Um NIS2-Konformität zu erlangen, spielt Identitätssicherheit eine entscheidende Rolle. Fünf der zehn Anforderungen können damit angegangen werden. In den von der EU festgelegten Best Practices wird daher Identitätssicherheit auch als wichtiges Mittel genannt. Doch welche Bereiche lassen sich abdecken und welche Konzepte und Tools können Unternehmen nutzen?
Das Sicherheitskonzept für Informationssysteme muss Regeln für Identitäten enthalten, wie beispielsweise
- die Verwendung benannter Konten im Gegensatz zu allgemeinen Konten,
- die Kontrolle privilegierter Accounts,
- die Durchsetzung der Prinzipien Least Privilege und Zero Trust sowie
- die proaktive Identifizierung von Personen mit riskantem Zugang, die eine Gefahr für das Unternehmen darstellen.
Auch die Aufgabentrennung (Segregation of Duties, SOD) spielt eine wichtige Rolle bei der Kontrolle und Vermeidung von Geschäftsrisiken. Die Wirksamkeit dieser Regeln muss im Hinblick auf die Risikominderung gemessen werden. Identitätssicherheit bietet einen Einblick in die Realität der IT-Zugriffe sowie die Instrumente, um Abweichungen von den Richtlinien zu erkennen und zu korrigieren.
Sicherheit der Lieferkette
Ein weiterer wichtiger Aspekt von NIS2 ist die Sicherheit der Lieferkette. Unternehmen werden zunehmend indirekt durch Angriffe auf Identitäten von Nicht-Mitarbeitenden wie Lieferanten, Anbietern, Partnern, Auftragnehmenden und anderen bedroht. Eine erfolgreiche Attacke auf einen Zulieferer kann dazu führen, dass das Unternehmen selbst kompromittiert wird und in einigen Fällen nicht mehr handlungsfähig ist.
Diese Art von Angriff auf die Lieferkette wird immer häufiger als Malware- oder Ransomware-Attacken und muss sehr ernst genommen werden. Es ist von entscheidender Bedeutung, alle Identitäten zu verwalten und zu schützen, einschließlich der Identitäten von Dienstleistern, Lieferanten, Beratern oder Partnern. Dabei ist immer sicherzustellen, dass sie nur zur richtigen Zeit Zugang zu den benötigten Ressourcen haben.
Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement
Unternehmen haben oft Schwierigkeiten, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten oder Schwachstellen zu ermitteln, die trotz dieser Maßnahmen bestehen bleiben. Es fällt vielen schwer, ihren Mitarbeitern unverzüglich den Zugang zu entziehen, wenn diese ihre Rolle wechseln oder das Unternehmen verlassen.
Die Europäische Kommission empfiehlt, dass Betreiber kritischer Infrastrukturen Zero-Trust-Strategien und ein Identitäts- und Zugangsmanagement implementieren. Solche Ansätze implizieren, dass Berechtigte nur auf die nötigsten Systeme Zugriff haben – und zwar mit den geringstmöglichen Rechten. Dies kann für die Verwaltung des Zugangs von Partnern und Auftragnehmenden von grundlegender Bedeutung sein.
Schulungen und grundlegende Cyber-Hygiene
Für eine solide Cyber-Hygiene sollten Unternehmen einen Überblick über ihre gesamte Hard- und Software haben – und auch darüber, wer darauf zugreifen kann. Dazu gehört ebenso die Passwort-Hygiene. Um zu vermeiden, dass Beschäftigte für alle Konten das gleiche Passwort verwenden, können Unternehmen auf Identity Governance zurückgreifen: So lassen sich automatisierte Zugriffe auf eine ständig wachsende und sich verändernde IT-Umgebung gewährleisten und gleichzeitig potenzielle Sicherheits- und Compliance-Risiken reduzieren.
Die NIS2-Richtlinie schreibt auch vor, dass Beschäftigte, Partner und alle innerhalb des Unternehmens in Sachen Cyber-Sicherheit geschult und sensibilisiert werden müssen. Laut eines IDC-Berichts zur Umsetzung von NIS2 müssen drei Viertel der europäischen Unternehmen (72 Prozent) noch am Angebot ihrer Cybersecurity-Schulungen arbeiten.
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset Management
Die NIS2-Richtlinie verweist auch auf die „Sicherheit des Personals“. Dies ist ein sehr weit gefasster Bereich, zeigt aber auch, dass die Verwaltung von Benutzern ein wichtiger Aspekt der Cyber-Sicherheit ist. Denn die gezielte Ansprache von Benutzern stellt eine zentrale Methode für Cyber-Kriminelle dar. Die rollenbasierte Zugriffskontrolle – von menschlichen als auch maschinellen Identitäten – nutzt verschiedene Ressourcen und Berechtigungsstufen für die Rolle des jeweiligen Users.
Auf diese Weise können Unternehmen einen Identity-Governance-Ansatz verfolgen, bei dem Richtlinien mit Hilfe von KI und ML proaktiv entwickelt und umgesetzt werden. Gleichzeitig lässt sich aber auch der Kontext sowohl für den Benutzer als auch für die Ressource, auf die zugegriffen wird, einbeziehen. Dies vereinfacht den Verwaltungsaufwand für IT- und Sicherheitsteams und kann sicherstellen, dass Schwachstellen entschärft werden, bevor Cyber-Kriminelle sie ausnutzen können. (rhh)