Kybernetická bezpečnost

Cybersicherheit und neue Gesetzgebung

Die Cybersicherheit ist nicht mehr nur (und war es in Wirklichkeit auch nie) eine Sache von Großunternehmen, staatlichen Organisationen und Sicherheitskräften. Gefährdet sind alle Benutzer von Informationssystemen und Computertechnik im Allgemeinen. Jedes Jahr gibt es Tausende Angriffe, die Schäden in Größenordnungen von mehreren Dutzenden bis zu Hunderten Millionen Tschechischer Kronen verursachen. 

Sicherheitsbedrohungen

Die IT-Sicherheit in Unternehmen ist ein ausschlaggebender Faktor, um das Vertrauen, die Integrität und die Verfügbarkeit von Informationen in einer Organisation zu schützen. Sicherheitsbedrohungen, wie Hackerangriffe, Phishing, Malware und Social Engineering, können verheerende Folgen für Systeme und Prozesse eines Unternehmens haben, was nicht nur zu den bereits erwähnten finanziellen Verlusten führen kann, sondern sehr häufig auch den guten Ruf schädigt oder auch rechtliche Folgen haben kann.

In der Tschechischen Republik befassen sich das Gesetz über Cybersicherheit Nr. 181/2014 GBl. (CSG) und die Verordnung Nr. 82/218 GBl. mit Cybersicherheit. Diese verbindlichen Dokumente korrespondieren mit der Europäischen NIS-Richtlinie (Directive on Security of Network and Information Systems) aus dem Jahr 2016 und betreffen Betreiber von Basisdienstleistungen und Anbieter digitaler Dienstleistungen, wie z.B. das Gesundheitswesen, die öffentliche Verwaltung, digitale Infrastrukturen, Energiewesen, Infrastrukturen von Finanzmärkten und ähnliche. Dieser Umfang hat sich als unzureichend erwiesen, so dass die Anforderungen an die Cybersicherheit insgesamt aktualisiert werden müssen.

Ende des vorigen Jahres wurde auf europäischer Ebene die neue Norm NIS2 verabschiedet, die in der Tschechischen Republik Mitte 2024 in Form einer Novelle des CSG eingeführt wird. Die neue Norm NIS2 ist die insgesamt logische Fortsetzung der bereits angewandten NIS-Richtlinie und reagiert auf den Bedarf, ein ausreichendes Cybersicherheitsniveau bei einem stark erweiterten Kreis von Verpflichteten sicherzustellen.

Die neue Richtlinie verfolgt insbesondere folgende Ziele:

  • Gewährleistung eines ausreichenden Maßes an Cybersicherheit der in der EU tätigen Unternehmen und Institutionen,
  • Ausgleich der Unterschiede in der Widerstandsfähigkeit zwischen einzelnen Mitgliedsstaaten und Branchen,
  • Einführung einer einheitlichen Strategie der Mitgliedsstaaten gegen die wichtigsten Bedrohungen und Angriffe,
  • Ermöglichung einer gemeinsamen Reaktion auf eventuelle Krisen,
  • Ausweitung des Kreises der verpflichteten Institutionen.

Im Laufe des Jahres 2023 und in der ersten Jahreshälfte 2024 haben Unternehmen aus dem öffentlichen und privaten Sektor Zeit, um sich auf die Erfüllung der neuen Pflichten vorzubereiten. Konkret wird geschätzt, dass die Anzahl der verpflichteten Organisationen von derzeit einigen Hundert auf sechs- bis siebentausend steigen wird. Auch wenn die betreffende Organisation laut NIS2 nicht dazu verpflichtet sein wird, ist aber nachdrücklich zu empfehlen, sich auf Unternehmensebene mit Cybersicherheit zu befassen und das neue Gesetz als Empfehlung für die Umsetzung von Sicherheitsmaßnahmen im Unternehmen heranzuziehen.

Hier finden Sie die neue EU-Cybersicherheitsrichtlinie „NIS2“ und den Entwurf des NEUEN CYBERSICHERHEITSGESETZES, das ab 2024 in Kraft treten soll.

Die Gesellschaft OR-CZ befindet sich derzeit in der Endphase der Vorbereitung auf die Zertifizierung gemäß CSG und gemäß der Verordnung 82/2018 GBl., das bedeutet gemäß der ursprünglichen NIS-Richtlinie. Im Zuge des Einführungsprozesses der Anforderungen des CSG erwarben wir umfassende Kenntnisse und Erfahrungen mit der Umsetzung der Cybersicherheit. Unsere Gesellschaft bietet auch eine ganze Anzahl von Sicherheitstools und -technologien an, wie Firewalls, Antivirusprogramme, Backups, Sicherheitsüberwachung und Ethical Hacking. Wir begrüßen daher die neue Richtlinie und sind darauf vorbereitet, unsere Kunden bei der Einführung der neuesten Sicherheitsstandards und wirksamer Sicherheitsverfahren umfänglich zu unterstützen, um das Risiko von Angriffen zu minimieren und ihre kritischen Informationen und  Operationen zu schützen.

Die NIS2-Richtlinie legt eine Reihe von Anforderungen an Produktionsunternehmen unterschiedlicher Branchen, Anbieter digitaler Dienstleistungen, Forschungseinrichtungen und Betreiber kritischer Infrastrukturen fest. Einige der wichtigsten verlangten Maßnahmen:

  1. Netzwerksicherheit: Organisationen müssen sicherstellen, dass ihre Netze und Informationssysteme vor unbefugtem Zugriff, Angriffen und Missbrauch geschützt sind. Das schließt die Implementierung von Sicherheitsmaßnahmen, wie Firewall, Antivirenprogramme, Verschlüsselung und anderes, ein.
  2. Identifizierung und Authentifizierung: Organisationen werden Identifizierungs- und Authentifizierungsmechanismen für Anwender, Geräte und Apps einführen müssen. Dazu gehören die Zwei-Faktor-Authentifizierung, Passwörter mit hohem Komplexitätsgrad und anderes.
  3. Datensicherheit: Organisationen werden gewährleisten müssen, dass sensible Daten vor unbefugtem Zugriff, Missbrauch und Verlust geschützt sind. Das schließt die Verschlüsselung, das Datenbackup und andere Sicherheitsmaßnahmen ein.
  4. Kontinuierliche Überwachung: Organisationen werden ihre Informationssysteme und -netze regelmäßig überwachen müssen, um Sicherheitsvorfälle schnell zu erkennen und auf sie zu reagieren.
  5. Planung und regelmäßige Tests: Organisationen werden einen Plan für die Bewältigung von Sicherheitsrisiken haben und ihre Sicherheitsmaßnahmen regelmäßig testen müssen.
  6. Meldung von Sicherheitsvorfällen: Organisationen werden relevante Behörden über Sicherheitsvorfälle, die Auswirkungen auf den Schutz kritischer Infrastrukturen und digitaler Dienstleistungen haben können, in Kenntnis setzen müssen.

Die OR-CZ kann Sie bei der NIS2-Implementierung und der Gewährleistung Ihrer IT-Sicherheit unterstützen:

  1. Einrichtung starker Passwörter: Die Verwendung starker und einzigartiger 8-Zeichen-Passwörter für alle Anwender, einschl. der Administratoren, ist ein wichtiges Schlüsselelement der IT-Sicherheit im Unternehmen.
  2. Einführung der Multi-Faktor-Authentifizierung: Eine Authentifizierung mit mehreren Verifizierungsfaktoren verlangt, dass die Anwender ihre Identität (abgesehen vom Passwort) mithilfe mehrerer verschiedener Methoden, z.B. PIN, biometrische Informationen, Security-Tokens und anderer im Voraus festgelegter Informationen, nachweisen.
  3. Verwendung firmeneigener Antivirensoftware: Antivirensoftware hilft, das Computernetz vor Virenangriffen und anderen Sicherheitsbedrohungen zu schützen.
  4. Datenverschlüsselung: Datenverschlüsselung ist ein wichtiger Teil des Schutzes von Dateien vor unbefugtem Zugriff.
  5. Netzwerksicherheit: Netzwerksicherheitsmaßnahmen, wie Firewalls, VPN und anderes, helfen, das Computernetzwerk vor unbefugtem Zugriff und Angriffen zu schützen.
  6. Regelmäßige Softwareupdates: Die regelmäßige Aktualisierung der Software ist wichtig, um Fehler zu beseitigen und sicherzustellen, dass die Unternehmens-IT in Sicherheit ist.
  7. Netzwerküberwachung: Die Netzwerküberwachung hilft, potentielle Sicherheitsbedrohungen aufzudecken, so dass die IT-Abteilung schnell auf sie reagieren kann.
  8. Zugriffsbeschränkung und Zugriffsprotokollierung: Die Zugriffsbeschränkung ermöglicht es, dass Anwender nur Zugriff auf die Quellen haben, die sie zur Arbeit brauchen und dass alle Zugriffe und Anforderungen zentral protokolliert werden.
  9. Aufrechterhaltung von Datensicherungen: Die Aufrechterhaltung von Datensicherungen ermöglicht es, die Daten nach einem Malware-Angriff oder einer anderen Beschädigung wiederherzustellen.
  10. Fernzugriff: Der Fernzugriff ermöglicht Anwendern den Zugriff auf Netzwerke und Dateie von einem beliebigen Ort auf der ganzen Welt, dabei muss gewährleistet werden, dass der Fernzugriff sicher ist.
  11. Einführung des Zero-Trust-Prinzips.

Der letzte Punkt ist von grundlegender Wichtigkeit, denn in Kürze sagt er: Jeder ist ein Feind und damit:

  • jede Quelle ist eine Bedrohung,
  • jede Kommunikation ist potentiell gefährlich,
  • niemand darf irgendwohin und wenn ja, muss klar begründet sein, warum und was er dort machen wird,
  • über alles muss es Aufzeichnungen geben,
  • es gibt keine Seitenpfade und keine unautorisierten Wege, jeder Zugriff muss autorisiert sein.

Das Zero-Trust-Prinzip spiegelt die Tatsache wider, dass 80-90 % aller Cybersicherheitsvorfälle durch sog. autorisierte Benutzer verursacht werden. Zero Trust kann als Sicherheitsmodell aufgefasst werden, das sich darauf konzentriert, dass kein Anwender, kein Gerät und keine App davon ausgehen, dass ihnen automatisch der Zugriff auf irgendeinen Teil eines Netzwerks oder Systems gestattet ist. Das bedeutet, dass jeder Benutzer, jedes Gerät und jede App authentifiziert und autorisiert werden müssen, ehe ihnen der Zugriff ermöglicht wird, und dass dieser Zugriff stets aufgezeichnet wird. Zero Trust setzt voraus, dass jeder Teil des Netzwerks, jeder Server, jeder Arbeitsplatz und jede App gefährdet sein können, und konzentriert sich auf die Minimierung des Risikos und den Schutz jedes Netzwerkelements einzeln.

Der Schwerpunkt des Zero-Trust-Konzepts beruht auf der Identität und Authentifizierung des Benutzers oder Geräts, nicht darauf, wo sie sich befinden oder auf welche Weise sie sich mit dem Netzwerk verbinden. Aus diesem Grund wird Zero Trust oft als „identitätszentrierter“ Ansatz bezeichnet.

Organisationen sollten Zero Trust als eines der Sicherheitsmodelle einführen, um die NIS2-Anforderungen zu erfüllen und die Anzahl der Personen zu minimieren, die Zugriff auf sensible Informationen und Systeme haben, und um Protokolle für die Erkennung und die Reaktion auf Sicherheitsvorfälle zu erstellen.

Beim Entwurf dieses Konzepts kann von den Zero-Trust-Prinzipien des US-amerikanischen Nationalen Instituts für Standards und Technologie (NIST) ausgegangen werden. Das Ergebnis der Umsetzung dieser Prinzipien ist und sollte eine Computerumgebung sein, die den meisten Arten von Angriffen standhält. Es werden üblicherweise die folgenden sieben NIST-Prinzipien aufgeführt:

  1. Alle Datenquellen und Rechendienste werden als Ressourcen betrachtet.
  2. Die gesamte Kommunikation wird unabhängig vom Standort im Netzwerk gesichert.
  3. Der Zugriff auf einzelne Unternehmensressourcen wird auf Sitzungsbasis gewährt.
  4. Der Zugriff auf die Ressourcen wird durch dynamische Richtlinien bestimmt, die den beobachtbaren Identitätsstatus von Client, App/Dienst und die anfordernden Aktiva einbeziehen und weitere Verhaltens- und Umgebungsattribute umfassen können.
  5. Die Organisation überwacht und misst die Integrität und die Sicherheitslage aller eigenen und zugehörigen Ressourcen.
  6. Alle Authentifizierungs- und Autorisierungsverfahren für Ressourcen sind dynamisch und werden streng durchgesetzt, bevor der Zugriff gewährt wird.
  7. Die Organisation sammelt so viele Informationen wie möglich über den aktuellen Zustand der Ressourcen, die Netzwerkinfrastruktur und die Kommunikation und nutzt sie zur Verbesserung ihrer Sicherheitslage.

Die Umsetzung dieser Prinzipien ist, wie bereits gesagt wurde, sehr unterschiedlich, und es gibt kein Produkt, das sie umfassend anbieten würde. Das Unternehmen Microsoft sieht die Migration in die Cloud zum Beispiel als einen wichtigen Schritt zur Umsetzung von Zero Trust.

In der OR-CZ setzen wir auf die perfekte Abbildung aller Ressourcen und die Festlegung des Risikogrades, um angezeigte inakzeptable Werte möglichst zu eliminieren.

In der Praxis schlagen wir unseren Kunden bewährte und empfohlene Lösungen vor, bei deren Implementierung wir unseren Kunden helfen. Es handelt sich allerdings keineswegs um eine statische Angelegenheit, im Gegenteil ist es notwendig, das Null-Vertrauens-Prinzip ständig zu aktualisieren und neuen Gegebenheiten anzupassen. In der letzten Zeit handelt es sich bspw. um das Internet der Dinge, Künstliche Intelligenz, hohe Entschlüsselungsleistungen von Graphikkarten und andere Tatsachen.