Man kann nur schützen, was man kennt. Der altbekannte Spruch ist aktueller denn je, denn die NIS2 macht die konforme Absicherung kritischer IT-Infrastrukturen für viele neu betroffene Unternehmen verpflichtend. Welche Maßnahmen stehen an und warum ist dafür ein OT-Asset-Management erforderlich?
NIS2 – was steht konkret an?
Die NIS2 will ein hohes gemeinsames Cybersicherheitsniveau im Binnenraum erreichen. Dafür fordert sie von Unternehmen aus insgesamt achtzehn Sektoren die wirksame Umsetzung von Cybersecurity. Auch in Zeiten komplex vernetzter Supply Chains und zunehmender Cyberangriffe muss die Bevölkerung ausreichend versorgt und geschützt werden, und der Markt muss funktionieren. Deswegen sind die Kritischen Infrastrukturen im besonderen Fokus der Regulierung.
Das Kernthema der NIS2 ist das Risikomanagement. Betroffene Unternehmen werden zur regelmäßigen Durchführung einer Risikoanalyse verpflichtet und müssen darauf basierend entsprechende Security-Maßnahmen umsetzen. Außerdem müssen sie gewährleisten, dass ihr Betrieb auch im Störfall aufrechterhalten oder schnell wieder aufgenommen werden kann.
Verbindliche NIS2 Risikomanagementmaßnahmen
Risiken im Kontext Cybersecurity können durch technische und organisatorische Maßnahmen kontrolliert werden. Betroffene Unternehmen müssen sie nachweislich umsetzen.
Die NIS2 listet folgende Maßnahmen, die nach dem Stand der Technik umgesetzt werden müssen:
- Netzwerksegmentierung
- Sichere Konfiguration
- Identitäts- und Zugriffsmanagement
- Software-Updates
- Multifaktor-Authentifizierung
- Backup & Recovery
- Maßnahmen zum Krisenmanagement
Zu den grundlegenden Maßnahmen der Cyberhygiene zählt die NIS2 außerdem Zero-Trust-Grundsätze. Dabei wird Sicherheit im Inneren des Netzwerks etabliert, weil jeder Netzwerkteilnehmer bereits kompromittiert sein kann und eine Ausbreitung von Störungen verhindert werden muss. Für die Umsetzung der Zero-Trust-Sicherheitsstrategie spielen daher bekannte Basics wie Zugriffskontrollen, Monitoring, Authentifizierung und Verschlüsselung eine wichtige Rolle.
Ab wann gelten die neuen Vorgaben?
Bis wann Unternehmen NIS2 Vorgaben erfüllen müssen, liegt in der Richtlinie selbst begründet. Diese lässt den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit für die Umsetzung in nationales Recht. Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) ist derzeit in Arbeit. Auch wenn die konkrete Ausformulierung der Inhalte noch nicht feststeht und Unternehmen eine Übergangsfrist bleiben wird, so ist doch klar, was zu tun sein wird. Unternehmen sollten sich rechtzeitig darauf vorbereiten und bereits jetzt mit der Umsetzung beginnen. Aber wie?
Voraussetzungen schaffen
Um NIS2 Anforderungen zu erfüllen, müssen zunächst die erforderlichen Voraussetzungen geschaffen werden. So gut wie alle Security-Maßnahmen basieren auf aktuellen Informationen über den aktiven Bestand an OT-Assets sowie über relevanten Daten zu ihren Zuständen. Ohne diese Informationen ist eine Ist-Aufnahme als wichtiger Bestandteil der Planungsphase nicht möglich und Sie können nicht bestimmen, welche Assets für Ihre Prozesse kritisch sind.
Beim Start der einzelnen Security-Projekte sollten die notwendigen Rahmenbedingungen bereits geschaffen sein. Der Aufbau eines OT-Asset-Managements ist der erste Schritt, um Security-Anforderungen der NIS2 umsetzen zu können. Aber nicht nur das. Die Mehrwerte, die ein OT-Asset-Management bietet, gehen weit über die Security-Betrachtung hinaus.
Was leistet ein OT-Asset-Management?
Im Rahmen eines OT-Asset-Managements werden alle Assets in OT-Bereichen über ihren gesamten Lebenszyklus hinweg effizient verwaltet. Dafür werden Tools, Prozesse und Organisation entsprechend aufgesetzt und auf die individuellen Anforderungen in Ihrem Betrieb abgestimmt.
Das Asset Inventory listet alle im Betrieb befindlichen OT-Assets samt relevanter Daten wie Konfiguration, Firmware, Betriebssystem-Version, Patch-Stand und sogar den Standort im Werk auf.
Der größte Mehrwert eines OT-Asset-Managements für die Umsetzung von NIS2 Anforderungen ist Transparenz. Damit kann zunächst der Scope für einzelne Security-Projekte klar definiert werden. Die im Asset Inventory gelisteten Informationen sind notwendig, um Security-Maßnahmen entsprechend dem tatsächlichen Bedarf konzipieren zu können.
Wer profitiert vom OT-Asset-Management?
Im Kontext Security ist ein OT-Asset-Management eine unverzichtbare Grundlage. Darüber hinaus gibt es viele weitere Bereiche im Unternehmen, die davon profitieren! Klare Prozesse beispielsweise für die Inbetriebnahme oder für die Außerbetriebnahme von Geräten helfen auch der Instandhaltung und dem Betriebsengineering. Generell gilt: die eigentlichen Anwender sind meistens bis zu 90% in den sogenannten OT-Bereichen tätig, sie nutzen das OT-Asset-Management für ihr Tagesgeschäft.
OT-Asset-Management für NIS2 nutzen
Warum ein OT-Asset-Management so wichtig ist, um NIS2 Anforderungen umzusetzen, zeigen folgende konkrete Beispiele:
Riskoanalyse
Um die Risiken für OT-Assets bewerten, ihren Schutzbedarf bestimmen und Maßnahmen konzipieren zu können, müssen aktuelle Informationen verfügbar sein. Das betrifft beispielsweise den Patchstand von Assets. Alle relevanten Daten liefert das Asset Inventory.
Netzwerksegmentierung
Im Rahmen einer sicheren Netzwerkarchitektur werden OT-Assets gruppiert und in separaten Segmenten platziert, die über Firewalls geschützt werden. Der Gruppierung der Assets können beispielsweise ihr Schutzbedarf oder funktionale Aspekte zugrunde liegen. Ein OT-Asset-Management liefert die relevanten Informationen und hilft bei der Identifizierung der Assets.
Sichere Konfiguration
Wie die Konfiguration für jedes einzelne Asset aktuell ist (Ist-Zustand), kann dem Inventory entnommen werden. Nach der Implementierung einer definierten sicheren Konfiguration kann die Änderung im Verlauf jederzeit nachvollzogen und auf Basis valider Daten bei Bedarf angepasst werden.
Zugriffsmanagement
Zu bestimmen, wer auf ein Asset zugreifen muss und dafür autorisiert wird, kann sich auch auf physische Anforderungen beziehen, beispielsweise auf Geräte in einem Schaltschrank. Dafür muss klar sein, wo sich der Schaltschrank im Werk befindet. Im OT-Asset-Management sind neben definierten Regeln für den Zugriff auch Informationen über den Standort verfügbar.
Basis für technologischen Fortschritt
Der Nutzen von OT-Asset-Management bleibt nicht auf anstehende Security-Projekte beschränkt. Ein professioneller sicherer OT-Betrieb ist die Grundlage dafür, neue Technologien nachhaltig einsetzen zu können. Optimierungen und Effizienzsteigerungen in der Produktion werden immer wichtiger, um wettbewerbsfähig zu bleiben. Für zahlreiche Digitalisierungsprojekte wie beispielsweise Energiedatenmanagement ist Transparenz und definierte Prozesse für den gesamten Lebenszyklus von Assets unerlässlich.
In die Umsetzung für NIS2 Anforderungen starten
Die Basics für NIS2 Anforderungen müssen in vielen Unternehmen noch umgesetzt werden. Der Aufbau eines OT-Asset-Managements ist ein wichtiger Schritt, der im Rahmen der Vorbereitung auf die Security-Projekte in Angriff genommen werden sollte. Das geht nicht von heute auf morgen.
Zu definieren, welche Assets zur OT gehören (und welche nicht), alle relevanten Informationen für diese Assets zusammenzutragen und in ein passendes Tool zu überführen, ist aufwändig, genau wie die Ausarbeitung entsprechender Prozesse. Umso wichtiger, dass Sie jetzt damit starten, denn die eigentliche Arbeit, die Umsetzung der NIS2-Anforderungen, kommt erst noch.
Wie ein OT-Asset-Management aufgebaut werden kann, beschreiben wir in einem eigenen Artikel.
Fazit
Für einen schnellen Start in die Umsetzung von NIS2 Anforderungen und das Etablieren von nachhaltigen OT-Security-Maßnahmen brauchen Sie Klarheit und Transparenz zu Ihren Assets.
Das geht über die reine Security-Betrachtung weit hinaus. Ein OT-Asset-Management liefert aktuelle relevante Informationen, ohne die kaum ein OT- oder OT-Security-Projekt aufgesetzt werden kann. Der Start in die Umsetzung von NIS2 beginnt also mit dem Aufbau eines OT-Asset-Managements.
Checkliste: Angriffserkennung in KRITIS Betrieben
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.