Wie wichtig ist die Phishing-Abwehr?

Wer die Presse auch nur halbwegs aufmerksam verfolgt, dem wird auffallen, wie häufig mittlerweile Nachrichten über gehackte Unternehmen und Einrichtungen sind, die dann von professionellen Banden erpresst werden. Ob Behörden, Krankenhäuser, Großindustrie, Hotelketten, Mittelständler – angegriffen wird, wer angreifbar ist. Die Umsätze der (teilweise semistaatlichen) Banden gehen in Millionenhöhe. Die erzeugten Schäden gehen noch weit darüber hinaus, da neben dem Lösegeld auch noch Reparaturkosten und ggfs. Bußgelder drohen – ganz zu schweigen vom Imageverlust.

Ein möglichst guter Schutz setzt dabei so früh wie möglich an. Da ein Hauptangriffsvektor ist, erschlichene oder gestohlene Zugangsdaten zu verwenden, und sich von dort aus weiter in die Systeme zu arbeiten, beginnt der Schutz bei der Abwehr von Phishing und Social Engineering.

Die Bedrohung ist so massiv, dass sich mittlerweile auch staatliche Stellen vermehrt mit Hinweisen an die Öffentlichkeit wenden. Im Folgenden fassen wir die Hinweise der US-amerikanischen Cyber Security and Infrastructure Security Agency (CISA) zusammen. Das verlinkte Dokument enthält noch weit mehr Informationen und Hinweise für interessierte Kreise. Wer sich vertieft mit dem Thema Phishing-Abwehr beschäftigen will, dem sei die Lektüre ans Herz gelegt.

Schulung und Sensibilisierung von Mitarbeitern

Wie in sehr vielen anderen Bereichen auch, ist es sehr wichtig, Mitarbeiter im Unternehmen für Phishing-Angriffe zu sensibilisieren. Alle Mitarbeiter sollten möglichst in der Lage sein, zu erkennen, ob eine Kommunikation oder ihr Inhalt in irgendeiner Weise verdächtig ist oder sein kann. Jeder Mitarbeiter muss wissen, wie er bei verdächtiger Kommunikation reagiert und dass insbesondere keine Links oder Anhänge etc. geöffnet werden dürfen.

Entsprechende Schulungsmaßnahmen müssen flächendeckend und gegebenenfalls wiederholt durchgeführt werden. Sie sollten möglichst auf die konkrete Situation der eigenen Organisation zugeschnitten sein. Eine lediglich theoretische allgemeine Schulung wird nicht den gewünschten Erfolg haben.

Technische Maßnahmen zur Phishing-Abwehr

Domain-based Message Authentication (DMARC)

Angreifer versuchen beim Phishing möglichst vertrauenswürdig aufzutreten. Nicht selten wird dazu vorgegaukelt, der Kontakt käme von intern, etwa indem eine E-Mail eine gefälschte interne Absenderadresse zeigt. Noch häufiger wird vorgetäuscht, die Nachricht käme von einem vertrauenswürdigen Partner, wie einer Bank oder einem IT-Dienstleister.

Domain-based Message Authentication baut auf dem Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) auf und kann solche Fälschungen erkennen. Vereinfacht gesagt wird überprüft, ob der in der Mail genannte und der tatsächliche Absender zusammenpassen.

Wichtig ist, dass die Technik nicht nur eingesetzt, sondern auch streng konfiguriert ist. Dubiose E-Mails sollten direkt am empfangenden Mailserver abgewiesen werden. Viele Organisationen scheuen diesen Schritt, da unter bestimmten Umständen auch einige legitime Nachrichten aussortiert werden können. Das Risiko, einzelne Nachrichten zu verpassen, bei denen sich der Absender – sollte es irgendwie wichtig sein – im Zweifel nochmals auf anderem Wege meldet, sollte im Vergleich zum Sicherheitsgewinn jedoch tragbar sein.

Monitoring von E-Mail und Messaging

Der interne Netzwerkverkehr sollte daraufhin überwacht werden, ob es verdächtige Abweichungen im Vergleich zur in der Organisation üblichen Nutzung von E-Mail und Messengern gibt.

Einführung weiterer Sicherheitsmechanismen

Organisationen sollten Überlegungen anstellen, welche weiteren Sicherheitstools eingesetzt werden können. Sinnvoll sind etwa Lösungen, die eine Manipulation des Domain Name Systems (DNS) erschweren.

Einsatz von Multifaktor Authentifizierung (MFA) als zusätzliche Absicherung starker Passwörter

Zumindest für einige Anmeldevorgänge mehr vorauszusetzen als lediglich einen Benutzernamen und ein Passwort, ist einer der wesentlichsten Schritte zur Erhöhung der Sicherheit. Jede Organisation sollte entsprechende Überlegungen anstellen, MFA einzusetzen.

Neben der Auswahl der geeigneten Lösung, sollten MFA-Anmeldeversuche dann auch überwacht werden. Angegriffene Zugänge müssen gegebenenfalls gesperrt werden und der Angriff als solcher sollte Verantwortlichen im Unternehmen auch bekannt sein.

Nur ergänzend sei darauf hingewiesen, dass MFA die Notwendigkeit der Verwendung starker und sicherer Passwörter nicht ersetzt.

Externer Zugang nur per VPN

Externe Verbindungen zum internen Netzwerk sollten ausschließlich per VPN möglich und in diesem Fall zwingend mittels MFA abgesichert sein.

Malwareschutz

Dass ein möglichst guter und aktueller Virenschutz zu den grundlegenden Maßnahmen gehört, ist meist bekannt. Er kann durch einige zusätzliche Schritte noch verbessert werden.

Bereits an Gateway und Firewall sollten Regeln eingerichtet werden, die bestimmte Vorgänge von vornherein unterbinden. Auch die gezielte Sperre bestimmter Adressen im Internet und ausgewählter Dateiarten, die anfällig für Infektionen sind, kann hilfreich sein.

Keine privilegierten Berechtigungen für Benutzer

Dieser Rat ist nicht neu, wird aber immer noch häufig missachtet. Unterbesetzte oder sonst überlastete IT, begehrliche Vorgesetzte oder Bequemlichkeit führen zu einer sehr leicht zu schließenden Sicherheitslücke: zu umfangreiche Zugriffs- und Bearbeitungsrechte.

Benutzer sollten weder lokal noch sonst irgendwelche privilegierten Rechte besitzen, sondern sich diese – falls erforderlich und unvermeidbar – im Einzelfall bei Bedarf gesondert verschaffen können. Jeder Benutzer sollte nur die Rechte erhalten, die er zwingend benötigt, um die ihm zugewiesenen Aufgaben zu erledigen (Need-to-know-Prinzip).

Die tägliche Arbeit unter erhöhten Rechten zu verrichten, ist grob fahrlässig.

Ausschließlicher Einsatz zugelassener Anwendungen

Nicht nur aus Sicht des Datenschutzes müssen Anwendungen technisch und juristisch beurteilt werden, auch allgemein aus Sicht der Informationssicherheit ist dies äußerst ratsam. Empfehlenswert ist in allen Fällen eine abschließende Liste nach ausführlicher Prüfung freigegebener Anwendungen, die möglichst zentral installiert/verteilt oder aber intern über eine vertrauliche Quelle zur Verfügung gestellt werden. Ebenfalls sollten verfügbare Updates für diese zugelassen Anwendungen unverzüglich und möglichst automatisiert und zwingend eingespielt werden.

Diese Maßnahme kann sinnvoll ergänzt werden durch die Blockade von Makros.

Reaktion auf Phishing-Vorfälle

Besteht der begründete Verdacht, dass Anmeldeinformationen kompromittiert oder Malware ausgeführt wurde, muss darauf reagiert werden:

• Betroffene Zugänge sollten deaktiviert/gesperrt und gegebenenfalls neu eingerichtet werden.
• Die Verwendung der betroffenen Konten sollten gründlich untersucht werden, welche Aktivitäten Angreifer gegebenenfalls bereits durchgeführt haben und dass diese Tätigkeiten jetzt beendet sind.
• Möglicherweise infizierte Hardware ist zu isolieren und darf keinen Internet- oder Netzwerkzugang mehr haben. Gefundene Malware ist zu untersuchen und nach Möglichkeit zu beseitigen.
• Betroffene Geräte dürfen erst wieder eingesetzt werden, wenn sie vollständig auf den Normalbetrieb zurückgesetzt wurden und ihre ordnungsgemäße Funktion sichergestellt ist.

Fazit

Angesichts der sehr hohen Risiken sollten alle Organisationen bzw. Unternehmen völlig unabhängig ihrer Größe das Thema Phishing-Abwehr sehr ernst nehmen. Phishing- bzw. Social-Engineering-Angriffe erfolgen teilweise voll automatisiert oder auf Bestellung. Angreifer interessiert es in erster Linie, Systeme zu kompromittieren. Ob sich das Ziel lohnt, ist eine ganz andere Frage. Verantwortliche müssen sich glasklar darüber sein, dass niemand zu klein oder uninteressant ist.

Die genannten Schutzmaßnahmen können das Risiko von Phishing-Angriffen deutlich verringern und sollten für alle Einrichtungen geeignet sein. Benötigen Sie dabei Hilfe, stehen Ihnen die Experten von activeMind gerne unterstützend zur Seite.

Was ist ein ISMS?

Wie schon der Begriff sagt, geht es um ein System zum Management von Informationssicherheit. Gemeint ist der Prozess – oder vielmehr die Gesamtheit der einzelnen Prozesse – die eine Stelle etabliert, um

• die eigenen Anforderungen im Bereich der Informationssicherheit auf eine geregelte Art und Weise zu erfüllen,
• den Erfolg dieser Bemühungen zu messen und
• notwendige Anpassungen vorzunehmen.

Wie bei anderen Managementsystemen (etwa: Datenschutz-Managementsystem – DSMS) ist auch beim ISMS ein Vorgehen typisch und sinnvoll, welches sich an den vier Schritten Plan, Do, Check und Act (PDCA-Zyklus bzw. Demingkreis) orientiert.

Plan / Planen

In diesem unverzichtbaren Schritt zu Beginn geht es erst einmal darum, überhaupt zu verstehen, welche Ziele es in einem bestimmten Bereich zu erreichen gilt.

• Was muss man konkret erreichen?
• Warum muss man dies erreichen? Etwa weil es ein Gesetz unmittelbar vorgibt (z.B. IT-Sicherheitsgesetz) oder mittelbar über Branchenspezifische Sicherheitsstandards (B3S, z.B. zur medizinischen Versorgung) oder weil man vertraglich dazu verpflichtet ist?
• Drohen Haftung oder andere Nachteile, die man vermeiden möchte? Man spricht hier von Risiken, die vermieden werden sollen.

Ebenso sollte bedacht werden, was man zwar nicht erreichen muss, aber gerne erreichen will. Gibt es eine bestimmte Erwartungshaltung auf dem Markt? Bekommt man den interessanten Auftrag leichter oder sogar nur, wenn bestimmte Voraussetzungen erfüllt werden (z.B. in der Automobilindustrie der Standard TISAX)?

Möchte man unabhängig solcher externen Gesichtspunkte die eigenen Prozesse verbessern und das Unternehmen unabhängig von bestimmten Einzelpersonen machen? Ist ein weiteres Wachstum nur möglich, wenn das eigene Vorgehen strukturierter wird? Solche Chancen sollten ebenfalls bekannt sein.

Die Norm ISO 27001 spricht hier insgesamt vom Kontext der Organisation, den es festzustellen gilt. Welche Erwartungen und Abhängigkeiten bestehen und welche Parteien haben an diesen ein Interesse? Kurz gesagt: Was verlangen Inhaber, Gesellschafter, Anteilseigner, Kunden, Aufsichtsbehörden und nicht zuletzt der Gesetzgeber?

Wer also ein ISMS errichten will, muss im Schritt Plan die verbindlichen Kriterien festgelegen, nach denen Risiken identifiziert, beurteilt und gewichtet werden.

Ergebnis dieser ganzen Überlegungen ist eine Vielzahl von Regelungen, in denen vorgegeben wird, was, wie und auf welchem Wege mit welchen Mitteln und durch wen als Verantwortlichem erreicht werden soll.

Nachdem die Gesamtverantwortung immer beim Management liegt, muss dieses selbst die verfolgte Strategie in einem zentralen, übergeordneten Dokument verbindlich festlegen und auch aussagen, wo und wofür diese überhaupt gelten sollen. Der sogenannte Geltungsbereich für das geplante ISMS muss definiert und vorgegeben werden. Oft wird dieses Dokument als Leitlinie bezeichnet.

Neben dem Geltungsbereich ist unter anderem auch vorzugeben, welche Organisation aufgebaut wird und welche konkreten Verantwortlichkeiten darin verteilt werden. Zentral ist etwa, dass ein Informationssicherheitsbeauftragter (ISB) eingesetzt wird, der auch konkrete Aufgaben und dazu passende Befugnisse erhält.

Aus den in der ISMS-Leitlinie enthaltenen Vorgaben leitet sich alles weitere ab. Die eher abstrakten Regelungen der Leitlinie müssen durch weitere Regelungen ergänzt und ggf. ausgefüllt werden, so dass am Ende jeder einzelne Prozess angemessen detailliert beschrieben ist.

Um ein griffiges Beispiel zu nennen:

1. Die Leitlinie sagt abstrakt aus, dass Netzwerke abgesichert sein müssen.
2. Dies wird ergänzt durch Regelungen, die erklären, was das konkret bedeutet: Also beispielsweise: „Einsatz einer Firewall, Netzwerksegmentierung, Verschlüsselung“.
3. Irgendwann am Ende der Kette steht dann das Konzept für den spezifischen Einzelfall: Welche konkrete Firewall wird eingesetzt und wie ist diese im Detail zu konfigurieren?

Do / Umsetzen

In diesem Schritt der ISMS-Errichtung erfolgt die Umsetzung – und zwar nur und exakt wie geregelt. Stellt man hier bereits fest, dass es wie geplant doch nicht funktioniert, darf nicht allein die Umsetzung angepasst werden, sondern es ist zwingend auch die zuvor erstellte Regelung entsprechend zu verändern.

Alles steht unter der Voraussetzung, dass die höherrangigen Vorgaben und insbesondere die Leitlinie beachtet sind. Entsprechend ist vorzugehen, wenn sich etwa herausstellt, dass Prozesse vergessen wurden. Gegebenenfalls ist die Dokumentation des bislang nur gelebten (aber nicht dokumentierten) Prozesses nachzuholen. Dabei ist er darauf zu prüfen, ob er mit den allgemeinen Vorgaben des ISMS in Einklang steht.

Auch die regelmäßige Bewertung und ggf. erneute Bewertung von Risiken erfolgt auf dieser Stufe des Informationssicherheits-Managementsystems.

Check / Überprüfen

Nach der Umsetzung tritt man nun gedanklich einen Schritt zurück und betrachtet die Ergebnisse. Sind die Ziele auf den vorbestimmten Wegen erreicht worden? Es geht um die Selbstkontrolle, die Messung, interne Audits. Essentiell hierfür sind dementsprechend messbare Ziele, die sich bereits in den Regelungen finden lassen sollten. Was wird wie oft kontrolliert und was ist der Sollzustand bei einer Kontrolle?

Act / Handeln

Stellt sich bei einer Kontrolle heraus, dass die Vorgaben nicht erreicht wurden, geht es an die Fehleranalyse. Warum hat etwas nicht funktioniert und was muss angepasst werden, damit es in Zukunft besser läuft? Die Notwendigkeit, über diese Fragen nachzudenken, kann natürlich auch ungeplant entstehen. Jeder Vorfall im Bereich der Informationssicherheit liefert Anlass zur Selbstreflektion.

Welche Vorteile hat ein ISMS?

Die Vorteile eines Informationssicherheits-Managementsystems liegen auf der Hand. Es obliegt sowieso jedem Unternehmen bzw. jeder Organisation, die eigenen Prozesse angemessen im Griff zu haben. Dies gehört schlichtweg zur sorgfältigen Geschäftsführung; wer diese Pflichten vernachlässigt, haftet möglicherweise. Zudem gibt es mittlerweile immer mehr Vorschriften, die Informationssicherheit ausdrücklich vorschreiben (Datenschutz-Grundverordnung, Gesetze im Zusammenhang mit Kritischen Infrastrukturen).

Weitere Aspekte eines ISMS wurde bereits angesprochen. Das Vorgehen nach PDCS führt zwangsläufig dazu, dass ein Unternehmen insgesamt besser wird. Die eigenen Prozesse werden immer wieder hinterfragt. Durch die Dokumentation sind Abläufe nicht nur eingeweihten Spezialisten bekannt, sondern können kurzfristig durch andere übernommen werden. Die Zielerreichung wird gemessen. Am Ende steht die Suche nach Verbesserungsmöglichkeiten. Insgesamt betrachtet, ist die Idee, vorher nachzudenken, dann geplant zu handeln und die Ergebnisse im Auge zu behalten, ja vielleicht auch in anderen Bereichen sinnvoll.

Zuletzt noch der Hinweis, dass ein ISMS zertifizierbar und damit objektiv nachweisbar ist. Im Bedarfsfall ein Zeugnis einer akkreditierten Stelle in der Hand zu haben, welches schwarz auf weiß belegt, dass etwa ein ordnungsgemäßes ISMS nach der ISO 27001 besteht, kann ein enormer Vorteil sein. Auftraggeber und Kunden verlassen sich auf solch ein Siegel. Es hebt das eigene Unternehmen für Interessenten aus der Masse der Anbieter heraus. Es bezeugt, dass Informationssicherheit ernst genommen und nach anerkannten Regeln betrieben wird.

Wer wird vom NIS-2-Umsetzungsgesetz adressiert?

Das Gesetz führt diverse Definitionen auch hinsichtlich der verpflichteten Stellen ein. Wer im Ergebnis verpflichtet ist oder ausnahmsweise nicht verpflichtet ist, wird zukünftig noch durch eine Rechtsverordnung im Detail bestimmt. An den Grundregeln, wie sie die NIS2-Richtlinie einführte, ändert sich aber nichts.

Welche Stellen letztendlich als wichtig bzw. besonders wichtig oder gar als kritisch zählen, muss im Einzelfall und mit Blick auf die dann dazugehörige Verordnung geklärt werden. Die Darstellung sämtlicher Möglichkeiten führt im Rahmen dieses Beitrags zu weit.

Grundsätzlich sollten aber alle Unternehmen, die mindestens als „mittleres Unternehmen“ eingestuft sind, das weitere Gesetzgebungsverfahren aufmerksam verfolgen. Im Entwurf sind als mittlere Unternehmen definiert:

„Unternehmen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die
a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und zudem einen Jahresumsatz von weniger als 50 Millionen EUR oder eine Jahresbilanzsumme von weniger als 43 Millionen EUR aufweisen oder
b) weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen EUR und einen Jahresumsatz von höchstens 50 Millionen EUR sowie eine Bilanzsumme von höchstens 43 Millionen EUR aufweisen.“

Ebenfalls aufmerksam sollte jene Stellen sein, die einer von Richtlinie und Gesetz genannten Branchen zugehören:

• Energie
• Verkehr
• Transport
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheitswesen
• Trinkwasser
• Abwasser
• digitale Infrastruktur
• Verwaltung von IKT- Diensten oder Weltraum

Pflicht zum Risikomanagement

Adressierte Einrichtungen sind nach § 30 des Gesetzesentwurfs verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden sowie Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.

Die Maßnahmen müssen angemessen sein und sollen den Stand der Technik berücksichtigen, insbesondere so, wie er in einschlägigen Normen enthalten ist. Damit sind klar Normen wie die ISO 27001 oder der IT-Grundschutz etc. gemeint. Für Betreiber kritischer Anlagen sollen dabei ausdrücklich erhöhte Anforderungen gelten, wobei das Gesetz allerdings nicht erkennen lässt, was damit gemeint ist und welche Anforderungen als normal anzusehen sind.

Ausdrücklich einbezogen werden müssen bei der Erwägung geeigneter Maßnahmen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse.

Unternehmen müssen damit noch deutlich mehr als bisher ohnehin schon (Stichwort Auftragsverarbeitung im Datenschutz) einen kritischen Blick auf jeden einzelnen Lieferanten werfen. Im Gegenzug sollten sich Lieferanten darauf einstellen, dass künftig deutlich gesteigerte Erwartungen an sie gestellt werden dürften, die geforderten Nachweise zu erbringen. Wer seine Kunden behalten will, sollte diese bei der Wahrnehmung ihrer Pflichten vorausschauend und optimal unterstützen.

Damit werden sich die gesetzlichen Anforderungen vorhersehbar zumindest indirekt auf deutlich mehr Unternehmen auswirken als nur die direkten Adressaten des NIS2UmsuCG. Lieferanten werden dadurch gezwungen, vergleichbare Anforderungen zu erfüllen und dies auch nachweisen zu können.

Ein gefahrübergreifender Ansatz ist bei der Umsetzung von technischen und organisatorischen Maßnahmen zwingend und als Minimum werden ausdrücklich gefordert:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
2. die Bewältigung von Sicherheitsvorfällen,
3. die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement,
4. die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Diese einzelnen Punkte sind im Grunde nur klarstellend. Sie sind im Rahmen eines tauglichen Informationssicherheits-Managementsystems (ISMS) ohnehin regelmäßig notwendig. Damit ergibt sich die Pflicht bereits aus der allgemeinen Anforderung, sich an den entsprechenden Normen zu orientieren. Allerdings wird denjenigen Stellen bzw. deren Verantwortlichen, die bislang den Aufwand vermeiden wollten, sich nach einer entsprechenden Norm zu richten, nun ausdrücklich der Weg versperrt. Vor allem die in der Praxis meist sehr ungeliebten Konzepte bzw. Regelungen erhalten so deutlich mehr Gewicht.

Nachweispflichten

Alle besonders wichtigen Einrichtungen sind nach § 39 des NIS2UmsuCG-Gesetzesentwurfs verpflichtet, dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) die Erfüllung der vorgenannten Anforderungen nachzuweisen. Erstmalig ist der Nachweis nach zwei bzw. spätestens drei Jahren ab Inkrafttreten des Gesetzes fällig. Danach muss er alle zwei Jahre regelmäßig erbracht werden.

Der Nachweis kann durch Audits und Zertifizierungen erfolgen und aufgedeckte Sicherheitsmängel sind dabei dem BSI gegenüber offenzulegen. Auch kann das BSI verlangen, in die Prüfungsunterlagen Einsicht zu nehmen. Die Zeit für die in der Praxis leider immer noch häufig anzutreffenden kaum aussagekräftigen und vor allem für Dritte nicht nachvollziehbaren Prüfberichte, dürfte damit vorbei sein.

Meldepflichten

Wie in der NIS2-Richtlinie vorgesehen, sind adressierte Einrichtungen nach § 34 des Gesetzesentwurfs verpflichtet, Sicherheitsvorfälle an das BSI zu melden und zwar innerhalb von 24 Stunden nach Kenntniserlangung. Details zum Vorfall müssen unverzüglich, spätestens aber innerhalb von 72 Stunden nachgeliefert werden.

Zur Klarstellung: Diese Fristen beziehen sich nicht auf die eigenen Geschäftszeiten!

Direkte und persönliche Verpflichtung des Managements

§ 38 des Gesetzesentwurfs spricht nochmals klar und unmissverständlich aus, was sich bereits aus der Anwendung allgemeiner rechtlicher Grundlagen ergibt: Das Management ist persönlich verpflichtet, angemessene Maßnahmen zu veranlassen und kann diese Pflicht auch nicht auf andere abwälzen. Das Management haftet persönlich bei Pflichtverletzungen und das Unternehmen darf auf diese Ansprüche und deren Durchsetzung nicht verzichten. Die Grenze ist allein die Privatinsolvenz des Managers. Lediglich als Sollvorschrift wird Managern zudem aufgegeben, sich selbst regelmäßig in den relevanten Bereichen weiterzubilden.

Wie gesagt, § 38 wiederholt hier nur, was sich bereits aus dem allgemeinen Recht ergibt. Offenbar ist es allerdings notwendig, dies gesetzgeberisch klarzustellen.

Überprüfung und Durchsetzung durch das BSI

Bei besonders wichtigen Einrichtungen kann das BSI auch aktiv kontrollieren, wie es § 64 des Gesetzesentwurfs vorsieht. Auch kann das Bundesamt verbindliche Anweisungen erteilen und gegebenenfalls auch einen Beauftragten zur Überwachung einsetzen und das Management entmachten.

Bußgelder

Selbstverständlich enthält der Gesetzesentwurf in seinem § 59 auch Bußgeldvorschriften. Verstöße können mit sehr empfindlichen Bußgeldern geahndet werden, die im Bereich von 100.000 bis hin zu vielen Millionen Euro reichen können. Auch Zwangsgelder von bis zu 100.000 Euro sind möglich.

An dieser Stelle nochmals kurz der Verweis nach oben: Ein Rückgriff auf das Management ist vorgesehen, soweit dieses solche Schäden für das Unternehmen zu vertreten hat.

Fazit: Umsetzung rechtzeitig angehen ist der einzige Weg

Der Gesetzesentwurf enthält keine Überraschungen. Er präzisiert vieles, was in der NIS2-Richtlinie vorgesehen ist. Im Übrigen werden die Vorgaben der Richtlinie konsequent in das deutsche Recht überführt.

Der Handlungsdruck für adressierte Stellen ist hoch. Der erste Nachweis ist allerspätestens drei Jahre nach Inkrafttreten des NIS-2-Umsetzungsgesetzes fällig. Verantwortliche sollten sich darüber bewusst sein, dass diese Zeit sehr knapp sein kann, um nicht nur die eigenen Prozesse anzupassen, sondern auch alle Dienstleister entsprechend einzufangen und nicht zuletzt noch einen Termin zur rechtzeitigen Zertifizierung von einer akkreditierten Zertifizierungsstelle zu bekommen.

Nicht nur die Berater dürften völlig vorhersehbar knapp werden; auch die Zertifizierungstermine sind endlich. Wer nicht rechtzeitig dran ist, muss am Ende nicht wirklich überrascht sein, wenn er keinen passenden Audittermin mehr bekommt.

Gemeinsamkeiten von ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz

Voraussetzung für eine Zertifizierung ist jeweils, dass ein Managementsystem für die Informationssicherheit aufgebaut ist und betrieben wird. Entsprechend des hierfür üblichen Plan-Do-Check-Act-Zyklus (PDCA-Zyklus) werden geplante, dokumentierte und funktionierende Prozesse erwartet, die es nicht nur erlauben, die Informationssicherheit aufzubauen, sondern auch, diese zu kontrollieren und laufend zu verbessern.

Sind diese Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann grundsätzlich ein offizielles Zertifikat ausgestellt werden. Die Zertifikate haben eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits, die bestanden werden müssen.

Unterschiede von ISO IEC 27001 und BSI-Grundschutz

Der wesentliche Unterschied der beiden Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind und was im Rahmen einer Zertifizierung belegt und durch das Zertifikat bestätigt wird. Ein Zertifikat nach ISO 27001 bescheinigt nur das korrekt eingerichtete ISMS. Nach IT-Grundschutz wird zusätzlich bezeugt, dass ein ausreichendes IT-Sicherheitsniveau erreicht wurde; neben dem funktionierenden Prozess wird also auch dessen tatsächliches Ergebnis bescheinigt.

ISO/IEC27001

Die ISO/IEC27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit noch nicht einmal 30 Seiten Text sehr knapp. Unternehmen müssen selbst geeignete Verfahren und Maßnahmen finden und umsetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür zwar auch einige Maßnahmen vor, die allerdings ebenfalls allgemein gehalten sind und vom Verwender noch richtig interpretiert werden müssen (Anhang A zur ISO 27001 sowie die ergänzende Norm ISO 27002).

Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber in besonderem Maße, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf sind erheblich.

Das Zertifikat selbst sagt im Ergebnis nur aus, dass ein taugliches Informationssicherheits-Managementsystem eingerichtet ist und betrieben wird. Ein bestimmtes Niveau an Informationssicherheit wird nicht bescheinigt. Erst Recht wird keine Aussage über konkrete Maßnahmen getroffen. Bei einem sehr frischen Zertifikat kann es also durchaus sein, dass das tatsächlich erreichte Informationssicherheitsniveau noch nicht sehr hoch ist; der Inhaber ist lediglich bereits auf dem richtigen Weg.

BSI-Grundschutz

Die ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch ist die Herangehensweise eine andere. Das Vorgehen und die Anforderungen sind deutlich formalisierter.

Statt mit einer Risikoanalyse zu beginnen, ist beim IT-Grundschutz zuerst ein Managementsystem aufzubauen, welches den Vorgaben insbesondere des BSI-Standards 200-2 entspricht. In diesem Werk ist auf gut 180 Seiten die IT-Grundschutzmethodik festgehalten. Die Umsetzung hat grundsätzlich unabhängig eines konkreten Risikos zu erfolgen.

Der wesentliche Unterschied zur nativen Vorgehensweise ist der Umgang mit Risiken und den umzusetzenden Maßnahmen. Der IT-Grundschutz verlangt die Umsetzung bestimmter Maßnahmen ohne Betrachtung des Risikos. Diese Maßnahmen sollen einen allgemeintauglichen IT-Grundschutz sicherstellen. Erst nach Umsetzung der entsprechenden Maßnahmen wird dann überlegt, wo diese möglicherweise nicht ausreichen und müssen ggf. durch weitere Maßnahmen ergänzt werden. Insgesamt ist der Aufwand zur Zertifizierung damit höher, wenn auch linearer und aufgrund der Schematisierung vielleicht weniger fehleranfällig.

Die angesprochenen Maßnahmen waren früher in den IT-Grundschutzkatalogen enthalten und sehr exakt und bis ins Detail vorgegeben. Jedes Unternehmen musste genau die gleichen Dinge tun. Mit dem aktuellen IT-Grundschutzkompendium wurde vor einigen Jahren versucht, den abschreckenden Umfang des Werks zu verkleinern, um mehr Stellen zur Umsetzung des IT-Grundschutzes zu motivieren. Diese Änderung ging aber deutlich zu Lasten der Klarheit, da jetzt weitaus allgemeiner formulierte Anforderungen enthalten sind.

Trotz des im Vergleich zur Norm ISO 27001 bzw. ISO 27002 weiterhin wesentlich größeren Umfangs des Grundschutz-Kompendiums ist damit nun auch im Bereich IT-Grundschutz reichlich viel Interpretation gefragt. Das aber eröffnet auch Raum für unterschiedliche Auffassungen. Wo früher klar war, welche konkreten Maßnahmen ein Unternehmen mit IT-Grundschutz Zertifikat umgesetzt hatte, fehlt diese Eindeutigkeit nun. Auch wenn das IT-Grundschutz Zertifikat nach wie vor bescheinigt, dass nicht nur das Managementsystem eingerichtet ist, sondern eben auch das für den IT-Grundschutz notwendige IT-Sicherheitsniveau erreicht ist, können im Fragen im Einzelfall offenbleiben – etwa für Auftraggeber, die sehr konkrete Anforderungen haben. Ob diese erfüllt sind, kann nicht mehr im IT-Grundschutz nachgelesen werden, sondern ist beim Inhaber des Zertifikats zu erfragen. Die frühere Vergleichbarkeit im IT-Grundschutz ist leider verloren.

Warum eine NIS2-Richtlinie?

Die NIS-Richtlinie (vollständiger Name: Directive on measures for a high common level of cybersecurity across the Union) wurde bereits 2016 EU-weit eingeführt. Die Version NIS2 trat 2023 in Kraft (zum Volltext im Amtsblatt der Europäischen Union).

Wesentlicher Grund für die Gesetzesänderungen zur NIS2 ist die zunehmende Digitalisierung und die stark gestiegene Bedrohungslage durch Cyberkriminalität. Dem stand bisher eine bislang auf Basis der alten Richtlinie völlig unterschiedliche Herangehensweisen der EU-Mitgliedsstaaten gegen. Durch die neue Richtlinie soll beidem begegnet werden.

Die wichtigsten Änderungen der NIS2-Richtlinie

Der Kreis der von NIS2 adressierten Einrichtungen wird deutlich größer

Es werden künftig wesentlich mehr Einrichtungen verpflichtet als bisher. Insbesondere die Schwellwerte der BSI-Kritisverordnung (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz – BSI-KritisV) werden nicht mehr gelten. Überhaupt wird die Größe einer Einrichtung nicht mehr unbedingt einen Rückschluss darauf zu lassen, ob diese den künftigen Kategorien „wesentliche Einrichtung“ oder „wichtige Einrichtung“ unterfällt. Auch der bereits 2021 erweiterte Katalog erfasster Einrichtungen durch das IT-Sicherheitsgesetz 2.0 bleibt unterhalb der künftigen Reichweite.

In der neuen Richtlinie sind kritische und hochkritische Sektoren bereits erfasst. Damit können die einzelnen Mitgliedsstaaten nicht mehr selbst entscheiden, welche Bereiche adressiert werden.

Als kritisch (wichtig) eingestuft werden die Sektoren:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Warenproduktion und verarbeitendes Gewerbe
• Anbieter digitaler Dienste
• Forschung

Als hochkritisch (wesentlich) eingestuft werden die Sektoren:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• digitale Infrastruktur
• Verwaltung von IKT-Diensten, mit Ausnahme des Verbraucherbereichs
• öffentliche Verwaltung
• Weltraum

Einrichtungen, die die Schwelle eines mittleren Unternehmens überschreiten, werden ohne weitere Voraussetzungen automatisch von der Richtlinie erfasst. Angesprochen sind damit alle Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von zehn bis 43 Millionen Euro.

Einige Einrichtungen werden den Regelungen der Richtlinie auch unterhalb dieser Schwelle unterworfen und als „kritisch“ eingestuft. In anderen Fällen erfolgt die Einstufung anhand weicher Faktoren.

NIS2 gibt neue und klare Anforderungen vor

Die neue Richtlinie definiert die Anforderungen in einem Katalog und überlässt die Umsetzung damit nicht mehr den Mitgliedsstaaten.

Die Anforderungen sind beispielsweise:

• Konzepte hinsichtlich der Analyse von Risiken
• Konzepte zur Sicherheit von Informationssystemen
• Prozess zur Bewertung der Wirksamkeit von Maßnahmen
• Prozess zur Bewältigung von Sicherheitsvorfällen (Incident Response Management)
• Prozess zur Aufrechterhaltung des Betriebs (Business Continuity) und zum Krisenmanagement
• Implementierung von Sicherheitsmaßnahmen bereits beim Einkauf bzw. der Entwicklung und Wartung von Netzwerk- oder Informationssystemen
• Schulungen im Bereich Cybersicherheit
• Sicherheit der Lieferkette
• Asset Management
• Personalsicherheit
• Kryptographie
• Kommunikation und Notfallkommunikation

Alle angesprochenen Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Stand der Technik zu ermitteln und sodann umzusetzen, um relevanten Gefahren zu begegnen. Relevant sind nicht nur Cyber-Gefahren, sondern auch andere, wie beispielsweise Umweltgefahren (Feuer, Wasser) oder direkte physische Einwirkung durch Menschen.

Achtung: Die Verhältnismäßigkeit orientiert sich an den möglichen Auswirkungen, nicht an den Kosten für Schutzmaßnahmen!

NIS2 verhindert Verstecken

Für einige Einrichtungen ist eine zwingende Registrierung bei der ENISA (Agentur der Europäischen Union für Cybersicherheit) vorgesehen.

Unabhängig hiervon muss die Meldung von Sicherheitsvorfällen an die eigene Sicherheitsbehörde künftig in mehreren Schritten erfolgen:

• Innerhalb von 24 Stunden hat die Erstmeldung zu erfolgen.
• Diese ist innerhalb von 72 Stunden zu aktualisieren.
• Eine Abschlussmeldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgt innerhalb eines Monats.

Unter NIS2 ist das Management persönlich verantwortlich

Es wird ausdrücklich klargestellt, dass die Gesamtverantwortung auch für die Cybersicherheit und die Prävention von Sicherheitsvorfällen beim obersten Management liegt. Das ist im Grunde keine Überraschung, immerhin geht es um Compliance. Der Gesetzgeber hielt es aber für notwendig, das explizit auszusprechen.

Dementsprechend droht auch dem obersten Management entsprechende eine persönliche Haftung bei Mängeln in der Umsetzung. Der Entwurf zur NIS2-Umsetzung in Deutschland sieht explizit vor, dass das Management bei Verletzung seiner Pflichten der Einrichtung für einen dadurch entstehenden Schaden haftet. Wie sonst auch, wird es nicht möglich sein, diese Verantwortung restlos zu delegieren. Das ist eine Fehlannahme, der immer noch viele Manager aufsitzen – auch unterstützt von haltlosen Versprechungen einiger Berater.

Sehr interessant ist zudem, dass das BSI offenbar die Befugnis erhalten soll, dem Management die Wahrnehmung seiner Leitungsaufgabe vorübergehend zu untersagen, wenn das Management Anordnungen dieser Behörde missachtet.

Mögliche Sanktionen unter der NIS2

Die Richtlinie verpflichtet die EU-Mitgliedsstaaten dazu, Bußgeldtatbestände bei Verstößen zu schaffen. Künftig werden sehr empfindliche Geldbußen möglich, die sehr an die EU-Datenschutz-Grundverordnung (DSGVO) erinnern. Es stehen Bußgelder von bis zu 20 Millionen Euro im Raum bzw. auch solche, die vom letztjährigen weltweiten Gesamtumsatz abhängig sind.

Handlungsempfehlung für (möglicherweise) betroffene Einrichtungen

Klären Sie jetzt, ob Sie künftig durch die NIS2 verpflichtet sein werden!

Sorgen Sie rechtzeitig für ausreichende Ressourcen und ggf. externe Unterstützung! Wenn das Gesetz erst greift und die Umsetzungsfrist läuft, werden wir ein ähnliches Szenario erleben, wie bei Einführung der DSGVO. Es werden nicht ausreichend Berater am Markt verfügbar sein und die Zeit zur Umsetzung ist sehr endlich.

Bestimmen Sie bereits jetzt den Handlungsbedarf! Völlig unabhängig davon, ob eine Einrichtung am Ende gesetzlich verpflichtet sein wird, etwas für die eigene Cybersicherheit zu tun – schaden wird es sicher nicht, Verbesserungsmöglichkeiten zu kennen.

Nachdem im Ergebnis ohnehin alle Einrichtungen aus anderen Gründen (allen voran dem Datenschutz) verpflichtet sind, geeignete technische und organisatorische Maßnahmen zu ergreifen, bietet sich die Gelegenheit, mehrere Fliegen mit einer Klappe zu schlagen.

Denken Sie dabei auch an Lieferketten, Ihren Einkauf und Ihre Entwicklung! In diesen Bereichen werden spontan kaum wesentliche Veränderungen möglich sein.