Thought Leadership
Mit der Richtlinie NIS-2 – oder ausgeschrieben „Network and Information Security Directive 2“ – will die Europäische Union die Cybersicherheit im EU-Raum weiter erhöhen. Unternehmen und Bundesbehörden, die kritische Dienstleistungen erbringen oder zur kritischen Infrastruktur gehören, werden verpflichtet, ihre Widerstandsfähigkeit gegen Cyberangriffe noch auszubauen.
Bis letzten Herbst sollten die Mitgliedstaaten die Richtlinie eigentlich in Gesetzesform gegossen haben, nun wird Frühjahr 2025 angepeilt. Es ändert nichts daran: Jede betroffene Organisation (EU-weit 30.000) muss jetzt prüfen, ob sie die gestiegenen Anforderungen erfüllt. Viele Kommunen sind ausgenommen, hier greift der IT-Grundschutz. Betroffene Unternehmen müssen sich selbst bei den entsprechenden Behörden registrieren. Für Zulieferer NIS-2-pflichtiger Unternehmen gelten die Vorschriften aufgrund des Lieferkettensorgfaltspflichtengesetzes gegebenenfalls auch, sozusagen subsidiär.
Wer nach ISO 27001 zertifiziert ist, ist schon einmal sehr gut aufgestellt, es gehört jedoch noch mehr dazu. Daneben gibt es eine Reihe von Hebeln, über die Organisationen NIS-2-ready werden können. Das Gute: Wer mit einem Unified-Endpoint-Management (UEM)-System arbeitet, verfügt damit bereits über die wesentlichen Bestandteile. UEM-Hersteller Aagon hat das Thema NIS-2 seit längerem im Blick. In der aktuellen Version 6.7 seiner ACMP Suite finden sich folglich zahlreiche Funktionen, die speziell auf die erforderliche Cyberresilienz einzahlen.
Was NIS-2 im Einzelnen verlangt
Unternehmen und Organisationen, die unter die Richtlinie fallen, müssen strenge Cybersicherheitsmaßnahmen implementieren und kontinuierlich überwachen. Bei Sicherheitsvorfällen müssen sie diese schnell und detailliert melden, um eine koordinierte Reaktion zu ermöglichen. Wer die Anforderungen nicht erfüllt, hat mit strengeren Strafen zu rechnen. Um die kollektive Cybersicherheitslage zu verbessern, fördert NIS-2 außerdem die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten. Nationale Aufsichtsbehörden erhalten ferner mehr Befugnisse und Ressourcen, um die Einhaltung der neuen Bestimmungen zu überwachen und durchzusetzen.
ACMP Suite unterstützt wesentliche Anforderungen
Mit welchen Maßnahmen – technischer wie organisatorischer Natur – lassen sich die Anforderungen nun erfüllen, und wo kann ein UEM-System hier unterstützen? NIS-2 fordert grundsätzlich die Entwicklung und Implementierung einer umfassenden Cybersicherheitsstrategie, die Maßnahmen zur Risikominderung enthält. Das klingt komplizierter als es ist. Denn wenn eine UEM-Plattform wie die ACMP Suite zusätzlich zum Client Management auch verschiedene Sicherheits-Tools und -systeme integriert, liefert sie damit schon alles, was zur Umsetzung eines SOAR-Konzepts benötigt wird. Security Orchestration, Automation and Response heißt dieses Schlagwort in der Cybersicherheit – eine Allzweckwaffe zum gebündelten Abarbeiten von Security-Aufgaben. Und damit nichts anderes als eine Konkretisierung der geforderten Sicherheitsstrategie!
Im Bereich „Risikomanagement und Sicherheitsstrategien“ gehört zu den Maßnahmen eine enge Risikobewertung, das heißt die Durchführung regelmäßiger Risikoanalysen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren. Mit ihrem Schwachstellenmanagement hilft die ACMP Suite Administrationsabteilungen dabei, kritische Sicherheitslücken in der IT aufzuspüren, automatische Reaktionsroutinen festzulegen und Risiken mithilfe von CVSS- und CVE-zertifizierten Handlungsempfehlungen zu beseitigen. Das rechtzeitige Einspielen von Sicherheits-Updates läuft über eine automatisierte Patch-Management-Funktion. Sie stellt sicher, dass alle Endpunkte regelmäßig auf den neuesten Stand gebracht werden.
Organisationen müssen des weiteren dafür sorgen, dass alle Netzwerk- und Informationssysteme robuste Sicherheitsstandards erfüllen. Ihre Infrastruktur diesbezüglich absichern können Unternehmen mit dem Modul ACMP Defender Management. Es wurde entwickelt, um Microsoft Defender über nur eine Oberfläche auf allen Clients und Servern zu verwalten. Das Modul zeigt den Defender-Status, Scan-Historien, neueste Bedrohungen sowie Infos zum nächsten anstehenden Scan an und erlaubt Abfragen der genutzten / nicht genutzten Konfigurationsprofile. Und es steckt Geräte bei Befund in eine zentrale Quarantäne – ein großer Vorteil im Vergleich zur Einzelverwaltung des Defenders.
Verschlüsselung und Zugriffsmanagement sind weitere zentrale Themen von NIS-2. Zum Schutz sensibler Daten müssen Verschlüsselungs- und Authentifizierungsmechanismen implementiert werden. Das Verschlüsselungs-Tool von Microsoft, der BitLocker, ist bereits tief in Windows integriert. Indem Aagon ihn in sein Management-Konzept einbettet, ergänzt sie den BitLocker um zusätzliche Funktionen: zentrale Verwaltung der Festplattenverschlüsselungen, Statusabfragen von Schlüsselschutzvorrichtungen, Überblick über BitLocker-fähige Clients sowie Monitoring- und Reporting-Funktionen für aussagekräftige Analysen. Das zentrale Zuweisen individueller Konfigurationsprofile ermöglicht eine einfache und strukturierte Konfiguration der Festplattenverschlüsselung.
Durch die Implementierung von Multi-Faktor-Authentifizierung (MFA) an der ACMP Console sind die wichtigen Daten der IT-Infrastruktur gesichert und damit die Anforderungen der NIS-2-Richtlinie entsprechend umgesetzt. Deshalb hat Aagon die MFA in das neue ACMP Release 6.7 aufgenommen. Sie arbeitet mit einem Time-based Onetime-Passwort-Verfahren (TOTP), welches klassisch über den Google- oder Microsoft-Authenticator verbunden wird.
Einhaltung gesetzlicher Vorschriften und Audits
Von der NIS-2 betroffene Organisationen müssen außerdem regelmäßige Audits ihrer Cybersicherheitsmaßnahmen durchlaufen. Mithilfe detaillierter Berichte des UEM-Systems zum Status aller Endpunkte können sie nachweisen, dass sie alle Anforderungen erfüllen und kontinuierlich an der Verbesserung ihrer Cybersicherheit arbeiten. Die Reports lassen sich automatisch versenden und können als unterstützende Dokumentation bei der Zusammenarbeit hausintern, mit anderen Unternehmen, Sektoren sowie Behörden genutzt werden. Das dient nicht zuletzt dem von der NIS-2 geforderten Informationsaustausch.
Mit Lizenzaudits haben Unternehmen es in regelmäßigen Abständen zu tun, weshalb Aagon ein Lizenzmanagement in seine Managementkonsole integriert hat. Damit lässt sich die genaue Anzahl von Softwarelizenzen im Unternehmen und deren detaillierte Nutzung analysieren. Eine Fingerprint-Datenbank zur Identifizierung lizenzpflichtiger Software erkennt neue und alte Versionen installierter Software automatisch und bietet umfangreiche Möglichkeiten zur Kategorisierung. So lässt sich zum Beispiel auch eine Kategorie für Software einrichten, die im Unternehmen allgemein nicht erwünscht ist – ein in Sachen Security wichtiges Feature, um Kontrolle und Überblick zu behalten.
Und wenn doch einmal ein Angriff geglückt ist? Business Continuity Management im Sinne von NIS-2 umfasst alleMaßnahmen zur Aufrechterhaltung des Geschäftsbetriebs im Falle eines Sicherheitsvorfalls. OS Deployment für den automatischen Rollout von Betriebssystemen und ACMP CAWUM (Complete Aagon Windows Update Management) zum automatischen Patchen von Microsoft Updates ohne WSUS Server sind die Antworten von Aagon darauf, um in diesem Bereich zu unterstützen. Im Zweifel lässt sich so eine Infrastruktur schnell wiederherstellen, und das Unternehmen ist wieder startklar. Diese und weitere Möglichkeiten bietet Aagon bei der Umsetzung von NIS-2 als Unterstützung an. Alle genannten Aspekte reichen noch nicht zu 100 Prozent für die NIS-2 Compliance, sind jedoch ein wichtiger Faktor bei der Zielerreichung. Themen wie die Festlegung und Dokumentation von Ansprechpartnern und getroffenen Maßnahmen müssen zum Teil individuell auf die eigene Organisation angepasst und durchgeführt werden. Für alle, die die ACMP Suite ausprobieren möchten, steht eine kostenlose und unverbindliche Testversion zur Verfügung.
