Für Unternehmen und Institutionen gelten besondere Sicherheitsanforderungen. Gleichermaßen sind diese dazu verpflichtet dem BSI nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Technikstand entspricht. MIDRANGE sprach mit Robert Babic, Managing Director Sales & Marketing bei byon, neben grundlegenden Aspekten zu KRITIS, auch über den Zusammenhang mit NIS-2 sowie welche Unterstützungen byon für Unternehmen bietet.
Beginnen wir von vorn: Was ist unter KRITIS zu verstehen?
KRITIS steht für „Kritische Infrastrukturen“ und bezeichnet Organisationen und Einrichtungen, die essenziell für das Funktionieren unserer Gesellschaft sind. Ein Ausfall oder eine Störung dieser Infrastrukturen hätte erhebliche Auswirkungen auf das öffentliche Leben, die Sicherheit und die Wirtschaft.
Wer fällt unter KRITIS und welche Bereiche gibt es?
Unter KRITIS fallen Unternehmen und Organisationen, die eine zentrale Rolle in bestimmten Sektoren spielen und deren Ausfall gravierende Folgen für Staat und Bevölkerung hätte. Die Bereiche umfassen Energie, Gesundheit, Transport & Verkehr, Finanz- und Versicherungswesen, Informationstechnik & Telekommunikation, Wasser & Abwasser, Ernährung sowie Staat & Verwaltung.
Was bietet die unabhängige Plattform OpenKRITIS Unternehmen? Und welche Art von Hilfe finden sie hier?
OpenKRITIS ist eine unabhängige Community-Plattform, die sich mit dem Schutz Kritischer Infrastrukturen befasst. Unternehmen finden hier Best Practices, Austauschmöglichkeiten mit anderen Betroffenen sowie praktische Werkzeuge zur Bewertung ihrer Sicherheitslage.
Das Ziel von OpenKRITIS ist es, Unternehmen mit relevanten Informationen, Handlungsempfehlungen und Open-Source-Tools zu unterstützen, um ihre Resilienz gegenüber Cyber-Bedrohungen zu erhöhen. Allerdings ist es für ein Unternehmen mit hoher Bedrohungslage ratsam, direkt auf einen spezialisierten Dienstleister wie byon zuzugehen und sich maßgeschneiderte Unterstützung zu suchen.
Die betroffenen Unternehmen werden in Kategorien unterteilt. Können Sie diese kurz nennen und erläutern?
Betroffene Unternehmen werden in verschiedene Kategorien unterteilt. Neben den Unternehmen der kritischen Infrastruktur, die klassischen KRITIS-Unternehmen, gibt es auch besonders wichtige Einrichtungen (BWE), die eine zentrale Rolle in bestimmten Branchen spielen und deshalb hohe Sicherheitsanforderungen erfüllen müssen. Zusätzlich gibt es die Kategorie der wichtigen Einrichtungen (WE), die ebenfalls bestimmte Mindestanforderungen einhalten müssen.
Welche Pflichten und Maßnahmen müssen von den betroffenen Unternehmen umgesetzt werden?
KRITIS-Unternehmen müssen vor allem technische Maßnahmen ergreifen, um ihre IT- und OT-Systeme vor Cyberangriffen zu schützen. Dazu gehören der Einsatz von Firewalls, SIEM-Systemen sowie EDR/XDR-Lösungen zur Überwachung und Abwehr von Bedrohungen. Darüber hinaus ist die regelmäßige Überprüfung der Sicherheitsinfrastruktur erforderlich, um Schwachstellen frühzeitig zu erkennen und zu beheben. Viele dieser Maßnahmen sind auch die Grundlage für gängige Sicherheitsstandards wie die ISO 27001-Zertifizierung. Unternehmen, die eine solche Zertifizierung anstreben, müssen bereits eine Vielzahl an Sicherheitsanforderungen erfüllen, was gleichzeitig ihre Cyber-Resilienz deutlich erhöht.
Was hat NIS-2 damit zu tun?
Die NIS-2-Richtlinie ist die überarbeitete Version der EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Kreis der betroffenen Unternehmen erheblich und legt strengere Vorgaben für den Schutz vor Cyberangriffen fest. Neben KRITIS-Unternehmen sind nun auch viele mittelständische Unternehmen in kritischen Sektoren verpflichtet, umfassendere Sicherheitsmaßnahmen zu ergreifen. Ziel ist es, einheitliche Mindeststandards in ganz Europa zu schaffen, die Kontrolle zu verschärfen und Unternehmen zur Einhaltung strengerer Cybersicherheitsrichtlinien zu verpflichten.
Die Umsetzung der NIS2-Regulierung ist in Deutschland vorerst gescheitert. Aber was können bzw. sollten betroffene Unternehmen dennoch jetzt tun?
Trotz der verzögerten Umsetzung in Deutschland sollten Unternehmen nicht abwarten, sondern bereits jetzt handeln. Die EU-Richtlinie tritt unabhängig von der nationalen Gesetzgebung in Kraft. Eine der wichtigsten Maßnahmen ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS). Ein ISMS umfasst strukturierte Prozesse zur Identifikation, Bewertung und Behandlung von Sicherheitsrisiken in einem Unternehmen. Es definiert organisatorische und technische Maßnahmen, um IT-Sicherheit systematisch zu verbessern und dauerhaft zu gewährleisten. Zusätzlich sollten Unternehmen ihre bestehenden Sicherheitslösungen analysieren, auf Schwachstellen prüfen und gegebenenfalls modernisieren. Sensibilisierungsmaßnahmen für Mitarbeiter sowie eine klare Strategie zur Reaktion auf Sicherheitsvorfälle sind ebenfalls essenziell. Da diese Maßnahmen komplex und ressourcenintensiv sind, ist es sinnvoll, sich hierbei die Unterstützung eines spezialisierten Security-Dienstleisters wie byon zu sichern, der Unternehmen gezielt bei der Umsetzung der Anforderungen begleitet.
Wie unterstützt byon aktuell betroffene Unternehmen?
Als erfahrener IT-Dienstleister mit tiefgehender Expertise im Bereich Cybersicherheit und als Managed Security Services Provider (MSSP) bieten wir Unternehmen umfassende Lösungen, um sich vor Cyberangriffen zu schützen und regulatorische Vorgaben zu erfüllen. Durch langjährige Erfahrung wissen wir genau, wo typische Einfallstore liegen und welche Schwachstellen besonders kritisch sind. Wir analysieren die individuelle Sicherheitslage eines Unternehmens und entwickeln darauf basierend maßgeschneiderte Lösungen. Dabei zeigen wir auf, welche Maßnahmen im jeweiligen Kontext den größten Mehrwert bieten, und setzen diese effizient um. Neben der technischen Umsetzung beraten wir unsere Kunden gezielt zur Erfüllung regulatorischer Anforderungen und begleiten sie bei der Optimierung ihrer Sicherheitsstrategie.
Sie bieten zwei technische Lösungen an: SIEM und EDR/XDR. Was ist darunter jeweils zu verstehen und worin unterscheiden sich die Lösungen?
SIEM (Security Information and Event Management) sammelt und analysiert sicherheitsrelevante Daten aus verschiedenen IT-Systemen, erkennt verdächtige Aktivitäten und hilft, Angriffe frühzeitig zu identifizieren. EDR (Endpoint Detection and Response) hingegen konzentriert sich auf den Schutz einzelner Endgeräte wie PCs und Server, indem es verdächtige Aktivitäten überwacht und auf Bedrohungen reagiert. XDR (Extended Detection and Response) erweitert diesen Ansatz, indem es Sicherheitsdaten aus verschiedenen Quellen wie Endpoints, Netzwerk und Cloud kombiniert und durch KI-gestützte Analyse umfassenden Schutz bietet. Während SIEM vor allem für zentrale Überwachung und Compliance entscheidend ist, ermöglichen EDR/XDR eine tiefgehende Bedrohungserkennung und -abwehr auf Endgeräten. Eine Kombination beider Technologien bietet einen umfassenden Schutz vor Cyberangriffen.
Quelle: byon