Mit NIS-2 konformer Datenspeicherung bessere Cybersicherheit erreichen

Der Stichtag für die Umwandlung von NIS-2 in nationales Recht wurde zwar verpasst, aber die Umsetzung wird kommen. Wie Unternehmen sich jetzt vorbereiten können.

Umsetzung der NIS2-Richtlinie in DeutschlanMit dem 17. Oktober 2024 war eigentlich der Stichtag in Deutschland erreicht, um die von der EU erlassene NIS-2 Richtlinie in nationales Recht umzuwandeln. Doch nicht nur die Bundesregierung hat diese Frist verpasst, eine Veeam-Umfrage zeigt, dass auch die meisten Unternehmen dem Zeitplan weit hinterherhinken: 90% der Teilnehmenden gaben an, in den letzten zwölf Monaten mindestens einen Vorfall in der IT-Sicherheit melden zu müssen (September 2024). Die Richtlinie soll betroffene Unternehmen dazu auffordern ihre Cybersicherheits-Maßnahmen zu aktualisieren und gegebenenfalls auszuweiten.

Eine schnelle Umstellung ist dabei nur schwer umsetzbar, denn gegenüber der bisher geltenden NIS-Richtlinie werden mit NIS-2 höhere Anforderungen an die Cybersicherheit gestellt und der Anwendungsbereich erweitert. Betroffen sind insbesondere Unternehmen in den Bereichen der kritischen Infrastruktur, die mindestens 50 Mitarbeitende zählen oder einen Jahresumsatz von mehr als 10 Mio. Euro ausweisen können.

Ausgeweitet wird die Richtlinie in folgenden Bereichen:

• Einbindung weiterer Sektoren: Zuvor wurden mit der NIS-Richtlinie nur die klassischen Bereiche wie Energie und Transport abgedeckt. Der erweiterte Anwendungsbereich umfasst nun auch Bereiche wie Banken, digitale Infrastruktur und das Gesundheitsmanagement.

• Verschärfte Meldepflichten und Reaktionszeiten: Zur Vorbeugung ernsthafter Schäden müssen Vorfälle und Angriffe auf die Cybersicherheit umgehend gemeldet und ein Maßnahmenprotokoll für diese Fälle umgesetzt werden.

• Erhöhte Geldstrafen und persönliche Haftung: Kommen Unternehmen diesen Anforderungen nicht nach, ist mit hohen Geldstrafen zu rechnen. Bei Fehlverhalten droht Führungskräften sogar persönliche Haftung.

Ziel der Erweiterung ist das Erreichen von höherer Resilienz von Unternehmen gegen Cyberangriffe in der EU. Das Inkrafttreten der neuen Richtline fordert Firmen dazu auf, ihre Standards in puncto IT-Sicherheit zu erhöhen, indem sie die Cybersecurity-Maßnahmen ausweiten und auf Konformität mit der neuen Richtlinie überprüfen. Ein besonders wichtiger Aspekt dabei ist die Sicherheit der Datenarchive, denn diese sind ein beliebtes Angriffsziel.

Mit Datenarchiven NIS-2 konforme Cybersecurity schaffen

Wer bei einem Cyberangriff richtig Schaden anrichten will, der raubt die Daten von Unternehmen oder sorgt dafür, dass sie nicht mehr darauf zugreifen können. Aus diesem Grund ist es besonders wichtig, gerade die Datenarchive und Backupspeicher von Unternehmen umfassend zu schützen, denn diese enthalten für den Geschäftsbetrieb kritische und sensible Informationen. Geraten diese Daten in die falschen Hände, kann das für Unternehmen im schlimmsten Fall sogar das wirtschaftliche Aus bedeuten.

Neben der teuren Wiederherstellung der Daten leidet bei so einem Datenverlust auch das Vertrauen aller Stakeholder darunter. Darum ist bei der Überprüfung der IT-Sicherheitsstrategie in Vorbereitung auf die NIS-2 Richtlinie die Sicherheit von Datenarchiven und Backups ein wichtiger Hebel, um die höheren Sicherheitsanforderungen zu erfüllen und im Falle eines Angriffs durch Backups schnell wieder zum Normalbetrieb zurückkehren zu können.

Darüber hinaus sieht die Richtlinie vor, dass in den Bereichen Datenspeicherung und -management spezielle Maßnahmen entwickelt werden, besonders in Bezug auf den Schutz, die Archivierung und die Übertragung von Daten. Für die Cybersicherheit heißt das, dass Unternehmen selbst Sorge tragen für die Unversehrtheit ihrer Daten während der Speicherung und Verarbeitung.

Bei der Archivierung von Daten sind Organisationen dazu verpflichtet, ihre Regularien zur Aufbewahrung der Daten in regelmäßigen Abständen zu überprüfen und dabei sicherzustellen, dass Daten nicht länger als nötig aufbewahrt werden und nur in der geforderten Zeit abrufbar sind. Neben der Archivierung und dem Schutz der Daten müssen besonders Unternehmen, die über verschiedene Standorte hinweg agieren, berücksichtigen, dass bei der Datenübertragung alle Rechtsvorschriften sowie die internationalen Datenschutzrichtlinien eingehalten werden.

Was leistungsstarken Datenspeicher ausmacht

Jetzt ist die Zeit gekommen, um die eigene Cybersecurity-Strategie aufzurüsten. Dafür sollte eine sichere und nutzerfreundliche Software gewählt werden, die leicht integriert werden kann und besonders in Bezug auf Datenspeicher diese Checkliste erfüllt:

• Sichere Speicherung und zügige Wiederherstellung von Daten: Um Geschäftsprozesse bei einem Angriff zu schützen und Datenverluste zu minimieren, ist es wichtig, eine Software zu wählen, die sichere Speicherung und schnelle Wiederherstellung von Daten ermöglicht. Dabei ist zwischen zwei Arten der Replikation zu unterscheiden: Synchrone Mehrfachreplikation sorgt für die aktiv-aktive Verfügbarkeit von Daten an mehreren Standorten zum selben Zeitpunkt. Hingegen sorgt die asynchrone Replikation für die aktiv-passive Speicherung an weit voneinander entfernten Standorten. Fällt der primäre Standort aus, wird automatisch auf das Backup-System umgeschaltet. Nach Wiederherstellung der Funktionalität werden die Daten synchronisiert. Zusätzlich sollten regelmäßige Backups, Snapshots und kontinuierliche Datenprotokollierung (CDP) genutzt werden.

• Data-Recovery-Tests: Damit gar nicht erst Einfallstüren für potenzielle Hackerangriffe entstehen, ist es wichtig, dass die gewählte Software regelmäßige Data-Recovery-Tests durchführt, auch während des normalen Betriebs.

• Anomalieerkennung und Automatisierung: Viele Cyberattacken werden erst zu spät erkannt und können dann nur noch schwer abgewehrt werden. Eine Lösung, die auffällige Aktivitäten bereits früh erkennt und in der Lage ist, die Wiederherstellungsprozesse automatisch durchzuführen, ist daher essenziell.

• Verlässlichkeit und Schutz von Daten: Um die Sicherheit der Daten zu gewährleisten, sollte bei der Auswahl der Softwarelösung auf die Verschlüsselungsmöglichkeiten im Ruhezustand und während der Übertragung über SSL geachtet werden. Abhängig von der gewählten Software gibt es außerdem die Möglichkeit, dass die Lösung zusätzlich die Einhaltung von FIPS 140-2 gewährleistet. Weitere Maßnahmen, wie granular einstellbare Zugriffsberechtigungen und die Authentifizierung oder Erfassung der Manipulation von Daten durch Loggin und Hashing helfen zudem dabei, vollumfassende Sicherheit und Datenintegrität zu erreichen.

• Benutzerfreundlichkeit: Egal wie gut eine Lösung ist oder wie viele Zusatzfunktionen sie hat, wenn sie nicht leicht anwendbar ist und in alle Prozesse integriert werden kann, wird auch diese Lösung nichts nützen. Daher sind Kriterien wie eine intuitive Bedienoberfläche, hohe Kompatibilität mit anderen Systemen und die einfache Integration in bestehende Prozesse und Programme bei der Systemauswahl zu berücksichtigen.

Auf die Zukunft vorbereitet mit NIS-2

Die Aufrüstung für die NIS-2 Richtlinie bedeutet für Unternehmen zwar eine weitreichende Überprüfung und Erweiterung der eigenen Prozesse und Maßnahmen, zugleich werden ihre IT-Sicherheitsstrategien auch so modernisiert, dass sie auf Angriffe bestens vorbereitet sind. Um für diese Umstellung gewappnet zu sein, kann die Auswahl der richtigen Software ein wichtiger Hebel sein, durch den Datenarchive als wichtiger Bestandteil der Strategie werden.

Darüber kann die zügige Wiederherstellung von Daten nach einem Angriff gewährleistet und durch eine anwenderfreundliche und leicht integrierbare Infrastruktur dafür gesorgt werden, dass die NIS-2 Richtlinie durchgängig eingehalten wird. Mithilfe der Umstellung können Organisationen sich langfristig für die Zukunft wappnen und profitieren dabei von den höchsten Sicherheitsstandards in der Datenumgebung, welche nicht nur die Einhaltung gesetzlicher Vorschriften erleichtert, sondern darüber hinaus kritische Geschäftsprozesse vor Bedrohungen schützt.