NIS-2-Richtlinie

„Licht im Unternehmen anmachen“

Die Umsetzung der NIS-2-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie. IT-Berater Uwe Sommer beschreibt grundlegende Werkzeuge, die die IT-Sicherheit im Unternehmen erhöhen. | Text: Melanie Rübartsch

Wirtschaftsspiegel: Haben deutsche Unternehmen Nachholbedarf in Sachen Cybersicherheit?
Uwe Sommer: Leider ja. Insbesondere kleine und mittelständische Unternehmen schöpfen oft die technischen Möglichkeiten nicht aus. Das liegt zum einen an der Manpower: Häufig gibt es nur einen oder einige wenige Administratoren. Die müssen sich um alle Fragen rund um Informationstechnik kümmern. Eine grundlegende Sicherheitsstrategie fällt da oft hinten über. Stattdessen wird einfach eine Firewall und ein Virenschutz angeschafft und das war es. Das reicht einerseits nicht aus und andererseits fehlen häufig die Kenntnisse, was diese Software alles kann und wie sie effektiv eingesetzt wird.
Dann nehmen wir die Unternehmen doch einmal an die Hand. Was ist das wichtigste Ziel in Sachen Cybersicherheit?
Sommer: Zu verstehen, wie Cyberangriffe ablaufen und wo die Einfallstore der Attackierer sind. Und dann geht es darum, die eigenen Systeme und die IT-Infrastruktur sowie deren Funktionsweise zu kennen und dafür zu sorgen, dass die Einfallstore im eigenen Unternehmen möglichst dicht sind.
Welche Werkzeuge helfen dabei?
Sommer: Ich sage gerne: Macht Licht an im eigenen Unternehmen. Man muss wissen, was konkret auf der eigenen Infrastruktur passiert. Ein gutes Mittel dafür ist, Logfiles zentral zu erfassen und auszuwerten. Diese Analysen liefern automatisiert Hinweise darauf, ob es zum Beispiel zu untypischen Zugriffen oder Anmeldeversuchen auf ein System kommt. Ebenfalls wichtig ist, seine Software zentral zu inventarisieren. Werden Sicherheitslücken bei einer Software bekannt, kann ich dann sofort reagieren.
Daneben ist die Außensicht auf die eigenen Systeme wichtig. Jeder, der Dienste über das Internet betreibt und konfiguriert, macht automatisch Türen nach außen auf. Über so genannte Angriffsflächenscanner lässt sich in Form von Dashboards sichtbar machen, welche Server bei einem Unternehmen aktiv sind, welche Ports, also Netzwerkverbindungen hier aktuell geöffnet sind und welche ein Update brauchen.
Die NIS-Richtlinie nennt als grundlegende Maßnahme zur Cybersicherheit unter anderem Kryptographie und Verschlüsselung.
Sommer: Das ist auch richtig. Unternehmen brauchen ein tieferes Verständnis von Verschlüsselungsverfahren. So werden aktuell zum Beispiel Passwörter zunehmend von kryptografischen Authentifizierungsverfahren, so genannten Passkeys, abgelöst. Diese lassen sich auch sehr leicht implementieren, weil inzwischen viele große Betriebssysteme das Verwalten und Erzeugen kryptografischer Schlüssel zulassen und anbieten. Wenn Passwörter weitgehend davon abgelöst würden, wäre schonmal das ganze Risikofeld Phishing verschwunden.
Was gilt bezüglich Netzwerken. Stichwort VPN Zugänge oder WLAN?
Sommer: Entsprechend den Prinzipien der so genannten Zero-Trust-Security soll man davon ausgehen, dass alle Benutzer, Geräte oder Netzwerke von Natur aus Sicherheitsrisiken sind. Auch das Innere eines Netzwerks. Nach diesem Ansatz sollten Benutzer und Geräte möglichst nur die minimal erforderlichen Zugriffsrechte erhalten, um ihre Aufgaben zu erfüllen. Die Identität und der Status von Benutzern und Geräten sollte zudem kontinuierlich überwacht und überprüft werden und vor allem sollten alle Netzwerke wie VPN Tunnel oder WLAN in möglichst kleine, isolierte Bereiche unterteilt werden. Ziel ist, dass erfolgreiche Angriffe in einem möglichst kleinen Bereich verbleiben und nicht auf andere Systeme übergreifen können. Wird nämlich zum Beispiel ein VPN Zugang geknackt, der auf einer Firewall beheimatet ist, hat der Angreifer direkt den Zugang zu eben dieser Firewall und darüber auf das ganze Unternehmen.
© NetCon
Uwe Sommer ist Sprecher des IHK-Expertennetzwerks InfoSec und Geschäftsführer der Unternehmensberatung NetCon. Der Emsdettener Dienstleister berät Unternehmen bei Planung, Implementierung, Betrieb und Überwachung von IT Lösungen in den Bereichen DNS- und E-Mail-Sicherheit sowie Anomalie-Erkennung.
Technik ist das eine. Welche Rolle spielt der Faktor Mensch?
Sommer: Eine ganz entscheidende. Hier spielt Qualifizierung eine riesige Rolle. Die Verteidiger im Unternehmen müssen laufend auf dem gleichen Stand sein wie die Angreifer und Abwehrmechanismen kennen. Entweder, Unternehmen schulen ihre Administratoren entsprechend, stellen zusätzlich explizit IT-Sicherheitsfachleute ein oder holen sich Hilfe von externen Dienstleistern.
Kann es einen hundertprozentigen Schutz geben?
Sommer: 100 Prozent gibt es nie. Cyberkriminelle gehen einfach mit einer sehr hohen kriminellen Energie vor. Aktuell haben die meisten Firmen aber noch nicht einmal zehn Prozent Schutz aufgebaut. Wenn wir hier auf 80 oder gar 90 Prozent kommen, ist schon viel erreicht.