26.09.2023 – Kategorie: Cloud Computing, IT-Sicherheit

NIS2: Warum Unternehmen jetzt in Cloud-Security investieren sollten

NIS2 AxiansQuelle: gremlin - istock

Bis Oktober 2024 bleibt noch viel Zeit – diese Meinung hält sich hartnäckig in zahlreichen IT-Abteilungen deutscher Unternehmen. Spätestens bis dahin müssen alle EU-Staaten die neue EU-Richtlinie NIS2 in nationales Recht umgesetzt haben. Doch die vermeintlich großzügige Frist ist tückisch.

Innerhalb der Ampel-Koalition wächst der Druck, das Gesetzgebungsverfahren für das zugrunde liegende KRITIS-Dachgesetz möglichst bald nach der Sommerpause in nationales Recht einzubetten. Das IT-Sicherheitsgesetz 3.0 soll bis Ende 2023 und unter der Berücksichtigung des erweiterten Geltungsbereichs von NIS2 angepasst werden. [Akima1] Sobald das geschehen ist, gilt es für Unternehmen hierzulande ihre Cybersecurity zu überdenken. Die bisherige KRITIS-Verordnung betraf lediglich größere Unternehmen mit bedeutendem Versorgungsgrad, doch mit den neuen Vorschriften werden die Schwellenwerte erheblich sinken.Die für kritische Infrastrukturen geltenden Mindestanforderungen an die Cybersecurity richten sich daher zukünftig an eine breite Masse deutscher Firmen.

Doch was auf den ersten Blick als Einschränkung anmutet, ist in Wahrheit eine günstige Gelegenheit, etablierte IT-Sicherheitsstrategien zu hinterfragen und diese zu erweitern – gerade im Hinblick auf die Sicherheit von Anwendungen in der Cloud. Dass hierfür genug Zeit bleibt, ist ein Trugschluss. Genau das Gegenteil ist der Fall. Nur wer jetzt vorausschauend plant, wird langfristig profitieren.

NIS2: „Wesentliche“ und „wichtige“ Einrichtungen

Die neue EU-Richtlinie NIS2 determiniert „wesentliche“ und „wichtige“ Unternehmen. Anstatt wie in der Vergangenheit nach Schwellenwerten zu unterscheiden, werden betroffene Betriebe nach Inkrafttreten der Verordnung anhand „uniformer Kriterien“ ermittelt. Die Mindestanforderungen gelten für Organisationen mit 50 bis 250 Beschäftigten und einem Umsatz zwischen zehn und 50 Millionen Euro sowie einer Bilanz bis 43 Millionen Euro. Darüber hinaus müssen betroffene Unternehmen ihre Lieferketten absichern. Erforderliche Cybersecurity-Maßnahmen gelten damit auch für alle Zulieferbetriebe. Führungskräfte stehen in der Pflicht, sicherzustellen, dass die internen Maßnahmen den Sicherheitsanforderungen des KRITIS-Dachgesetzes und des IT-Sicherheitsgesetzes 3.0 entsprechen. Sollten sie das versäumen, drohen empfindliche Strafen: für „wesentliche“ Einrichtungen mehr als zehn Millionen Euro oder zwei Prozent des Jahresumsatzes, für „wichtige“ mindestens sieben Millionen oder 1,4 Prozent.

Cloud-Anwendungen im Fokus

Bei der Ausarbeitung der digitalen Sicherheitsarchitektur verdienen Cloud-Anwendungen besondere Aufmerksamkeit. Denn Cloud-Dienste kommen heute in einer Mehrheit der Unternehmen zum Einsatz und vergrößern die Angriffsfläche sowie die Anzahl der potenziellen Einfallstore. Vernachlässigen Unternehmen die Cloud, haben Hacker ein leichtes Spiel, Daten zu entwenden oder zu manipulieren. Betriebe, die in Cloud-Security investieren, erhöhen das Sicherheitsniveau und sind auch auf zukünftige Entwicklungen und strengere regulatorische Anforderungen vorbereitet. Ganzheitliche Sicherheitsmaßnahmen lassen sich nach Bedarf adaptieren – egal ob Private-, Public-, Hybrid- oder Multi-Cloud.

Für das richtige Cybersecurity-Konzept gilt es zunächst den Status quo zu überblicken. Die Analyse der Cloud-Umgebung und erhobene Daten können potenzielle Risiken offenlegen. Systeme wie ein Security Information and Event Management (SIEM) helfen unter anderem dabei herauszufinden, wie Anwendungen in der Cloud genutzt werden und wo die Sicherheit leidet. Daraus lässt sich ableiten, welche Maßnahmen sinnvoll sind.

Anforderungen an das Cybersecurity-Konzept

Es gibt vier wesentliche Anforderungen, die Unternehmen bei der Umsetzung eines Cybersecurity-Konzeptes berücksichtigen müssen:

  • Schutz am Netzwerk-Edge: Technologien wie unter anderem Firewalls sowie Intrusion Detection und Prevention Systeme (IDPS) bieten einen Schutz vor Bedrohungen aus dem Internet oder anderen externen Netzwerken.
  • SASE: Das Netzwerk-Edge ist nicht mehr nur On-Premises zu finden. Denn Anwendungen sind weiter verteilt als jemals zuvor. Das Sicherheitskonzept Secure Access Service Edge (SASE) stellt die Funktionen bereit, die eine sichere Konnektivität über verteilte Anwendungen, Geräte und User hinweg gewährleisten.
  • Zugriffssicherheit: Identity und Access Management (IAM)-Lösungen und Multi-Faktor-Authentifizierungen (MFA) schützen vor unbefugtem Zugriff auf Systeme und Daten.
  • Kontrolle über den Datenverkehr: Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP) schützen die Kommunikation innerhalb und außerhalb der Cloud-Umgebung.

Ihr ganzes Potenzial entfalten Lösungen erst, wenn Experten sie mit einer umfassenden Cloud-Security-Strategie sorgfältig konfigurieren und updaten. IT-Abteilungen in Unternehmen sind oft bereits mit dem Tagesgeschäft ausgelastet.Externe Dienstleister, sogenannte Managed Security Services Provider (MSSP), können hier wertvolle Unterstützung bieten. Spezialisten wie Axians überwachen Netzwerkgeräte, Cloud-Dienste und Endgeräte, prüfen Netzwerkverkehr und reagieren auf Risiken. Dessen Security Operation Center (SOC) nutzt Tools wie SIEM (Security Information and Event Management) und IDS/IPS (Intrusion Detection/Prevention) Systeme. Diese analysieren Daten und identifizieren Bedrohungen. Offenbart sich ein Risiko, reagiert das SOC und leitet konkrete Abwehrmaßnahmen ein.

In Zeiten des Fachkräftemangels bieten MSSPs vor allem Mittelständlern Unterstützung. Dennoch nutzen bisher nur knapp 30 Prozent ihre Dienste. (Quelle: Axians IT Security GmbH)

NIS2: Richtiger Zeitpunkt für Security-Maßnahmen

Vorausschauende und umfassende Investitionen in ganzheitliche Cloud-Security-Konzepte antworten effektiv auf zukünftige Cyberbedrohungen und strengere regulatorische Anforderungen wie NIS2. Sie schaffen eine resiliente sowie nachhaltige Sicherheitsarchitektur für kleine wie für große Betriebe. Unternehmen, die inhouse nicht über die nötigen Experten verfügen, können Cybersecurity auslagern – bestenfalls direkt zu Beginn der Umstrukturierungen mit externen Dienstleistern wie Managed Security Services Provider (MSSP) zusammenzuarbeiten. Diese entwickeln dann individuelle, maßgeschneiderte Cloud-Security-Strategien und unterstützen interne IT-Abteilungen bei der Umsetzung.

Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security. (Bild: Axians IT Security)

Über den Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security. Diese gehört zur Unternehmensgruppe Axians in Deutschland, die Teil des Markennetzwerkes für ICT-Lösungen von Vinci Energies ist. Mit ihrem ICT-Portfolio unterstützt die Gruppe Unternehmen, Kommunen und öffentliche Einrichtungen, Netzbetreiber sowie Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. (sg)

Lesen Sie auch: NIS2-Richtlinie: Wie Unternehmen diese für Security-Initiativen nutzen

Teilen Sie die Meldung „NIS2: Warum Unternehmen jetzt in Cloud-Security investieren sollten“ mit Ihren Kontakten:

Zugehörige Themen:

Beratung | Consulting, Cloud Computing (PaaS / IaaS / SaaS), Cloud-Sicherheit, Datensicherheit, Geschäftsstrategie, IT-Security | IT-Sicherheit | Cybersecurity, Netzwerke, Onlinerecht

Ähnliche Artikel

Scroll to Top