Nachdem wir uns vor der Sommerpause intensiver mit dem ISMS beschäftigt haben und damit sehr stark die organisatorische Seite angeschaut haben, wollen wir uns heute mehr mit den technischen Maßnahmen beschäftigen.
Hier geht es zurück zu unserem Hauptartikel.
Aber zunächst ein Update: Das NIS-2 Umsetzungsgesetz wurde im Bundeskabinett beschlossen, muss aber noch durch den Bundestag und den Bundesrat. Inkrafttreten des Gesetzes Angang 2025 scheint realistisch zu sein.
Inhalt
Welche technischen Maßnahmen sind mindestens umzusetzen?
Welche technischen Maßnahmen sind mindestens umzusetzen?
Die Maßnahmen müssen auf einem „gefahrenübergreifendem“ Ansatz beruhen und sollen mehrere Normen berücksichtigen. Im Rahmen der Maßnahmen wird hauptsächlich vom „Stand der Technik“ gesprochen.
Einige Maßnahmen sind beispielsweise:
Backup-Management:
Daten sollen regelmäßig gesichert und Backups geprüft werden.
Wiederherstellung nach Notfällen:
Die Wiederherstellung sollte regelmäßig trainiert werden, um sicherzustellen, dass das Backup funktioniert und der Prozess korrekt abläuft.
Sicherheit bei der Wartung von IT:
Die Wartung der IT- Infrastruktur schließt nicht nur die Installation von Updates (Patchmanagement) ein, sondern auch die Verwaltung der Gerätesicherheit, detektieren von Defekten und Austausch von Hardware. Natürlich müssen auch Sicherheitsrichtlinien vom Administrator umgesetzt und gepflegt werden.
Netzwerksicherheit und Systeme zur Angriffserkennung:
Die Netzwerksicherheit ist ein sehr weites Feld. Neben der Basisnetzwerkkonfiguration, beispielsweise Firewall- Richtlinien und Netzwerksegmentierung, muss auch über SIEM (Security Information and Event Management) und IDS (Intrusion detection system), sowie IPS (Intrusion Prevention System) nachgedacht werden.
Kryptografie und Verschlüsselung:
Administratoren müssen sich zum einen Gedanken machen welchen Verschlüsselungsalgorithmus sie nutzen und zum Anderen über die Verschlüsselung von mobilen, stationären und zugangsgesicherten Geräten, sowie bspw. HTTPS, Verschlüsslung der Kommunikation und der Backups.
Konzepte für Zugriffskontrolle:
Das heißt unter Anderem ein ausgefeiltes Berechtigungskonzept in Systemen wie bspw. Fileserver oder ERP-System, aber auch Zugangsmanagement zu Gebäuden und Räumen.
Geräte und Anlagenmanagement (Asset Management):
Das Asset Management schließt alle Geräte und Anlagen ein: von kostenintensiven Headsets und Monitore, über PC’s und Server, bis hin zu Spezialmaschinen. Darüber hinaus auch die installierte Software, Support- und Garantiezeiträume und Auswahl von sicheren Geräten für Neuanschaffung aus sicherer Quelle.
Multi-Faktor-Authentifizierung (MFA) und kontinuierliche Authentifizierung (Single Sign-on - SSO):
MFA wird bis heute leider noch nicht flächendeckend eingesetzt, dabei bietet es einen enormen Mehrwert für die Sicherheit in Unternehmen und Privat. Dazu empfehle ich unseren englischsprachigen Blogartikel Account Protection.
SSO bietet Möglichkeiten zur Anmeldung über einen anderen Dienst. Man sieht dies oft bei der Registrierung auf einer Homepage über Google oder Microsoft.
Gesicherte Sprach-, Video- und Textkommunikation:
Verantwortliche und Administratoren sollten bedenken, dass die klassischen Kommunikationswege: Telefon, SMS und Fax meist unverschlüsselt sind. Das heißt nicht, dass die Systeme abgeschafft werden müssen, aber es sollte darüber nachgedacht werden, sichere Alternativen anzubieten und zu empfehlen. Natürlich darf die Nutzerfreundlichkeit nicht vernachlässigt werden, da die Systeme sonst nur widerwillig genutzt werden.
Gesicherte Notfallkommunikationssysteme:
Das ist ein sehr wichtiger Punkt. Zum Beispiel: Wenn die Telefonanlage nicht funktioniert, kann der Wartungsdienst nicht kontaktiert werden, um die Anlage instand zu setzen. Auch wenn nicht klar ist, ob eine Kommunikationsplattform angegriffen wurde, sollte auf andere Kommunikationswege zurückgegriffen werden.
Wo sollte man anfangen?
Eine gute Frage, die man nicht pauschal beantworten kann. Aus strategischer sollte dort begonnen werden, wo der größte Nutzen innerhalb der kürzesten Zeit gezogen wird. Viele Maßnahmen können meist schon ohne weitere Kosten umgesetzt werden. Beispielsweise könnten die Sicherheitspatches aller Geräte überprüft werden. Es kann die MFA beim Login in Microsoft aktiviert werden. Das Backup kann überprüft und eine Wiederherstellung simuliert werden. Dabei kann auch gleich ein Zeitplan für die regelmäßige Übung erstellt werden.
Jedes Unternehmen muss die Vorgehensweise anhand seines IST- Zustands selbst planen. Eine Bestandsanalyse ist ein must-have um einen Plan für den SOLL-Zustand zu erstellen. Natürlich müssen IST und SOLL- Zustand regelmäßig aktualisiert werden, was im Kontext von Zertifizierungen und deren kontinuierlicher Verbesserungsansatz besonders wichtig ist.
Interessierte können gern einen Blick in unsere englischsprachige Blogserie: Business Communication Security werfen. Darin geht es darum, durch welche Maßnahmen sich Unternehmen und Benutzer vor gefahren im Cyberraum schützen können.
Fazit
Die genannten technischen Maßnahmen sind nur ein grober Überblick. Es gibt sehr viel über jeden einzelnen Punkt zu erzählen, aber das würde diesen Blogbeitrag sprengen. Die Maßnahmen sind ohne ein engagiertes und motiviertes Team kaum umzusetzen. Es bleibt spannend welche Technologien auf den Markt kommen und sich etablieren können, die die Sicherheit weiter erhöhen.
Find us on social media as well!
