IT-Security Reloaded

NIS-Richtlinie und neue Tools für den Mittelstand

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alexander Haasper ist Management-Berater für Transition- und Komplexitätsmanagement und Geschäftsführer der Vineyard Management Consulting GmbH in Hofheim am Taunus.
Das EU-Parlament hat einer Richtlinie zur erhöhten Cybersicherheit zugestimmt. Diese muss nun in den nächsten beiden Jahren in nationales Recht umgesetzt werden.

Am 6. Juli 2016 hat das EU-Parlament mit großer Mehrheit dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit (sog. NIS-Richtlinie) zugestimmt. Diese EU-Richtlinie erweitert die Verantwortlichkeit von Betreibern kritischer Infrastrukturen. Auch große Online-Dienstleister wie etwa die Betreiber von Verkehrsknoten, Domain-Registrierungsstellen oder Online-Marktplätzen wie eBay oder Amazon sollen nun von den Security- und Meldepflichten erfasst werden. Suchmaschinen wie Google und Cloud-Anbieter sind von der Richtlinie ebenfalls betroffen. Die EU-Richtlinie muss in den nächsten zwei Jahren allerdings zuerst in nationales Recht umgesetzt werden.

IT-Sicherheit als Management-Aufgabe

In Deutschland sind die Betreiber kritischer Infrastrukturen bereits durch das seit etwa einem Jahr geltende IT-Sicherheitsgesetz dazu verpflichtet, bestimmte Sicherheitsstandards und Meldepflichten einzuhalten. Dieses Gesetz wird aufgrund der NIS-Richtlinie ebenfalls geändert werden müssen.

Aber auch Unternehmen, die nicht unmittelbar zum Adressatenkreis des vorgenannten Gesetzes gehören, richten das Management ihrer Informationssicherheit inzwischen oft an dem ISO 27001-Standard aus. Dies ist auch sinnvoll, denn auch für den Bereich IT-Security kann man sich ein Beispiel an den regulierten Industrien nehmen, in denen oftmals die Einführung und Zertifizierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001 bereits Pflicht ist. So hat etwa auch die Bundesnetzagentur (BNetzA) für die Strom- und Gasnetzbetreiber einen IT-Sicherheitskatalog verabschiedet, welche die Zertifizierung nach ISO 27001 bis 2018 anordnet. Auch die BaFin verweist in ihren MaRisk auf gängige IT-Standards wie ISO 27001 oder die BSI-Grundschutzkataloge. Die geplante MaRisk-Novelle wird dabei noch stärker auf IT-Sicherheitsaspekte Wert legen.

ISMS, ISO 27001 und SANS20

Da die Themen aus dem ISO 27001-Standard über die Linienorganisation häufig kaum noch vollumfänglich bearbeitet werden können, ist es in der Regel hilfreich, ein speziell auf das Unternehmen zugeschnittenes Framework zu entwickeln. Dazu sollten Quellen wie z.B. COBIT, NIST und SANS20 herangezogen werden. SANS20 stellt dabei aufgrund seiner Prioritäten und technischen Implementierungsdetails über die 20 Fokusthemen eine gute Orientierungshilfe dar, insbesondere für kleinere und mittlere Unternehmen - besonders in kaum oder in weniger regulierten Branchen. SANS20 ist dabei nicht als vollständig detaillierte Ausgestaltung eines ISMS zu verstehen, vielmehr wird die Implementierung bis auf die Ebene spezifischer Technologien konkretisiert.

Welche Trends werden über SANS 20 priorisiert?

Die neue Version 6.0, die am 15. Oktober 2015 vom CIS (Center of Internet Security) veröffentlicht worden ist, hat wesentliche Änderungen der Prioritäten der einzelnen 20 Fokusfelder vorgenommen. Hier sind an erster Stelle die deutlichen Heraufstufungen von Security Monitoring und eines kontrollierten Privileged Access Rights Management zu nennen. Zusätzlich wurde ein neues Fokusfeld auf der Ebene der 20 Control Areas eingeführt, das unmittelbar die Data Leakage-Risiken adressiert. Dieses soll die Konfiguration und Verwendung von Email-Systemen und Browsern sicherer machen. Das Fokusfeld "Sichere Entwicklung und Einsatz von Software" ist konsequenterweise in seiner Bedeutung herabgestuft worden, da der Einsatz von Fremdsoftware weiter steigt und sich die Software-Risiken häufig auf Lücken in Verschlüsselungs- und Authentifizierungsprozeduren sowie im Patching-Prozess zurückführen lassen. Diese sind bereits über die jeweiligen SANS20-Fokusfelder im Detail abgedeckt.

Die stetig steigende Anzahl an Cyber-Angriffen, die nun über die Presse auch einer breiteren Öffentlichkeit bekannt werden, lassen auch die Rufe nach einem effizienten Incident Management und speziellen Threat-Intelligence-Teams lauter werden. Für diese Disziplinen setzt die Automatisierung gerade erst richtig ein. Eine typische Herausforderung ist beispielsweise, in den Datenmengen die falschen Alarme herauszufiltern. Das Zusammenspiel zwischen Technik und den Teams gilt es weiter zu optimieren. Darüber hinaus ist die Transparenz zum aktuellen Sicherheitsniveau der Organisation ein Dauerthema. Viele Unternehmen entscheiden sich für die Einführung eine Systems von Key Compliance Indicators (KCIs) und die Einführung eines Compliance-Check-Tools.

Das Thema Data Leakage Prevention (DLP) hat inzwischen noch einmal neu an Fahrt aufgenommen. In diesem Zusammenhang gilt es, die Informationen im Unternehmen in Bezug auf ihre Kritikalität zu klassifizieren. Typischerweise geschieht dies in der Startphase manuell, in einer späteren Phase auch automatisiert. Entsprechend hoch priorisiert sind das Management von Privileged Access Rights, eine effektive Netzwerksegmentierung sowie der Aufbau von Hardware- und Software-Inventories in ihrer Verknüpfung mit dem Patch Management.

Framework für Cybersicherheit

Zur Entwicklung eines spezifischen Ansatzes für ein Unternehmen sollten die aktuellen Frameworks zur Cyber-Security als Pools für die Auswahl von Controls und IT-Security-Lösungen verstanden werden. Aus diesen Quellen sollte sich ein Unternehmen risikoorientiert auf der passenden Implementierungsebene bedienen. Im Idealfall auf Basis eines umfassenden Risk Assessments. Insbesondere SANS20 liefert für die praktische Umsetzung umfangreiche Hilfestellungen. Einige Aspekte wie z.B. technische Details bzgl. der Sicherheit in den Kommunikations-Kanälen "Voice" und "Print" werden allerdings auch nicht über SANS20 konkretisiert. Für das generelle Management von Informationssicherheit gilt es, sich an den ISO- und COBIT-Standards zu orientieren. Den KMUs sei hierzu auch ein "ISMS-light-Ansatz" empfohlen (etwa der "VdS 3473" - VdS-zertifizierte Cyber-Sicherheit), welcher in der Regel eine Vorstufe für eine mögliche ISO/IEC 27001- und BSI IT-Grundschutz-Zertifizierung darstellt.

Die Einsatzgebiete von SANS20 reichen von einer Standortbestimmung im Sinne einer Risikoanalyse, weiter über das Auswählen geeigneter konkreter Lösungen, bis zur laufenden Verfolgung von Aktivitäten und kontinuierlichen Bewertung der identifizierten Risiken. Fehlende Kontrollen eines IT-Security-Management-Systems lassen sich z.B. über ein Experten-Mapping von SANS20-Kontrols zu den ISO2700X-Standards identifizieren und entsprechend zielgerichtet ergänzen. SANS20 ist daher insgesamt ein Schlüssel-Framework, vor allem stark nach den allgemeinen IT-Security-Risiken fokussierendes "Tool", welches den Anwendern eine übergreifende Orientierung für die IT-Security-Solution bietet. (fm)