Wie ITSM die NIS2 Compliance unterstützt 

Mit der Einführung der NIS2-Richtlinie, die eine Umsetzung in nationales Recht bis zum 18.10.2024 vorsieht, werden Unternehmen dazu verpflichtet, angemessene Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen. Im Rahmen des IT Service Managements (ITSM) sind verschiedene Aspekte von NIS2 von Bedeutung, um die Compliance sicherzustellen und die Cybersicherheit zu stärken. 

Die Umsetzung der EU-Richtlinie in deutsches Recht wird aktuell immer weiter verschoben. Im aktuell öffentlichen Entwurf des deutschen NIS2-Umsetzungsgesetzes steht zwar weiterhin der 01.10.2024 als Beginn der Umsetzungspflicht, aber aktuelle Gerüchte weisen darauf hin, dass die Verabschiedung des Gesetzes sich auch über dieses Datum hinaus verzögern könnte.  

Über drei Jahrzehnte Erfahrung von HiSolutions in der IT-Management- und Informationssicherheitsberatung zeigen, dass die in NIS2 geforderten Maßnahmen und deren wirksame Umsetzung sehr zeitaufwändig sein können. Unsere Empfehlung bleibt deshalb, sofort auf Basis der bereits jetzt verfügbaren Informationen wie den jetzigen EU-Vorgaben, dem aktuellen Entwurf des deutschen Umsetzungsgesetzes sowie gängigen Standards und BSI-Vorgaben zu handeln. 


Mit diesem Übersichtsartikel bauen wir einen Leitfaden auf. Dieser soll auch Unternehmen, die zum ersten Mal regulatorisch erfasst werden, eine Einführung in die Best Practices im IT Service Management bieten. Zukünftige Artikel zur Vertiefung behandeln folgende NIS2-relevante Handlungsfelder: 

  1. Behandlung von Sicherheitsvorfällen 

Unternehmen müssen Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen implementieren. NIS2 legt fest, dass Organisationen Sicherheitsvorfälle innerhalb bestimmter Fristen melden und angemessene Maßnahmen zur Eindämmung und Behebung ergreifen müssen. Daher müssen Unternehmen entsprechende Incident Management Prozesse etablieren, um Sicherheitsvorfälle effektiv zu bearbeiten und die Auswirkungen auf ihre IT-Dienste zu minimieren.  

Aus Sicht des IT-Service Managements sind hier der Service Desk, bei dem Endanwender mit Meldungen zu Sicherheitsvorfällen ankommen, der Incident Management Prozess, der eng mit dem Security Incident Prozess verzahnt sein sollte sowie die Maßnahmen rund um das Logging und Monitoring von Systemen involviert. 

  1. Business Continuity 

NIS2 fordert von Unternehmen die Entwicklung von Business-Continuity-Plänen, um die Verfügbarkeit kritischer Dienste auch während und nach Sicherheitsvorfällen sicherzustellen. Im IT Service Management werden aus dem Business Continuity Management (BCM) die entsprechenden IT Service Continuity Management (ITSCM) Maßnahmen abgeleitet. Das ITSCM ist wiederum eng mit dem Availability und dem Capacity Management verbunden. Um ein ITSCM effektiv zu gestalten, sind Grundlagen aus dem Service Configuration Management notwendig. 

  1. Auslagerungsmanagement 

Unternehmen, die kritische Dienste an externe Dienstleister auslagern, müssen sicherstellen, dass diese Dienstleister angemessene Sicherheitsmaßnahmen implementieren. NIS2 legt fest, dass Unternehmen die Verantwortung für die Sicherheit ihrer ausgelagerten Dienste nicht delegieren können. Im ITSM bedeutet dies, dass Unternehmen geeignete Mechanismen für das Auslagerungsmanagement etablieren müssen, um sicherzustellen, dass externe Dienstleister die Anforderungen an die Cybersicherheit erfüllen. Die entsprechenden Maßnahmen werden im Supplier sowie im Service Level Management definiert. 

  1. Security Awareness 

Die Sensibilisierung der Mitarbeiter für Cybersicherheit ist ein zentraler Bestandteil der NIS2-Compliance. Unternehmen müssen Schulungsprogramme zur Sicherheitsaufklärung durchführen, um das Bewusstsein und Verständnis für Sicherheitsrisiken zu fördern. Im ITSM ist es wichtig, Security Awareness Trainings in die laufenden Schulungsaktivitäten zu integrieren, um sicherzustellen, dass Mitarbeiter die Bedeutung von Cybersicherheit verstehen und entsprechend handeln. Dabei hat der Service Desk eine Nähe zu den Anwendern und das Relationship Management zu den Kunden, was für die Etablierung und Durchführung von Security Awareness Maßnahmen genutzt werden kann. 

  1. Risikoanalyse 

Eine kontinuierliche Risikoanalyse ist entscheidend für die Identifizierung und Bewertung von Sicherheitsrisiken gemäß den NIS2-Anforderungen. Unternehmen müssen Risikomanagementprozesse implementieren, um potenzielle Bedrohungen zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Im ITSM sollten Unternehmen regelmäßige Risikobewertungen durchführen und angemessene Sicherheitskontrollen implementieren, um Risiken zu minimieren und die Compliance sicherzustellen. Dies geschieht im Bereich Risk Management

  1. Übergreifende Practices 

NIS2 hat weitreichende Auswirkungen auf verschiedene Aspekte des ITSM und erfordert eine integrierte Herangehensweise an die Cybersicherheit. Dies geschieht durch die Best Practices im Information Security Management und wird durch das Infrastructure and Plattform Management gestützt. Unternehmen müssen sicherstellen, dass ihre ITSM-Prozesse und -Praktiken die Anforderungen von NIS2 erfüllen und eng mit anderen Compliance-Richtlinien und -Standards wie z. B. ISO 27001 abgestimmt sind. Durch eine ganzheitliche Herangehensweise können Unternehmen die Cybersicherheit stärken und die Einhaltung der Vorschriften im IT Asset/Deployment Management sicherstellen. Das dafür notwendige Change Management wiederum bezieht sich auf bewährte Prozesse und Methoden zur systematischen Planung, Steuerung und Umsetzung von Veränderungen in IT Systemen und Services. Ziel ist es, Änderungen kontrolliert und effektiv zu verwalten, um Risiken zu reduzieren und die Zuverlässigkeit der IT Services zu erhöhen. 

NIS kommt: Wir unterstützen Sie bei der Umsetzung. 
Der neue NIS2-Kompass von HiSolutions zeigt Ihnen in einer schnellen Selbstauskunft, ob Ihre Organisation von NIS2 betroffen ist und was Sie tun müssen.

Produktiver durch mehr Sicherheitsmaßnahmen

Immer wenn von Sicherheitsmaßnahmen die Rede ist, werden sofort Bedenken zu Produktivitätsverlusten geäußert. Die Kunst des Sicherheitsmanagements ist es dann, die passende Balance zu finden: Welche Risiken können wir akzeptieren, um unsere Produktivitätsziele zu erreichen? Und welche Einschränkungen können wir beim täglichen Arbeiten in Kauf nehmen, um unsere Sicherheitsziele zu erreichen?

In der Novemberausgabe von „Computer“, der Hauszeitschrift der IEEE Computer Society, wird der Stand der Forschung zu diesem Zielkonflikt zusammengefasst. So wird eine Studie von G. A. Stout zitiert, nach der 60 % der Befragten sich zumindest gelegentlich durch Sicherheitsmaßnahmen in ihrem Job eingeschränkt fühlen. Andere zitierte Studien zeigen in vergleichbare Richtungen.

Überraschend ist das Ergebnis einer Studie, die Produktivität und Sicherheit bei der Softwareentwicklung ins Verhältnis setzt. Dafür wurden Entwicklerteams und Manager zu ihren Vorgehensweisen, Tools und Vorgaben befragt. Aus den Ergebnissen wurden vier Cluster gebildet:
– Low Performer für Teams, die in beiden Aspekten Verbesserungsbedarf hatten,
– Security First bzw. Productivity First für Teams, die den Fokus primär auf das eine oder andere Thema legen,
– und zuletzt High Performer, die beide Themen intensiv verfolgen.

Trägt man die Ergebnisse in einem Graphen mit zwei Bewertungen für Produktivität und Sicherheit ein, dann sind logischerweise die vier Cluster hauptsächlich in den jeweiligen Quadranten zu finden. Es wird aber auch sichtbar, dass der Mittelwert des Produktivitätsindexes des High-Performer-Clusters deutlich über dem Mittelwert des Productivity-First-Clusters liegt. Entwicklungsteams, die sich um beide Themen gekümmert haben (Sicherheit und Produktivität) hatten also im Schnitt eine höhere Produktivität als solche, die sich nur auf Produktivität konzentriert hatten.

Die Autoren versuchen den Effekt vor allem damit zu erklären, dass vorausschauende Sicherheitsüberlegungen zu selteneren Unterbrechungen durch kurzfristig zu behebende Sicherheitsprobleme führen und so mehr Zeit für die planmäßige Abarbeitung aller offenen Aufgaben bleibt. Einschränkend muss man anmerken, dass diese Studie von einem Hersteller von Sicherheitslösungen für die Softwareentwicklung (SonaType) erstellt wurde. Aber unsere Erfahrung beim Betrieb von IT zeigt auch, egal ob es ein großer oder ein kleinerer Sicherheitsvorfall ist: Nutzer und Techniker müssen sich immer kurzfristig um Lösungen kümmern und haben dann weniger Zeit für die Dinge, für die sie eigentlich bezahlt werden.

https://www.computer.org/csdl/magazine/co/2023/11/10286241/1RimXhneuAM

Die Sommerlücken kommen

Während im ersten Bundesland die Sommerferien schon wieder vorbei sind, beginnt diese Woche die Sommersaison der Sicherheitskonferenzen: eine Serie von spektakulären Ankündigungen und tatsächlich auch spektakulären Neuigkeiten in der Security. Den Anfang machen die amerikanischen Konferenzen DEFCON, Blackhat US und BSidesLV – die praktischerweise alle in Las Vegas nach- und nebeneinander stattfinden. Daher wird der Block auch gern „Hacker Summer Camp“ genannt, obwohl alles drinnen stattfindet. Die akademischere Welt trifft sich in Anaheim zum USENIX Security Symposium und in Europa verabredet man sich in echten Zelten: Erst beim großen Chaos Communication Camp in der Nähe von Berlin und dann bei kleineren Camps wie dem Hacken Open Air in Gifhorn.

Bei vielen Darbietungen werden die Details erst im Vortrag selbst enthüllt und führen dann schnell zu spektakulären Schlagzeilen. Manchmal sind Schlagzeile und Vortrag spektakulärer als das sich tatsächlich für die Praxis ergebene Risiko, aber nicht selten sind auch wegweisende Entwicklungen dabei. Wenn Sie diesen Digest lesen, dann haben Sie vielleicht schon die ersten Nachfragen zu einigen Schlagzeilen im Postfach.

Zwei Themen machten schon im Vorfeld Schlagzeilen:

  • Mehrere Schwachstellen wurden im TETRA Funkstandard entdeckt. Die Detailbeschreibungen teilten die Entdecker nicht nur auf die oben genannten Konferenzen, sondern auf insgesamt fünf verschiedene Vorträge auf. TETRA kommt hierzulande vor allem als BOS-Funk zum Einsatz (für Behörden und Organisationen mit Sicherheitsaufgaben). Durch die Art und Weise des Einsatzes und vor allem durch zusätzliche Ende-zu-Ende-Verschlüsselung sind diese nicht betroffen.
  • Forscher der TU Berlin zeigen, wie sie die zentrale Entertainmentsteuereinheit eines Tesla übernehmen konnten. „Entertainment“ klingt im ersten Moment nicht spektakulär, beinhaltet aber beispielsweise die geregelte Freischaltung von Fahrzeugfunktionen, die nur über zusätzliche Abos verfügbar sind – wie die Sitzheizung. Den Forschern gelang außerdem der Zugriff auf Schlüssel, mit denen sich das Fahrzeug bei den diversen Onlinefunktionen gegenüber dem Hersteller ausweist.

Neben den Vorträgen gibt es auch immer diverse andere Programmpunkte, unter anderem Wettbewerbe. Besonders spektakulär ist diesmal der Hack-a-Sat-CTF, für dessen Finalrunde extra am 7. Juli ein eigener Satellit in die Umlaufbahn gestartet wurde.

Die einzelnen Konferenzprogramme finden sich hier:

Beitragsbild: Keine Informationssicherheit, kein Job mehr

Keine Informationssicherheit, kein Job mehr

Wer lange genug in der IT-Sicherheit unterwegs ist, kennt mehr als eine Situation, in der Hinweise und Vorgaben zur IT-Sicherheit mit einem selbstbewusst geäußerten „Keine Lust“, „Haben wir noch nie so gemacht“ oder „Erklären Sie mir nicht meinen Job“ zur Seite geschoben wurden.

Rechtsanwalt Jens Ferner berichtet von einem Fall, der am Ende gerichtlich ausgefochten wurde. Konkret ging es um eine nicht abgeschlossene Schreibtischschublade, in der sich Kundenakten mit Finanzdaten befanden. Eine Schublade klingt nicht direkt nach IT-Sicherheit, aber die entsprechende Clean-Desk-Regelung war Teil der Vorgaben zur Informationssicherheit. Der Verstoß dagegen wurde vom Landesarbeitsgericht Sachsen als so schwer bewertet, dass er eine Abmahnung bzw. wie im konkreten Fall wegen Wiederholung sogar die Kündigung rechtfertigte.

Umgekehrt kann auch eine zu laxe Handhabung von Informationssicherheit zum Jobverlust führen. In vielen Fällen, in denen wir Kunden bei der Bewältigung von Sicherheitsvorfällen unterstützen, stehen die Existenz des Unternehmens und damit auch Arbeitsplätze auf dem Spiel.

Beide Aspekte unterstreichen, dass ein gelebtes Informationssicherheitsmanagement mehr als nur viele geduldige Seiten Text bedeutet.
https://www.ferner-alsdorf.de/wirksame-kuendigung-bei-verstoss-gegen-richtlinie-zur-informationssicherheit/

Link zur Rechtsprechung: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LAG%20Sachsen&Datum=07.04.2022&Aktenzeichen=9%20Sa%20250%2F21

Compliance-Bingo und Checklisten-Fetisch? Die Suche nach nachhaltiger Security

Hundertprozentige Security gibt es nicht, wie wir alle wissen. Daher macht es wenig Sinn, Vorfälle zu zählen, um den Erfolg eines Security-Programms zu bewerten. Woher weiß ich aber sonst, ob ich auf dem richtigen Weg bin?

Eine gleichzeitig schwammige und konkrete Antwort darauf, was umzusetzen ist, gibt der Begriff „Stand der Technik“. Zwar gibt es keine objektiven harten Vorgaben in Bezug auf Ziele, Tools oder Technologien, wenn ich allerdings etwa meine, ohne Authentifizierung oder Backup auszukommen, sollte ich gute Argumente haben, wenn etwas anbrennt.

Das kann so weit gehen, dass Konzerne viele Security-Funktionen im Wesentlichen deswegen im Einsatz haben, um sich moralisch abzusichern, falls etwas schiefgeht: „Erst wenn du den Gartner Hype Cycle einmal rauf- und runtergekauft hast, sind du und dein Job auf der sicheren Seite.“

Darüber hinaus stellt sich aber auch die Frage, wie die Umsetzung geschehen soll, also welche Qualität und Intensität ausreichend ist. Das Zauberwort hier ist „Sorgfaltspflicht“ (Englisch „Due Diligence“) – und die sollte ich im Notfall nachweisen können.

Um auch langfristig in Bezug auf die Security voranzukommen, innerhalb einer Organisation wie auch gesamtgesellschaftlich, braucht es allerdings noch ein drittes Prinzip: Das Ganze kann nicht funktionieren, wenn wir dauerhaft technische Schulden anhäufen. Zwar wissen wir heute nicht, welche kritischen Schwachstellen in nächster Zeit auftauchen. Aber solange wir immer mehr technische Altlasten sammeln, wächst das Risiko, dass uns eine davon kalt erwischt.

https://www.heise.de/meinung/Kommentar-Angriffe-lassen-sich-nicht-vermeiden-uebernehmt-die-Verantwortung-7328918.html

Konzernweite Steuerung des Cyberrisikos bei innogy

Top-down Cyber-Risk-Assessment by HiSolutions

Die Bestimmung des unternehmensweiten Cyberrisikos ist eine wichtige Voraussetzung für eine ganzheitliche Bewertung und globale Steuerung, um die Verteidigung verbessern und den Ressourceneinsatz optimieren zu können. HiSolutions hat mit innogy ein Top-down Cyber-Risk-Assessment-Vorgehen entwickelt, das einen aktuellen, zentralen und aggregierten Überblick über den gesamten Konzern inklusive aller Töchter ermöglicht und so als wertvoller Input für die Cybersicherheitsstrategie dient.

Von David Fuhr, HiSolutions AG und Thomas Krauhausen, innogy SE

Die stetig zunehmende IT-Bedrohungslage lässt die Steuerung von Cyberrisiken immer wichtiger werden. Viele Unternehmen verfügen bereits über Methoden, um Schutzbedarf, Business Impact oder Restrisiken bestimmter Assets – einer Anwendung, einer Datenbank, eines Rechenzentrums – zu bewerten. Sehr häufig jedoch fließen die verschiedenen Ansätze, Skalen und Methoden nicht in ein kohärentes Gesamtbild ein. Es fehlt in der Regel ein konzernweiter, einheitlicher Blick auf das Cyberrisiko. Ein solcher wird jedoch heute zunehmend von Aufsichtsgremien, Regulierern, Wirtschaftsprüfern oder auch von externen Partnern wie etwa Cyberversicherern verlangt. Vor allem aber besteht ohne ein zentrales Cyber-Risk-Assessment die Gefahr, dass Ressourcen falsch allokiert werden oder nicht schlüssig begründet werden können.

Für die innogy SE ist das Thema Cybersicherheit eines der zentralen, um die Zukunftssicherheit der Netze und erneuerbaren Energien für 23 Millionen Kunden in Europa sicherzustellen. innogy ist das führende deutsche Energieunternehmen mit einem Umsatz von rund 44 Milliarden Euro (2016), mehr als 40 000 Mitarbeitern und Aktivitäten in 16 europäischen Ländern. Informationssicherheit hat für innogy von Beginn an Priorität. So wurde etwa neben dem großflächigen Ausrollen von Informationssicherheitsmanagement (ISM) und der erfolgreichen externen Zertifizierung nach IT-Sicherheitsgesetz und Sicherheitskatalog der Bundesnetzagentur auch ein Projekt zur Bestimmung des Umsetzungs- und Reifegrades der ISO 27001 durch die Konzernsicherheit der innogy entwickelt.

Cyber-Risk-Assessment

Was bisher noch fehlte, war eine zentrale, aggregierte und operationalisierbare Sicht auf das Cyberrisiko in allen Bereichen des Konzerns inklusive der Töchter. Zu dem Zweck haben innogy und HiSolutions gemeinsam eine szenariobasierte Methodik für ein Cyber-Risk-Assessment entwickelt und durchgeführt, als deren Herzstück Interviews mit den Top-50-Risikoträgern im Konzern fungierten. Darüber hinaus flossen Risiko- und Assetbewertungen aus unterschiedlichen Quellen in die automatisierte Aggregation und Bewertung mit ein. Die Cybersecurity-Experten der innogy Konzernsicherheit bewerteten daraufhin als zentralen Arbeitsschritt die Eintrittswahrscheinlichkeit wesentlicher Gefährdungsszenarien – auch auf der Basis der Erkenntnisse bereits durchgeführter Sicherheitsprojekte. Die Analyse mündete in einer automatischen Auswertung und Darstellung nach Schutzziel, Risikotyp, Segment, Land, Sparte, IT-Dienstleister etc. Als Besonderheit wurde zusätzlich auch die Verteilung der Datenschutzrisiken nach DS-GVO im Konzern ermittelt und dargestellt. Das Managementtaugliche Reporting für die Stakeholdergremien wurde ebenfalls teilautomatisiert, ohne die Notwendigkeit teurer spezieller Softwarelösungen.

Cyber-Strategie

Klassischerweise wurde IT-Security vor allem bottom-up aus der IT heraus angegangen. Zwar schreiben Standards wie ISO 27001 oder IT-Grundschutz eine Verankerung des Sicherheitsprozesses in der Leitungsebene vor, die geeignete und ausreichende Ressourcen bereitzustellen hat. Gelegentlich wird auch eine Integration von IT-Risiken in das Enterprise Risk Management angestrebt. In aller Regel wird jedoch die IT-Sicherheit traditionell weiterhin von „unten“ betrieben. Dies macht es aufwendig, IT-Risiken global und gleichzeitig agil zu steuern – und die effektive Unterstützung der Geschäftsziele durch das Sicherheitskonzept zum Glücksspiel. Die übliche Folge: Die Security wird ausschließlich als Bremserin wahrgenommen; um Budget muss gerungen werden und höchstens nach Vorfällen herrscht kurzfristiger Aktionismus, der nicht nachhaltig ist. Reine Lippenbekenntnisse von „Management Commitment“ und „Security als Enabler“ allein helfen hier nicht weiter.
Vielmehr muss Cyber-Security in Form einer Cyber-Sicherheitsstrategie integraler Teil der Unternehmensstrategie werden, um optimal zum Geschäftserfolg beitragen zu können. Das Cyber-Risk-Assessment bei innogy liefert hierzu die ideale Basis.

„Durch das Cyber-Risk-Assessment schaffen wir bei unseren Führungskräften die erforderliche Transparenz über die wesentlichen Cyberrisiken und unterstützen so direkt die Digitalisierungsstrategie unseres Konzerns. Zusammen mit unserer tool-basierten Reifegradmessung bildet es die Grundlage unserer Cyber-Sicherheitsstrategie.“ – Florian Haacke, CSO, innogy SE

Das Cyber-Risk-Assessment benötigt vielerlei Input und dient als Basis einer erfolgreichen Cyberstrategie.

Die HiSolutions-Risikobewertungs-Methodik

Klassisch wird Risiko definiert als Eintrittswahrscheinlichkeit x Schadenshöhe (Worst Case) in den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit. HiSolutions nimmt weitere Dimensionen in den Blick, um ein realistischeres Ergebnis mit höherer Aussagekraft zu erhalten: Schutzziele sind nicht unabhängig voneinander: Höhere Verfügbarkeit etwa kann die Vertraulichkeit gefährden und umgekehrt. Die Vertraulichkeit von Kryptoschlüsseln etwa sichert die Integrität von Nutzdaten. Dies ist in die Berechnung und Behandlung systematisch einzubeziehen. Assets sind in der Regel durch verschiedene Schadensszenarien mit unterschiedlichen Wahrscheinlichkeiten und Schäden bedroht, das Risiko somit nicht nur ein Produkt von zwei Zahlen, sondern eine Summe beziehungsweise ein Integral. Wahrscheinlichkeiten wie mögliche Schadenshöhen ändern sich zudem stetig. Das erfordert aktuelle Daten (möglichst in Echtzeit) als Entscheidungsgrundlage. Die Schadensbewertung hat selbst einen zeitlichen Aspekt: Klar ist, dass ein längerer Ausfall in der Regel teurer wird. Aber auch bei manipulierten Daten ist entscheidend, wann sie wieder benötigt werden und wie lange die Korrektur dauert. „Schwarze Schwäne“ – sehr unwahrscheinliche, teure Schadensereignisse – müssen aus der Betrachtung ausgeschlossen werden, da sonst die Berechnung beliebig wird. Das sollte bewusst und dokumentiert erfolgen. Unterschiedliche Organisationen (z. B. Tochterunternehmen), Organisationseinheiten und Stakeholder benötigen ggf. maßgeschneiderte Blicke (Auswertungen) der Risikolandschaft. Das alles lässt sich nur abbilden in einem formelbasierten Risikomodell mit Auswertungsautomatisierung. Die Risikobewertungs-Methodik von HiSolutions erlaubt es, den Überblick über die Methode und über die Ergebnisse zu behalten.