöhen und mehr zu vereinheitlichen. Am 16.01.2023 trat NIS-2 auf der europäischen Ebene in Kraft und muss bis Oktober 2024 bei den Mitgliedsstaaten in nationales Recht überführt sein – auch in Deutschland. Nach aktuellem Stand wird sich die Umsetzung in die deutsche Gesetzgebung allerdings verzögern.
Mit der Richtlinie verbunden sind strenge Anforderungen an Security-Maßnahmen und Meldepflichten. Betroffen von NIS-2 sind öffentliche und private Einrichtungen in 18 Sektoren, mit 50 oder mehr Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme – in Deutschland sind es etwa 30.000 Unternehmen. Darunter sind Firmen aus dem Bereich kritische Infrastrukturen (KRITIS), aber auch einige Spezialfälle, zum Beispiel DNS-Anbieter.
Im Zuge von NIS-2 ist auch die Rede von einem „Stand der Technik”. Hierdurch sind betroffene Firmen dazu verpflichtet, IT-Sicherheitsmaßnahmen zu nutzen, die diesem Standard entsprechen. Was aber bedeutet das und welche Security-Lösung entspricht dem Stand der Technik?
„Stand der Technik“
Der Begriff beschreibt im Allgemeinen die Qualität von technischen und organisatorischen Leistungen. Im Bereich IT-Sicherheit handelt es sich um einen Zweck, der sich in Gesetzen wie dem Deutschen IT-Sicherheitsgesetz oder Verordnungen, zum Beispiel NIS-2, wiederfindet. Laut der Handreichung zum „Stand der Technik“ vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) entspricht eine technische oder organisatorische Maßnahme diesem Standard, wenn sie den am Markt größtmöglich erhältlichen Schutz bietet.
Auf den Punkt gebracht, geht es beim Stand der Technik darum, die verfügbare Bestleistung zur Erreichung des gesetzlichen IT-Sicherheitszieles in Unternehmen zu nutzen.
IT-Sicherheit auf ein neues Level heben
Ein Blick auf die aktuelle IT-Bedrohungslage zeigt, dass Cyberkriminelle insbesondere auf gezielte und dateilose Angriffe setzen, um Unternehmen und deren IT-Infrastruktur mit dem Ziel zu infiltrieren, Daten auszuleiten oder zu verschlüsseln. Hierzu nutzen die Angreiferinnen und Angreifer unter anderem Sicherheitslücken in Anwendungen oder Systemen, um darüber in die IT-Systeme zu gelangen. Diese Attacken bleiben oft über einen längeren Zeitraum unbemerkt, wenn Unternehmen ausschließlich auf eine Prevent-Strategie – die reine Verhinderung von Angriffen – setzen. Zudem entspricht diese nicht dem Stand der Technik. In der TeleTrust-Handreichung heißt es: „Zudem muss neben der Realisierung angemessener Schutzmaßnahmen auch das Erkennen von Angriffen auf IT-Systeme […] gewährleistet werden.“
Abhilfe schafft Endpoint Detection and Response (kurz EDR). Diese Lösung ermöglicht eine Rund-um-die-Uhr-Überwachung der IT-Systeme mit erweiterten Erkennungstechnologien. Im Vergleich zu klassischen Virenschutzlösungen geht EDR hier deutlich weiter und setzt nicht alleine auf das Entdecken von Blockieren von Schadcode, sondern überwacht auch Prozesse und ermöglicht damit schädliche Vorgänge, die auf dateilose Angriffe zurückzuführen sind, zu entdecken und umgehend zu stoppen. Angriffe enden damit, bevor sie größeren Schaden anrichten.
Ein weiterer wichtiger Aspekt ist die Update-Fähigkeit, die Lösung muss „sicher updatefähig sein“. Dies ist bei Endpoint Detection and Response nicht nur der Fall, sondern auch ein integraler Bestandteil. Angesichts der immer neuen Angriffsvektoren und Methoden von Cyberkriminellen wäre ein umfassender Schutz vor Cyberangriffen sonst unmöglich.
Fachkräftemangel begegnen
Oft besteht allerdings das Problem, dass Unternehmen nicht über das nötige Fachpersonal verfügen, um Endpoint Detection and Response selbst zu betreiben. Der Fachkräftemangel im IT- und speziell IT-Sicherheitsbereich macht selbst das Aufbauen einer dünnen Personaldecke oft unmöglich. Im Regelfall kümmern sich die IT-Expertinnen und Experten im Unternehmen um eine Vielzahl an unterschiedlichen Aufgaben. Sie sind hierdurch bereits vollständig ausgelastet, sodass keine Zeit für die Steuerung und Überwachung einer EDR-Lösung bleibt. Zudem erfordert der Betrieb von EDR spezielle und fundierte Security-Fachkenntnisse und generell ist IT-Sicherheit eine 24/7-Aufgabe. Cyberkriminelle kennen kein Wochenende und keinen Feierabend – und sie greifen bewusst zu diesen Zeiten an. Ein Angriff auf die IT-Infrastruktur kann jederzeit stattfinden. Sinnvoll ist daher der Einsatz einer gemanagten Endpoint-Detection-and-Response-Lösung. Dabei übernimmt ein erfahrenes Analystenteam die Rund-um-die-Uhr-Überwachung der EDR-Lösung, überprüft potenziell schädliche Vorgänge in der IT-Infrastruktur und greift sofort ein, ohne Zeit zu verlieren. So lassen sich die Schäden und die Auswirkungen durch Angriffe eindämmen oder auch ganz verhindern. Unternehmen sparen zudem Personalkosten und überlassen speziell dafür qualifizierten Fachleuten die Absicherung ihrer IT-Systeme.
Augen auf bei der Anbieterauswahl
„Der Hersteller produziert die jeweilige Lösung in einer vertrauenswürdigen Umgebung mit vertrauenswürdigem Personal“ – dieser Auszug aus der Handreichung verdeutlicht, wie wichtig die Auswahl eines geeigneten Anbieters ist und betont, dass Vertrauen die Basis einer Zusammenarbeit ist. Dieser Aspekt ist im Bereich IT-Sicherheit nicht neu, denn Security ist generell ein „Trust-Thema“ – IT-Verantwortliche können nur mit Dienstleistern zusammenarbeiten, auf die sie sich auch verlassen können. Trotzdem unterstreicht das Autorenteam der TeleTrust-Handreichung zum „Stand der Technik“ die hohe Bedeutung dieses Themas noch einmal deutlich. Ein Service-Anbieter hat im Fall von Managed EDR einen detaillierten Blick in die IT-Infrastruktur eines Unternehmens, die es zu schützen gilt. Sinnvoll ist es, einem Dienstleister zu vertrauen, der auf IT-Sicherheit spezialisiert ist und dabei über eine langjährige Erfahrung verfügt, wie es bei G DATA CyberDefense der Fall ist. So ist sichergestellt, dass verdächtige Vorgänge vom Analystenteam richtig eingeordnet und im Ernstfall sofort die geeigneten Gegenmaßnahmen eingeleitet werden.
Eine wichtige Frage ist auch, wo die Datenhaltung des Anbieters stattfindet. Erfolgt diese in Deutschland, unterliegen die Informationen der europäischen und der deutschen Gesetzgebung. Dadurch muss auch der Dienstleister die NIS-2-Richtlinie einhalten.
Fazit: Managed EDR als Bestleistung
Managed Endpoint Detection and Response ist das erste Mittel der Wahl für Unternehmen, um die IT-Systeme vor Angriffen zu schützen. Schon aufgrund erster Anzeichen lassen sich Cyberangriffe erkennen und sofort stoppen. Dabei ist gerade der Einsatz der gemanagten Variante für viele Unternehmen sinnvoll, da sie nicht über das nötige Fachpersonal verfügen. Damit entspricht eine gemanagte EDR-Lösung nicht nur dem Stand der Technik, sondern sie bietet gleichzeitig einen Weg aus dem Fachkräftemangel.
Eine umfassende Sicherheit nach den Kriterien von NIS-2 erfordert allerdings mehr als nur den Einsatz von Endpoint Detection and Response. Eventuell ist der zusätzliche Betrieb eines SIEM-Systems und die Durchführung von Security Awareness Trainings sinnvoll. Zudem erfordert die Direktive auch die Nutzung von Incident Response, um optimal auf den Ernstfall vorbereitet zu sein und schnelle Hilfe bei Notfällen zu erhalten. Außerdem müssen organisatorische Maßnahmen getroffen und umgesetzt werden, um ein betroffenes Unternehmen startklar für die neue Direktive zu machen. Dabei sollten IT-Verantwortliche mit der Planung und Umsetzung nicht zu lange warten. Bis zum Oktober 2024 ist nicht mehr viel Zeit und betroffene Firmen müssen dann die Regeln der NIS-2- Direktive einhalten – ansonsten drohen hohe Strafzahlungen.