Artikel 21 Entschlüsselt: Die 10 Maßnahmen zum Cybersicherheitsrisikomanagement
Wer sollte das lesen: CISOs, IT-Sicherheitsverantwortliche, Risikomanager und alle, die für die Entwicklung oder Implementierung von Cybersicherheitsprogrammen verantwortlich sind.
Artikel 21 ist das schlagende Herz von NIS2. Darin sind zehn Kategorien verbindlicher Maßnahmen zum Cybersicherheitsrisikomanagement festgelegt, die alle wesentlichen und wichtigen Stellen umsetzen müssen. Dies sind keine Empfehlungen, Richtlinien oder Best Practices. Es handelt sich um gesetzliche Verpflichtungen, und bei Nichteinhaltung werden Strafen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes nach sich gezogen.
Artikel 21 schreibt jedoch keinen einzigen Umsetzungspfad vor. Es definiert die Ergebnisse — was Sie schützen und was Sie erreichen müssen —, ermöglicht aber Flexibilität bei der Art und Weise, wie Sie diese erreichen. Dieser Leitfaden entschlüsselt jede der zehn Maßnahmen, erklärt, was sie erfordern, und enthält praktische Hinweise zur Umsetzung.
Das Grundprinzip: Alle Gefahren, angemessen, risikobasiert
Bevor Sie sich mit den zehn Maßnahmen befassen, sollten Sie sich mit dem übergeordneten Prinzip in Artikel 21 Absätze 1 und 2 vertraut machen.
Gemäß Artikel 21 Absatz 1 müssen die Unternehmen „angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu bewältigen“. Die Maßnahmen müssen dem Stand der Technik, den einschlägigen Normen, den Kosten der Umsetzung und der Größe des Unternehmens entsprechen. In Artikel 21 Absatz 2 heißt es, dass die Maßnahmen „auf einem Konzept beruhen müssen, bei dem alle Gefahren berücksichtigt werden, mit dem Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen geschützt werden sollen“.
Das bedeutet, dass Ihre Maßnahmen nicht nur Cyberangriffe, sondern auch physische Bedrohungen (Feuer, Überschwemmungen, physische Einbrüche, Stromausfall) und Umweltgefahren berücksichtigen müssen. Sie können die physische Ebene nicht ignorieren. Ein Angreifer, der durch eine kaputte Tür in Ihr Rechenzentrum eindringt, ist keine Cyberbedrohung, aber Ihr Cybersicherheitsprogramm muss sie bekämpfen.
Das Wort „verhältnismäßig“ ist wichtig. Ein Kleinstunternehmen wird andere Maßnahmen ergreifen als ein multinationales Unternehmen. Ihre Umsetzung muss Ihrem Risikoprofil, Ihrer Größe und Ihrem betrieblichen Kontext entsprechen. Die Aufsichtsbehörden werden Sie nicht dafür bestrafen, dass Sie keine Maßnahmen ergreifen, die in keinem Verhältnis zu Ihren tatsächlichen Risiken stehen.
Maßnahme 1 — Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen
Artikel 21 Absatz 2 Buchstabe a schreibt „Strategien zur Risikoanalyse und zur Sicherheit von Informationssystemen“ vor.
Das ist grundlegend. Sie müssen über dokumentierte Richtlinien verfügen, die beschreiben, wie Ihr Unternehmen Cybersicherheitsrisiken identifiziert, bewertet und verwaltet.
Ihre Richtlinie zur Risikoanalyse sollte Folgendes umfassen: wie Sie Ressourcen (Systeme, Daten, Infrastruktur) identifizieren, wie Sie Bedrohungen und Schwachstellen identifizieren, die sich auf diese Ressourcen auswirken, wie Sie Wahrscheinlichkeit und Auswirkungen einschätzen, wie Sie Risiken für die Behandlung priorisieren und wie Sie bestimmen, welche Risiken Sie akzeptieren, mindern oder vermeiden.
Ihre Sicherheitspolitik für Informationssysteme sollte Folgendes umfassen: wie Sie Informationen klassifizieren, wer Zugriff auf welche Informationen hat, wie der Zugriff gewährt und widerrufen wird, wie Sie Informationen bei der Übertragung und Speicherung schützen, Datenspeicherung und -entsorgung und wie Sie eine unbefugte Offenlegung verhindern.
Diese Richtlinien müssen dokumentiert, aktuell und den zuständigen Mitarbeitern mitgeteilt werden. Sie sollten mindestens einmal jährlich überprüft und aktualisiert werden, um Änderungen in Ihrer Bedrohungslandschaft, Ihren Geschäftsabläufen oder behördlichen Anforderungen Rechnung zu tragen.
Praktische Umsetzung
Schaffen Sie ein Risikomanagement-Framework, das den Ansatz Ihres Unternehmens zur Identifizierung, Bewertung und Behandlung von Risiken klar definiert. Dokumentieren Sie Ihr Informationsklassifizierungsschema und Ihre Richtlinien zur Zugriffskontrolle. Stellen Sie sicher, dass in Ihren Richtlinien Rollen und Verantwortlichkeiten festgelegt sind. Machen Sie Richtlinien für Mitarbeiter zugänglich, die sie benötigen. Erstellen Sie einen Zeitplan für die jährliche Überprüfung und Aktualisierung. Verknüpfen Sie Ihre Richtlinien mit Ihren Plänen zur Reaktion auf Vorfälle und zur Geschäftskontinuität.
Maßnahme 2 — Umgang mit Vorfällen
Artikel 21 Absatz 2 Buchstabe b schreibt den „Umgang mit Zwischenfällen“ vor.
Dies ist nicht optional. Sie müssen über eine dokumentierte Fähigkeit verfügen, Sicherheitsvorfälle zu erkennen, zu untersuchen und darauf zu reagieren.
Ihr Incident-Handling-Programm sollte Folgendes definieren: Was einen Vorfall ausmacht (unbefugter Zugriff, Datenverlust, Systemausfall, Malware-Infektion usw.), wie Vorfälle erkannt und gemeldet werden, wer für die Reaktion auf den Vorfall verantwortlich ist, welche Schritte während der Untersuchung unternommen werden, wie der Schweregrad bestimmt wird, welche Kriterien einen schwerwiegenden Vorfall definieren (gemäß Artikel 23 Absatz 3)), wie Sie Beweise sichern und wie Sie die Reaktion dokumentieren.
Sie müssen über ein definiertes Team für die Reaktion auf Vorfälle mit klaren Rollen verfügen: Vorfallkoordinator, technischer Ermittler, Ansprechpartner für das Management, Rechts- und Compliance-Beauftragter. Das Team muss über Kontaktinformationen und Eskalationswege verfügen. Sie müssen regelmäßig Übungen zur Reaktion auf Vorfälle durchführen, um Ihre Fähigkeiten zu testen.
Entscheidend ist, dass Ihr Verfahren zur Bearbeitung von Vorfällen in Ihre Meldepflicht gemäß Artikel 23 integriert werden muss. Sie müssen in der Lage sein, schwerwiegende Vorfälle zu identifizieren und Ihre zuständige Behörde oder das CSIRT innerhalb von 72 Stunden (oder 24 Stunden, wenn Sie ein Vertrauensdiensteanbieter sind) zu benachrichtigen.
Praktische Umsetzung
Definieren und dokumentieren Sie Ihre Vorfalldefinitionen und die Klassifizierung des Schweregrads. Richten Sie ein Team für die Reaktion auf Vorfälle mit klaren Rollen und Kontaktinformationen ein. Erstellen Sie ein Playbook zur Reaktion auf Vorfälle mit schrittweisen Verfahren für gängige Arten von Vorfällen. Richten Sie Erkennungstools ein (SIEM, Erkennung von Eindringlingen, Protokollüberwachung), die Ihr Team vor verdächtigen Aktivitäten warnen. Führen Sie vierteljährlich praktische Übungen durch, um Ihre Reaktionsfähigkeit zu testen. Führen Sie ein Vorfallprotokoll, in dem alle Vorfälle und deren Behebung dokumentiert sind. Integrieren Sie die Reaktion auf Vorfälle in Ihre Rechts- und Compliance-Funktionen, um eine angemessene Benachrichtigung zu gewährleisten.
Maßnahme 3 — Geschäftskontinuität und Disaster Recovery
Artikel 21 Absatz 2 Buchstabe c schreibt „Geschäftskontinuität wie Backup-Management und Disaster Recovery sowie Krisenmanagement“ vor.
Ihre Dienste müssen auch bei Vorfällen verfügbar bleiben. Sie müssen über Pläne und Funktionen verfügen, um Systeme und Daten wiederherzustellen, falls diese beschädigt, gelöscht oder anderweitig nicht verfügbar sind.
In Ihrem Plan zur Geschäftskontinuität sollten Sie ermitteln, welche Services für Ihr Unternehmen und Ihre Kunden am wichtigsten sind. Definieren Sie für jeden wichtigen Service ein Recovery Time Objective (RTO — wie lange Sie tolerieren können, dass der Service ausfällt) und ein Recovery Point Objective (RPO — wie viel Datenverlust Sie tolerieren können). Entwickeln Sie Backup- und Recovery-Strategien, die diese Ziele erfüllen.
Backup-Management ist unerlässlich. Sie müssen Backups kritischer Daten und Systeme erstellen. Backups müssen getrennt von den Produktionssystemen aufbewahrt werden (idealerweise an einem anderen geografischen Standort), damit eine Katastrophe, die Ihre Haupteinrichtung betrifft, nicht auch Ihre Backups zerstört. Sie müssen die Wiederherstellung von Backups regelmäßig testen, um sicherzustellen, dass Backups tatsächlich verwendet werden können.
Disaster Recovery ist Ihre Fähigkeit, den Betrieb nach einem größeren Vorfall wiederherzustellen. Dies kann die Aktivierung eines Backup-Rechenzentrums, die Umstellung auf einen sekundären Standort oder die schrittweise Wiederherstellung der Dienste bedeuten. Sie müssen über dokumentierte Verfahren verfügen und diese getestet haben.
Krisenmanagement ist Ihre Fähigkeit, während eines größeren Vorfalls mit Kunden, Aufsichtsbehörden und der Öffentlichkeit zu kommunizieren. Sie müssen wissen, wer mit den Medien sprechen wird, welche Informationen Sie preisgeben werden und wie Sie die Stakeholder auf dem Laufenden halten werden.
Praktische Umsetzung
Führen Sie eine Analyse der Geschäftsauswirkungen durch, um wichtige Dienste und deren Abhängigkeiten zu identifizieren. Definieren Sie RTO und RPO für jeden kritischen Service auf der Grundlage der Geschäftsanforderungen. Implementieren Sie Backup-Systeme mit angemessener Häufigkeit (täglich, stündlich oder kontinuierlich, je nach Kritikalität). Stellen Sie sicher, dass Backups extern oder auf geschützten Systemen gespeichert werden. Testen Sie die Backup-Wiederherstellung mindestens einmal jährlich. Dokumentieren Sie Ihre Notfallwiederherstellungsverfahren. Identifizieren Sie alternative Einrichtungen oder Cloud-Anbieter, die wichtige Dienste übernehmen könnten, wenn Ihr primärer Standort nicht verfügbar ist. Führen Sie mindestens einmal jährlich Übungen zur Notfallwiederherstellung durch. Erstellen Sie ein Protokoll zur Krisenkommunikation mit definierten Sprechern.
Maßnahme 4 — Sicherheit der Lieferkette
Artikel 21 Absatz 2 Buchstabe d verlangt „die Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Lieferanten oder Dienstleistern“.
Dies ist eine neue und obligatorische Verpflichtung gemäß NIS2. In NIS1 war dies nicht vorgeschrieben, dennoch haben sich Angriffe auf die Lieferkette (wie SolarWinds) als die schädlichsten Cyberbedrohungen erwiesen.
Ihr Sicherheitsprogramm für die Lieferkette muss sich mit Ihren Beziehungen zu direkten Lieferanten und Dienstleistern befassen. Dazu gehören: Identifizierung kritischer Lieferanten (diejenigen, deren Ausfall Ihre Dienstleistungen beeinträchtigen würde), die Bewertung ihrer Cybersicherheitspraktiken und ihres Reifegrads, die vertragliche Verpflichtung zur Einhaltung von Mindestsicherheitsstandards, die Überwachung ihrer Einhaltung und die Erstellung von Notfallplänen für den Fall, dass sie gefährdet werden.
In Artikel 21 Absatz 3 heißt es, dass Sie „die spezifischen Sicherheitslücken jedes direkten Lieferanten und Diensteanbieters sowie die allgemeine Qualität der Produkte und Cybersicherheitspraktiken seiner Lieferanten und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren“, berücksichtigen müssen. Sie müssen auch die Ergebnisse der koordinierten Bewertungen der Sicherheitsrisiken kritischer Lieferketten berücksichtigen, die von der Kooperationsgruppe gemäß Artikel 22 durchgeführt wurden.
Dies ist keine einmalige Bewertung. Die Sicherheit der Lieferkette ist im Gange. Sie müssen Ihre Lieferanten überwachen, Ihre Verträge aktualisieren, wenn sich die Bedrohungen weiterentwickeln, und Ihre Notfallpläne testen.
Praktische Umsetzung
Erstellen Sie ein Lieferanteninventar, in dem wichtige Lieferanten identifiziert werden — diejenigen, deren Nichtverfügbarkeit oder Beeinträchtigung Ihre Dienstleistungen erheblich beeinträchtigen würde. Führen Sie für jeden wichtigen Lieferanten anhand eines Fragebogens oder Audits eine Bewertung der Cybersicherheit durch. Nehmen Sie Sicherheitsklauseln in Ihre Lieferantenverträge auf, die Mindestsicherheitsstandards vorschreiben (Fähigkeit zur Reaktion auf Vorfälle, Patch-Management, Zugriffskontrollen usw.). Erstellen Sie ein Service Level Agreement (SLA), das Kennzahlen zur Sicherheitsleistung beinhaltet. Führen Sie regelmäßige Neubewertungen kritischer Lieferanten durch. Entwickeln Sie Notfallpläne für jeden wichtigen Lieferanten — alternative Lieferanten, interne Kapazitäten zur Ersetzung von Dienstleistungen oder Vereinbarungen mit Backup-Anbietern. Nehmen Sie an Bewertungen kritischer ICT-Lieferketten durch die Kooperationsgruppe teil und integrieren Sie die Ergebnisse in Ihr Lieferantenmanagement. Dokumentieren Sie Ihre Prozesse und Entscheidungen zur Sicherheit Ihrer Lieferkette.
Maßnahme 5 — Sicherheit bei der Anschaffung, Entwicklung und Wartung von Systemen
Artikel 21 Absatz 2 Buchstabe e verlangt „die Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen, einschließlich der Behandlung und Offenlegung von Sicherheitslücken“.
Ganz gleich, ob Sie Ihre eigenen Systeme bauen, Standardsoftware kaufen oder Cloud-Dienste nutzen, die Sicherheit muss von Anfang an integriert sein und nicht erst danach.
Für Systeme, die Sie intern entwickeln, müssen Sie über sichere Entwicklungspraktiken verfügen. Dazu gehören: sichere Codierungsstandards, Verfahren zur Codeüberprüfung, das Testen auf Sicherheitslücken vor der Bereitstellung, das Scannen von Sicherheitslücken und ein Verfahren zur Verwaltung von Sicherheitslücken, die nach der Bereitstellung entdeckt werden.
Für Systeme und Software, die Sie erwerben, müssen Sie über Auswahlkriterien für den Anbieter verfügen, die Sicherheitsanforderungen enthalten. Bewerten Sie die sicheren Entwicklungspraktiken der Anbieter. Verlange von Anbietern, dass sie Sicherheitslücken offenlegen, die sie in ihren Produkten entdecken. Stellen Sie sicher, dass Ihre Verträge von Anbietern verlangen, Sicherheitslücken rechtzeitig zu beheben.
Für alle Systeme müssen Sie sie während ihres gesamten Lebenszyklus warten und aktualisieren. Dazu gehören die Installation von Sicherheitspatches, die Aktualisierung von Konfigurationen, wenn sich die Bedrohungen weiterentwickeln, und die sichere Außerbetriebnahme von Systemen am Ende ihrer Lebensdauer (Sicherstellen, dass Daten ordnungsgemäß gelöscht, Lizenzen außer Betrieb genommen werden usw.).
Der Umgang mit und die Offenlegung von Sicherheitslücken sind von entscheidender Bedeutung. Sie müssen über ein Verfahren verfügen, mit dem Sie Sicherheitslücken identifizieren (durch eigene Tests, Bewertungen durch Dritte oder Offenlegungen von Anbietern), sie je nach Risiko priorisieren und Korrekturen vornehmen können. Sie müssen auch an der koordinierten Offenlegung von Sicherheitslücken teilnehmen. Wenn Sie Sicherheitslücken in Software oder Diensten von Drittanbietern entdecken, sollten Sie diese dem Anbieter verantwortungsbewusst mitteilen und dem Anbieter Zeit geben, sie zu beheben, bevor Sie sie öffentlich bekannt geben.
Praktische Umsetzung
Dokumentieren Sie Ihre sicheren Entwicklungspraktiken, einschließlich sicherer Codierungsstandards und Anforderungen an die Codeüberprüfung. Implementieren Sie Tests auf Sicherheitslücken in der Entwicklung (statische und dynamische Analysen, Penetrationstests). Entwickeln Sie einen Prozess für das Schwachstellenmanagement mit klaren Zeitplänen für die Priorisierung und Behebung von Sicherheitslücken. Legen Sie Auswahlkriterien für Anbieter fest, die Sicherheitsanforderungen enthalten. Prüfen Sie die Sicherheitspraktiken der Anbieter, bevor Sie einen Vertrag abschließen. Von den Anbietern verlangen, dass sie sich zu zeitnahen Patches verpflichten. Halten Sie Ausschau nach Sicherheitspatches und wenden Sie diese umgehend an. Implementieren Sie einen Konfigurationsmanagementprozess, um Systemkonfigurationen zu verfolgen und zu aktualisieren. Richten Sie eine Richtlinie zur Offenlegung von Sicherheitslücken ein, in der beschrieben wird, wie Sie Sicherheitslücken den Anbietern melden. Führen Sie ein Inventar der Systeme und ihres Lebenszyklusstatus. Planen Sie die sichere Außerbetriebnahme von Systemen am Ende ihrer Lebensdauer ein.
Maßnahme 6 — Richtlinien und Verfahren zur Bewertung der Wirksamkeit
Artikel 21 Absatz 2 Buchstabe f schreibt „Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheitsrisikomanagement“ vor.
Man kann nicht einfach Maßnahmen umsetzen und davon ausgehen, dass sie funktionieren. Sie müssen regelmäßig überprüfen, ob Ihre Maßnahmen tatsächlich zur Risikominderung beitragen.
Diese Bewertung sollte Folgendes beinhalten: Überprüfung Ihrer Risikobewertungen, um sicherzustellen, dass sie Ihre aktuelle Bedrohungslandschaft genau widerspiegeln, Testen Ihrer Kontrollen, um sicherzustellen, dass sie wie geplant funktionieren, Durchführung von Sicherheitsaudits (intern oder von Drittanbietern), Überprüfung von Kennzahlen und wichtigen Risikoindikatoren (KRIs), die die Wirksamkeit der Kontrollen verfolgen, und die Einbeziehung der Auditergebnisse in Ihr Abhilfeprogramm.
Metriken sind wichtig. Sie können Folgendes verfolgen: Mean Time to Detect (MTTD) von Sicherheitsvorfällen, mittlere Reaktionszeit (MTTR), Prozentsatz der Systeme, die innerhalb Ihres Service Levels gepatcht wurden, Anzahl der festgestellten Verstöße gegen die Zugriffskontrolle oder den Prozentsatz der Mitarbeiter, die eine Sicherheitsschulung abgeschlossen haben. Diese Kennzahlen geben Ihnen Aufschluss darüber, ob Ihre Maßnahmen funktionieren.
Sie sollten eine jährliche Bewertung Ihrer allgemeinen Cybersicherheitsrisikosituation durchführen. Bei dieser Bewertung sollten Ihr Restrisiko (Risiko, das nach der Umsetzung Ihrer Maßnahmen noch besteht), Ihre Risikobereitschaft (wie viel Risiko Sie bereit sind zu tolerieren) und die Frage, ob Ihre Maßnahmen angemessen und wirksam sind, berücksichtigt werden.
Praktische Umsetzung
Definieren Sie Kennzahlen und KRIs, die die Effektivität der Kontrollen Ihrer wichtigsten Maßnahmen verfolgen. Richten Sie einen vierteljährlichen Überprüfungsprozess ein, bei dem Sie Kennzahlen bewerten und Trends identifizieren. Führen Sie mindestens einmal jährlich interne Audits der Cybersicherheitskontrollen durch. Beauftragen Sie mindestens einmal jährlich externe Gutachter mit der Durchführung von Penetrationstests, Schwachstellenscans oder Sicherheitsaudits. Dokumentieren Sie die Prüfungsergebnisse und erstellen Sie einen Plan zur Problembehebung mit klaren Verantwortlichen und Fristen. Berichten Sie Ihrem Leitungsorgan vierteljährlich über die Prüfungsergebnisse und den Stand der Abhilfemaßnahmen. Führen Sie eine jährliche Sicherheitsbewertung durch, die Ihre Risikobewertung, Auditergebnisse und Kennzahlen zusammenführt, um Ihre allgemeine Cybersicherheitslage zu bewerten.
Maßnahme 7 — Grundausbildung in den Bereichen Cyberhygiene und Cybersicherheit
Artikel 21 Absatz 2 Buchstabe g schreibt „grundlegende Cyberhygienepraktiken und Schulungen zur Cybersicherheit“ vor.
Cyberhygiene ist die Grundlage. Viele Sicherheitslücken nutzen grundlegende Hygienelücken aus: schwache Passwörter, ungepatchte Systeme, fehlende Multifaktor-Authentifizierung oder schlechte E-Mail-Sicherheit.
Zu den grundlegenden Cyberhygienepraktiken gehören: sichere Passwörter (oder Passphrasen) mit regelmäßigen Änderungen (oder kontinuierliche Überwachung auf Sicherheitslücken), Verbot der Weitergabe von Passwörtern, Implementierung von Passwort-Managern, Aktualisierung von Patches auf allen Systemen, Entfernung unnötiger Dienste und Zugriffe, regelmäßige Backups kritischer Daten, Einsatz von Antiviren- oder EDR-Tools (Endpoint Detection and Response), die Protokollierung von Sicherheitsereignissen und die Überwachung anomaler Aktivitäten.
Schulungen zur Cybersicherheit sind ebenso wichtig. Das gesamte Personal muss die grundlegende Sicherheitshygiene verstehen. Benutzer sollten die Phishing-Risiken verstehen, wissen, wie verdächtige E-Mails gemeldet werden können, wie wichtig es ist, keine Anmeldeinformationen weiterzugeben, und wie mit sensiblen Daten umzugehen ist. Entwickler sollten sicheres Programmieren verstehen. Systemadministratoren sollten sich mit der sicheren Konfiguration auskennen. Ihr Vorstand und Ihre Geschäftsleitung sollten sich mit den Cybersicherheitsrisiken und ihren Verantwortlichkeiten im Bereich Unternehmensführung auskennen.
Die Schulung sollte für das gesamte Personal bei der Einstellung verpflichtend sein und mindestens einmal jährlich aktualisiert werden. Die Schulung sollte auf die verschiedenen Rollen zugeschnitten sein (das technische Personal muss eingehender behandelt werden als das allgemeine Personal). Sie sollten den Abschluss der Schulung verfolgen und eine 100-prozentige Teilnahme voraussetzen.
Praktische Umsetzung
Definieren Sie die grundlegenden Cyberhygienestandards Ihres Unternehmens (Passwortrichtlinien, Patch-Management, Virenschutz, MFA, E-Mail-Sicherheit usw.). Veröffentlichen Sie diese Standards und teilen Sie sie allen Mitarbeitern mit. Implementieren Sie technische Kontrollen, um diese Standards nach Möglichkeit durchzusetzen (z. B. MFA auf VPNs durchsetzen, Antivirenprogramme auf Endpunkten vorschreiben, E-Mails auf Malware scannen). Führen Sie vierteljährliche Sensibilisierungskampagnen zu Phishing, Passwortsicherheit und Datenschutz durch. Bieten Sie jährlich rollenbasierte Schulungen an (allgemeines Sicherheitsbewusstsein für alle Mitarbeiter, sichere Codierung für Entwickler, sichere Verwaltung für IT-Mitarbeiter usw.). Verfolgen Sie den Abschluss der Schulung und setzen Sie sich mit denjenigen in Verbindung, die die Schulung nicht abgeschlossen haben. Führen Sie vierteljährlich eine Phishing-Simulation durch und verfolgen Sie, welche Benutzer auf simuliertes Phishing hereinfallen. Integrieren Sie Phishing-Ergebnisse in Ihr Sensibilisierungsprogramm.
Maßnahme 8 — Kryptografie- und Verschlüsselungsrichtlinien
Artikel 21 Absatz 2 Buchstabe h schreibt „Richtlinien und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung“ vor.
Kryptografie ist die mathematische Grundlage der modernen Cybersicherheit. Sie schützt die Vertraulichkeit, Integrität und Authentizität von Daten. Sie müssen über Richtlinien verfügen, die sicherstellen, dass Kryptografie in Ihrem gesamten Unternehmen angemessen eingesetzt wird.
In Ihrer Kryptografierichtlinie sollte Folgendes festgelegt sein: welche Daten verschlüsselt werden müssen (sensible personenbezogene Daten, Finanzdaten, geistiges Eigentum usw.), welche Verschlüsselungsstandards Sie verwenden werden (z. B. AES-256 für Daten im Ruhezustand, TLS 1.2+ für übertragene Daten), wie Verschlüsselungsschlüssel generiert, gespeichert und rotiert werden, wer Zugriff auf Verschlüsselungsschlüssel hat und wie die Verschlüsselung systemübergreifend verwaltet wird.
„Wo angemessen“ ist wichtig. Eine Verschlüsselung ist nicht immer erforderlich. Die Verschlüsselung unsensibler Betriebsdaten kann zu Komplexität führen, ohne dass dies Vorteile bringt. Sensible Daten müssen jedoch sowohl im Ruhezustand (wenn gespeichert) als auch während der Übertragung (bei Übertragung über Netzwerke) verschlüsselt werden. Über das Internet übertragene Daten sollten immer mit TLS oder gleichwertigen Standards verschlüsselt werden.
Sie müssen auch angeben, welche Verschlüsselungsstandards akzeptabel sind. Alte oder schwache Algorithmen sollten veraltet sein. Ihre Richtlinie sollte moderne Algorithmen (AES, SHA-256, TLS 1.2 oder höher) vorschreiben und schwache Algorithmen (DES, MD5, SSL 3.0) verbieten.
Die Verwaltung von Verschlüsselungsschlüsseln ist von entscheidender Bedeutung. Schlüssel sind oft der schwächste Punkt in kryptografischen Systemen. Sie müssen sicherstellen, dass die Schlüssel sicher gespeichert werden (nicht im Klartext in Code- oder Konfigurationsdateien), regelmäßig (jährlich oder häufiger) wechseln und nur autorisierten Systemen oder Mitarbeitern zugänglich sind.
Praktische Umsetzung
Klassifizieren Sie Ihre Daten nach Sensibilität (öffentlich, intern, sensibel, hochsensibel). Definieren Sie für jede Klassifizierung die Verschlüsselungsanforderungen. Erfordern Sie für vertrauliche Daten eine Verschlüsselung während der Übertragung mit TLS 1.2+ und eine Verschlüsselung im Ruhezustand mit AES-256. Überwachen Sie Ihre Systeme, um festzustellen, wo sensible Daten existieren, und stellen Sie sicher, dass sie verschlüsselt sind. Erstellen Sie für Systeme, die vertrauliche Daten noch nicht verschlüsseln, einen Plan zur Problembehebung. Implementieren Sie ein Schlüsselverwaltungssystem (KMS), das Verschlüsselungsschlüssel generiert, speichert und rotiert. Stellen Sie sicher, dass Schlüssel niemals in Code- oder Konfigurationsdateien gespeichert werden. Implementieren Sie Hardware-Sicherheitsmodule (HSMs) für hochsensible Schlüssel. Stellen Sie alte oder schwache Verschlüsselungsalgorithmen außer Dienst. Dokumentieren Sie Ihre Kryptografie-Richtlinien und veröffentlichen Sie sie den entsprechenden Teams. Nehmen Sie die Kryptografieanforderungen in Ihre Systemdesignprüfungen und Herstellerbewertungen auf.
Maßnahme 9 — Personalsicherheit, Zugangskontrolle und Vermögensverwaltung
Artikel 21 Absatz 2 Ziffer i schreibt „Personalsicherheit, Zugangskontrollpolitik und Vermögensverwaltung“ vor.
Ihre Mitarbeiter, Prozesse und Ressourcen sind potenzielle Angriffsflächen. Sie müssen den Zugriff sorgfältig verwalten.
Zur Personalsicherheit gehören: Zuverlässigkeitsüberprüfungen des Personals mit Zugang zu kritischen Systemen, Arbeitsverträge, die Sicherheitsverpflichtungen beinhalten, Schulungen zu Sicherheitsrichtlinien und sichere Kündigungsverfahren (sofortige Sperrung des Zugriffs, wenn Mitarbeiter das Unternehmen verlassen).
Die Richtlinien zur Zugangskontrolle sollten dem Prinzip der geringsten Rechte folgen: Den Mitarbeitern sollte nur das Minimum an Zugriffsrechten gewährt werden, das für ihre Arbeit erforderlich ist. Der Zugang sollte genehmigt werden, bevor er gewährt wird, regelmäßig überprüft und sofort entzogen werden, wenn er nicht mehr benötigt wird. Privilegierter Zugriff (z. B. Administratorkonten) sollte sorgfältig kontrolliert, überwacht und auf bestimmte Personen beschränkt werden, die geschult und zugelassen wurden.
Das Asset Management stellt sicher, dass Sie wissen, welche Systeme, Geräte und Daten in Ihrem Unternehmen vorhanden sind. Sie sollten ein Inventar der Hardware (Server, Computer, Telefone, Netzwerkgeräte), Software (Anwendungen, Bibliotheken, Patches) und Daten (welche Daten sind vorhanden, wo sind sie gespeichert, wer hat Zugriff) führen. Dieses Inventar hilft Ihnen, Sicherheitslücken zu identifizieren — ein System ohne Patches kann nicht repariert werden, wenn Sie nicht wissen, dass es existiert.
Praktische Umsetzung
Definieren und dokumentieren Sie Ihre Zugriffskontrollrichtlinie auf der Grundlage der geringsten Zugriffsrechte. Verlange von Managern, dass sie bestätigen, dass der Zugriff, der ihren Teams gewährt wird, angemessen und notwendig ist. Implementieren Sie Privileged Access Management (PAM) für Administratorkonten, wobei vor der Verwendung eine Genehmigung erforderlich ist und alle privilegierten Aktionen protokolliert werden müssen. Überprüfen Sie vierteljährlich den gesamten Benutzerzugriff und entziehen Sie den Zugriff, der nicht mehr benötigt wird. Widerrufen Sie den Zugriff sofort nach der Kündigung, wenn möglich vor dem letzten Tag des ausscheidenden Mitarbeiters. Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC), die den Zugriff auf der Grundlage von Aufgabenbereichen und nicht anhand von individuellen Namen zuweist. Pflegen Sie ein Inventar (Hardware, Software) und aktualisieren Sie es vierteljährlich. Verfolgen Sie den Lebenszyklus Ihrer Geräte (Erwerb, Bereitstellung, Aktualisierungen, Außerbetriebnahme). Verwenden Sie die Multifaktor-Authentifizierung für kritische Systeme und administrativen Zugriff. Dokumentieren Sie Zugriffsrichtlinien und fordern Sie alle Mitarbeiter mit Systemzugriff auf, eine Bestätigung zu unterschreiben.
Maßnahme 10 — Multifaktor-Authentifizierung und sichere Kommunikation
Artikel 21 Absatz 2 Buchstabe j schreibt „gegebenenfalls die Verwendung von Lösungen für die mehrstufige Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikationssysteme innerhalb des Unternehmens vor“.
Die Multifaktor-Authentifizierung (MFA) ist eine der wirkungsvollsten Kontrollen. Ein Passwort allein kann leicht kompromittiert werden (durch Phishing, Brute-Force oder Datenschutzverletzungen). MFA fügt einen zweiten Faktor hinzu — etwas, das Sie haben (ein Telefon), etwas, das Sie sind (biometrisch) oder etwas, das Sie wissen (Sicherheitsfragen) — sodass ein Angreifer, der ein Passwort stiehlt, immer noch keinen Zugriff erhalten kann.
Sie sollten MFA mindestens für kritische Systeme benötigen: VPN-Zugriff, Administratorzugriff, E-Mail-Systeme und jedes System, das vertrauliche Daten verarbeitet. Das Wort „angemessen“ bietet eine gewisse Flexibilität, aber bewährte Sicherheitsverfahren sprechen sich nachdrücklich dafür aus, MFA für jedes System vorzuschreiben, das Zugriff auf sensible Daten oder Verwaltungsfunktionen hat. Mitarbeiter auf Privatkundenebene, die auf nicht vertrauliche Systeme zugreifen, haben möglicherweise eine geringere Priorität, aber Konten mit hohen Rechten müssen MFA verwenden.
Die kontinuierliche Authentifizierung ist eine in der Richtlinie erwähnte Alternative. Das bedeutet, dass das System die Identität des Benutzers nicht einmal bei der Anmeldung authentifiziert, sondern kontinuierlich anhand von Verhalten, biometrischen Daten oder Gerätemerkmalen überprüft. Wenn die Identität nicht verifiziert werden kann, verlangt das System möglicherweise eine erneute Authentifizierung oder sperrt die Sitzung. Diese Methode ist weiter fortgeschritten und weniger verbreitet als MFA, stellt jedoch eine neue bewährte Methode dar.
Gesicherte Sprach-, Video- und Textkommunikation bedeutet, dass die interne Kommunikation verschlüsselte Kanäle verwenden sollte. E-Mails sollten verschlüsselt werden (entweder Ende-zu-Ende-Verschlüsselung oder verschlüsselter Transport). Sprach- und Videoanrufe sollten verschlüsselte Protokolle verwenden (z. B. TLS für Videokonferenzen, verschlüsseltes VoIP). Dadurch wird ein Abhören oder Abfangen verhindert.
Gesicherte Notfallkommunikationssysteme sind für die Reaktion auf Vorfälle von entscheidender Bedeutung. Wenn Ihr primäres Netzwerk gefährdet ist, müssen Sie über eine Kommunikationsmöglichkeit verfügen, die der Angreifer nicht abfangen kann. Sie könnten einen sekundären Kommunikationskanal (eine separate Telefonleitung, ein Funksystem, ein Out-of-Band-Nachrichtensystem) einrichten, den Einsatzkräfte nutzen können, wenn das primäre Netzwerk nicht verfügbar ist.
Praktische Umsetzung
Erteilen Sie MFA für alle VPN-Zugänge, Administratorkonten und alle Systeme, die sensible Daten verarbeiten. Verwenden Sie Authentifikator-Apps oder Hardware-Sicherheitsschlüssel anstelle von SMS (die abgefangen werden können). Für weniger kritische Systeme benötigen Sie mindestens sichere, eindeutige Passwörter. Implementieren Sie, falls möglich, eine kontinuierliche Authentifizierung für sensible Systeme (Analyse des Benutzerverhaltens, Überprüfung der Geräteidentität). Verschlüsseln Sie E-Mails bei der Übertragung (TLS) und optional im Ruhezustand. Verwenden Sie verschlüsselte Videokonferenzplattformen (Teams, Zoom mit aktivierter Verschlüsselung usw.). Erfordern Sie verschlüsselte Nachrichten für vertrauliche Konversationen. Richten Sie einen Out-of-Band-Kommunikationskanal (Telefonleitung, Funkgerät, Satellitentelefon) ein, den Einsatzteams nutzen können, wenn das Hauptnetzwerk ausgefallen ist. Testen Sie Ihre Notfallkommunikation vierteljährlich, um sicherzustellen, dass sie bei Bedarf funktioniert.
Zusammenstellen: Umsetzungsfahrplan für Artikel 21
Die zehn Maßnahmen sind miteinander verknüpft. Sie können sie nicht isoliert umsetzen.
Beginnen Sie mit den Maßnahmen 1 und 2: Dokumentieren Sie Ihre Prozesse zur Risikoanalyse und zum Umgang mit Vorfällen. Diese bilden das Fundament.
Maßnahme 6 hinzufügen: Legen Sie fest, wie Sie beurteilen werden, ob Ihre Maßnahmen funktionieren.
Fügen Sie Maßnahmen 3, 4 und 5 hinzu: Gehen Sie auf Ihre kritischen Abhängigkeiten ein (Geschäftskontinuität, Lieferkette, Systeme).
Fügen Sie die Maßnahmen 7, 8, 9 und 10 hinzu: Verstärken Sie Ihre Betriebskontrollen (Hygiene, Verschlüsselung, Zugriff, Authentifizierung).
Integrieren Sie alles: Stellen Sie sicher, dass Ihr Vorstand alle Maßnahmen genehmigt (Artikel 20), stellen Sie sicher, dass Sie Vorfälle melden können (Artikel 23), und stellen Sie sicher, dass Ihre Maßnahmen Ihrem Risikoprofil entsprechen (Artikel 21 Absatz 1).
Wichtige Erkenntnisse
- Die zehn Maßnahmen nach Artikel 21 Absatz 2 sind für alle wesentlichen und wichtigen Stellen verbindlich: Risikoanalyse und Sicherheitsrichtlinien, Umgang mit Zwischenfällen, Geschäftskontinuität, Sicherheit der Lieferkette, Entwicklung sicherer Systeme, Bewertung der Wirksamkeit, Cyberhygiene und Schulung, Kryptografie, Personal- und Zugangskontrolle sowie Multifaktor-Authentifizierung.
- Jede Maßnahme muss auf die Größe, das Bedrohungsprofil und das Geschäftsmodell Ihres Unternehmens zugeschnitten sein; „angemessen“ ist entscheidend — die Aufsichtsbehörden werden Sie nicht dafür bestrafen, dass Sie keine Maßnahmen ergreifen, die in keinem Verhältnis zu Ihren tatsächlichen Risiken stehen.
- Die Maßnahmen sind miteinander verknüpft und sollten als integriertes Programm umgesetzt werden; die Maßnahmen 1, 2 und 6 bilden die Grundlage; die Maßnahmen 3, 4 und 5 befassen sich mit kritischen Abhängigkeiten; die Maßnahmen 7, 8, 9 und 10 verschärfen die Betriebskontrollen.
- Die Sicherheit der Lieferkette (Maßnahme 4) ist neu und gemäß NIS2 verpflichtend; sie erfordert die Identifizierung kritischer Lieferanten, die Bewertung ihrer Sicherheitspraktiken, vertraglichen Anforderungen und Notfallpläne.
- Die Umsetzung erfordert dokumentierte Richtlinien, regelmäßige Tests und Bewertungen, klare Rollen und Verantwortlichkeiten sowie die Integration in die Unternehmensführung auf Vorstandsebene; bis zum 12. Mai 2025 müssen unverzüglich Maßnahmen ergriffen werden, um Lücken zu schließen.
