[datensicherheit.de, 13.03.2025] Security-Teams kämpfen heutzutage mit einer Unmenge an Sicherheitslücken und kommen kaum hinterher, diese zu schließen – doch es gibt Hoffnung. Max Rahner, Senior Business Development Manager bei Tenable, erklärt im Gespräch mit datensicherheit.de (ds), wie Unternehmen ihre Exposure mit einem risikobasierten Schwachstellenmanagement systematisch priorisieren, das Verlustrisiko senken, die Vorgaben der NIS2-Richtlinie besser umsetzen und letzlich die Cybersicherheit zu erhöhen.

Max Rahner, Senior Business Development Manager bei Tenable, Bild: Tenable

ds: Herr Rahner, viele Unternehmen tun sich schwer damit, eine effektive und effiziente Cybersicherheit aufzubauen. Warum ist das so?

Derzeit gehen die meisten Unternehmen noch nach dem Gießkannenprinzip vor. Das heißt, sie adressieren ihre Schwachstellen unabhängig davon, in welchem Kontext diese auftreten. Von diesem Ansatz müssen wir wegkommen. Wer sich stattdessen zuerst um die Schwachstellen kümmert, die kritische Auswirkungen auf den Geschäftsprozess haben können, senkt das Risiko eines Ausfalls erheblich. Gartner etwa geht davon aus, dass Unternehmen die Wahrscheinlichkeit eines Geschäftsausfalls so dritteln können.

ds: Die Priorisierung von Schwachstellen ist demnach Teil eines guten Cyber-Risikomanagements.

Genau! Ein risikobasierter Ansatz wird im Übrigen auch explizit von NIS 2 und DORA gefordert. Dafür muss ich mir als Unternehmen zunächst Gedanken darüber machen, welches meine wichtigsten Geschäftsprozesse sind und wie diese mit meiner Technologie zusammenhängen. Wo gibt es Abhängigkeiten? Und welche Abhängigkeiten gibt es jeweils innerhalb meiner Technologien oder Geschäftsprozesse? Wer diese Zusammenhänge untersucht, kann seine wirklich kritischen Schwachstellen um einiges schneller beheben.

ds: Klingt einleuchtend. Eine robuste Cybersicherheit geht also über eine rein Technologie-zentrierte Perspektive hinaus, die in erster Linie die einzelnen Assets schützen will?

So ist es. Der technologische Aspekt ist zunächst einmal nachgelagert. Eine effektive Priorisierung von Schwachstellen folgt dem Grundgedanken, zuallererst die Umsatzgenerierung zu schützen, da diese für die meisten Unternehmen – von Sonderfällen wie Gesundheitseinrichtungen abgesehen, wo natürlich die Patientensicherheit im Vordergrund stehen muss – am wichtigsten ist. Dafür brauchen Unternehmen allerdings Klarheit darüber, wie ihre Geschäftsabläufe sind, wie sie ihr Geld verdienen. Der Schlüssel dazu kann Business Process Modeling sein, das die Prozesse analysiert und sauber beschreibt. Und da geht es um mehr als nur die IT, das betrifft das ganze Unternehmen. Eine Übersicht über Assets und Risiken zu erlangen, ist dabei heute schon Teil der meisten Security-Konzepte. Aber der entscheidende Punkt ist die Kenntnis der geschäftskritischen Prozesse, weil man nur so die unbedingt schützenswerten Systeme identifizieren kann. Und diese Prozesskenntnis fehlt in vielen Cybersicherheitsstrategien, um den notwendigen Zusammenhang zwischen Geschäftserfolg und Risiken durch den IKT-Einsatz herzustellen.

ds: Wie gehen Unternehmen konkret daran, dies umzusetzen? Wer muss alles eingebunden werden?

Die Entscheidung über die Priorisierung, also welche die wichtigsten Prozesse zur Umsatzgenerierung oder die geschäftskritischen Prozesse allgemein sind, kann nur auf der Führungsebene getroffen werden. Das bedeutet, dass jemand aus der Geschäftsführung diese Aufgabe übernehmen muss, da auch nur diese wirklich weiß, wo und wie die einzelnen Fäden letztendlich zusammenlaufen. Das kann ein IT-Leiter gar nicht leisten, und die NIS 2 betont auch explizit die Geschäftsführerhaftung ohne Delegierbarkeit des Risikos. Deshalb ist es im ureigenen Interesse der Führungsebene, Cybersicherheit zur Chefsache zu machen. Dabei läuft es immer auf die gleichen zwei Fragen hinaus: Kann ich meinen Geschäftsprozess beschreiben? Und kann ich auch die Technologien auflisten, die ich benötige, um den Geschäftsprozess auszuführen? Dafür müssen dann jeweils die einzelnen Abteilungen einbezogen werden, die im Detail meist den besseren Überblick darüber haben, welche Assets für sie unverzichtbar sind oder starken Einfluss auf ihre Arbeitsfähigkeit haben. Wir reden da zum Teil auch über so banale Dinge wie die Heizung, bei deren Ausfall die Maschinen in der Produktionshalle oder die Drucker für die Versandlabel nicht funktionieren. Bei der Analyse von Geschäftsprozessrisiken geht es aber um mehr als nur Technologie.

Nämlich?

Wenn das richtige Personal fehlt, oder es nur einen einzigen Admin für ein System gibt und keine Vertreterregelung für dessen Ausfall existiert, dann liegt das Risiko nicht im technischen Bereich. Und daraus folgt auch, dass der Begriff der Schwachstelle missverständlich sein kann.

ds: Inwiefern?

Bei dem Wort Schwachstelle denken deutschsprachige Security-Experten sofort an technische, also Software-Schwachstellen. In der NIS 2 steht Schwachstelle allerdings für jedwede Form von potenzieller Sicherheitslücke im Delivery-Prozess, egal ob es sich dabei um Personen, unzureichende Organisationsschritte, Fehlkonfigurationen, digitale Identitäten oder Software-Fehler handelt. Unter Umständen sind keine Software-Schwachstellen in einem Unternehmen vorhanden, aber trotzdem ist die Wertschöpfungskette des Unternehmens hochgradig verwundbar, weil zum Beispiel ein Cloud Service nicht richtig eingerichtet ist oder eine digitale Identität kompromittiert ist. Und auch bei technischen Schwachstellen geht es ja primär um diejenigen, die für einen Angreifer auch wirklich zu erreichen sind. Wir sind bei Tenable deshalb auch schon länger vom Begriff der Vulnerability abgerückt und sprechen von Exposure. Auch das gehört zu diesem neuen Ansatz von Cybersicherheit.

ds: Stichwort „neuer Ansatz“: Das Prinzip der Priorisierung von Schwachstellen wird ja eigentlich schon seit Längerem angewendet.

Das ist richtig, aber die Bewertungskriterien sind bislang nicht zielführend. In den meisten Security-Konzepten wird die Dringlichkeit, mit der Schwachstellen behoben werden, nach deren Wert im Common Vulnerability Scoring System, kurz CVSS, bestimmt. Die Security-Teams konzentrieren sich dann auf diese technisch hochkritischen Fälle mit CVSS 9 oder 10, während die Schwachstellen von mittlerer Schwere im Schnitt drei Monate offenbleiben und deshalb auch häufiger ausgenutzt werden. Zusätzlich kommt als dritter Faktor die eingangs gestellte Frage ins Spiel, wo die Schwachstelle auftritt. Ein CVSS-Score von 9 in einem abgeschotteten und segmentierten Netzwerk ist ein viel geringeres Risiko als eine Schwachstelle mit CVSS 5 oder 6 auf einem über das Internet zugänglichen Asset.

ds: Wie können Unternehmen ihre Schwachstellen denn differenzierter bewerten?

Indem sie Tools einsetzen, die den Kontext stärker einbeziehen. Bei Tenable bieten wir zum Beispiel zwei weitere Bewertungsoptionen. Die eine ist unser Vulnerability Priority Rating oder VPR. Dabei verknüpfen wir das CVSS mit unserer eigenen Threat Intelligence. So stellen wir fest, ob die jeweilige Schwachstelle zurzeit aktiv von Cyberkriminellen ausgenutzt wird. Eine Schwachstelle mit einem hohen CVSS-Score, die aber von niemandem ausgenutzt wird, erhält also ein niedriges VPR. Umgekehrt haben Schwachstellen von nur mittlerer Schwere, auf die sich die Angreifer aber regelrecht stürzen, ein sehr hohes VPR. Die zweite Bewertungsoption ist das Asset Criticality Rating, kurz ACR. Dieser Wert wird vom Anwender selbst auf einer Skala von 1 bis 10 vergeben. Unternehmen können damit granular festlegen, welchen Stellenwert ein Asset für die eigenen Geschäftsprozesse hat. An diesem Punkt wird klar, warum die Kenntnis der Geschäftsprozesse so entscheidend ist: Ohne diese ist die Abbildung des ACR sehr schwierig. Viele Unternehmen haben die entsprechenden Daten übrigens schon in ihrer CMBD – es lohnt sich also, sich umzusehen, wo im Unternehmen solche Daten schon erhoben werden, so dass wir sie übernehmen können.

Multipliziert man VPR und ACR, ergibt sich unser Asset Exposure Score. In diesen fließt also ein, wie wichtig ein Asset ist, ob und in welcher Kritikalität Schwachstellen vorliegen und wie aktiv diese Schwachstellen derzeit bereits ausgenutzt werden. Diese Bewertung lässt sich dabei nicht nur für Schwachstellen mit CVSS-Score vornehmen, sondern zum Beispiel auch für Fehlkonfigurationen in Cloud-Plattformen – wie etwa die Verwendung von Standardpasswörtern oder das Fehlen von Multi-Factor Authentication. Das Ergebnis ist eine maßgeschneiderte Priorisierung, mit der Unternehmen genau die Sicherheitslücken als Erstes beheben können, die das größte Risiko für ihre Geschäftsprozesse darstellen.

[datensicherheit.de, 20.11.2023] Die beiden europäischen Rechtsakte sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, schlägt vor, Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.

Ingolf Rauh, Swisscom Trust Services, Bild: Swisscom Trust Services

Cyberangriffe sind für Unternehmen aller Branchen eine elementare Gefahr. Im selben Takt der wachsenden Bedrohungslage erlässt die EU neue Verordnungen, Richtlinien und Regularien. Für die Finanzwelt spannend sind aktuell vor allem NIS2 und DORA. Zwar helfen solche Vorgaben, die Resilienz zu stärken, allerdings erhoffen sich betroffene Parteien, wie Banken und ihre Software-Zulieferer häufig mehr gegenseitige Absprachen zwischen den Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, beziehungsweise mehr Abstimmung zwischen den einzelnen Mitgliedsstaaten der europäischen Union.

Unterschiede in den Rechtsvorschriften

• NIS2 (Network and Information Security 2) soll die Cybersecurity-Anforderungen für viele Bereiche der Grundversorgung und lebenswichtigen Infrastrukturen der EU harmonisieren. Sie stellt grobe Anforderungen, hohe Strafen bis auf Geschäftsleitungsebene, Meldungswege und Einrichtungen für die Cybersecurity in den Vordergrund. Sie ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet. Auch die Wettbewerbssituation kann dadurch in den verschiedenen EU-Ländern verzerrt werden.
• DORA (Digital Operational Resiliance Act) ist eine Verordnung, das heißt ein direkt gültiges, europäisches Gesetz und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft. Stellt NIS2 noch das Risikomanagement in den Vordergrund, konzentriert sich DORA mehr auf die Betriebsstabilität im Finanzsektor, sodass diese einem Cyberangriff standhalten kann und Finanzdienstleistungen weiter verfügbar sind. Die Ausgestaltung von Strafen wird hierbei den nationalen Behörden überlassen.

Beide Rechtsvorschriften setzen einen besonderen Schwerpunkt auf die Supply Chain. Software-Zulieferer müssen eng in das Riskmanagement und in die Betrachtung der Betriebsstabilität einbezogen werden. DORA legt hierbei Wert auf Pen-Tests und Sicherheitsüberprüfungen (alle drei Jahre), NIS2 erfordert zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Zu viele Zuständigkeiten

Schwierig wird es dann wieder bei den Zuständigkeiten: Für NIS2 entfällt die Prüfkompetenz in Deutschland auf das BSI bzw. die BaFin. Artikel 46 von DORA enthält eine ganze Reihe von Behörden, die darüber hinaus die Einhaltung der Regularien garantieren sollen – bestenfalls die EZB bzw. auch die BaFin.

Für den Bereich der Vertrauensdienste erarbeitet das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute; ETSI) gerade Anforderungen, die auch NIS2 mit beinhalten, sodass bestenfalls das Auditschema und auch die Meldekette eines Vertrauensdienstes dieselben bleiben könnte. Ein ähnliches Vorgehen wäre auch im Finanzsektor wünschenswert. Nichts verlangsamt die Maßnahmen gegen eine Cyberbedrohung mehr, als wenn Vorfälle im Dickicht der unterschiedlichen behördlichen Zuständigkeiten untergehen und Unternehmen ganze Meldeorganisationen aufrechterhalten müssen, um im Fall der Fälle aktiv zu werden. Die damit einhergehenden erhöhten Kosten für die geforderte Cyber-Resilienz werden Finanzinstitute und andere NIS2-Betroffene letztlich an ihre Kunden weitergeben müssen. Eine Zusammenführung und Vereinfachung der Zuständigkeiten und Harmonisierung der Audits bzw. Zertifizierungen wäre also auch im Interesse der Verbraucher.

Weitere Informationen zum Thema:

datensicherheit.de, 05.06.2023
NIS2 – Neue Richtlinie für Cybersicherheit

[datensicherheit.de, 20.09.2023] Am 6. Oktober 2023 startet der Bayerische Verband für Sicherheit in der Wirtschaft (BVSW) eine Informationskampagne zum Thema IT-Sicherheit: Demnach soll der „Cyberherbst 2023“ neue Angriffsmethoden sowie gesetzliche Rahmenbedingungen thematisieren und Möglichkeiten aufzeigen, wie Unternehmen sich besser schützen können.

Abbildung: BVSW e.V.

BVSW Cyberherbst: Start am 6. Oktober 2023

Auftakt zum diesjährigen BVSW Cyberherbst ein Business-Frühstück in Präsenz

Boris Bärmichl, BVSW-Vorstand „Digital“, erläutert: „Cyber-Kriminalität ist mittlerweile Teil der Organisierten Kriminalität und stellt eine ernsthafte Bedrohung für die Gesellschaft dar!“ Um das Bewusstsein für diese Herausforderung zu schärfen, möchte der BVSW demnach mit seinem „Cyberherbst“ Einblick in die aktuellsten Entwicklungen geben.

Der „Cyberherbst“ soll laut BVSW Unternehmen, Behörden und Betreiber Kritischer Infrastrukturen (KRITIS) gleichermaßen sensibilisieren – „denn ein fundiertes Informationsniveau ist die Basis für jede Verteidigungsstrategie“. Auftakt zum diesjährigen „Cyberherbst“ soll ein Business-Frühstück in Präsenz sein, „bei dem über die Ermittlung des individuellen Schutzbedarfs einer Organisation gesprochen wird“. Alle weiteren Informationsveranstaltungen fänden dann online statt, „so dass Interessenten bequem von überall aus teilnehmen können“.

BVSW Cyberherbst 2023 widmet einen Tag der OT

Ein Tag der Informationskampagne werde der sogenannten Operational Technology (OT) gewidmet – also solchen Systemen, welche die industrielle Infrastruktur überwachen und steuern. „Im Rahmen der Digitalisierung wurden sie zunehmend vernetzt und mit dem Internet verbunden, oft ohne die notwendigen Sicherungsmaßnahmen.“

Ein besorgniserregender Trend sei, dass Cyber-Kriminelle zunehmend OT-Systeme ins Visier nähmen, „die in Bereichen wie Energie, Transport, Fertigung und Wasserversorgung eingesetzt werden“. Auch die Europäische Union (EU) habe diese Entwicklung erkannt und deshalb die NIS2-Richtlinie auf den Weg gebracht, „die deutlich mehr Unternehmen den kritischen Diensten zuordnet, als das bisher der Fall war“. Was das für Unternehmen bedeutet, werde beim „Cyberherbst 2023“ thematisiert.

Auch Darknet und KI auf der Agenda des BVSW Cyberherbstes

Eine weitere Veranstaltung werde sich dem sogenannten Darknet widmen, „wo ein Großteil der Kommerzialisierung der Cyber-Kriminalität stattfindet“. Darin werde Schadsoftware angeboten, ebenso wie gestohlene Daten oder Passwörter. Diesen versteckten Teil des Internets im Auge zu behalten, könne sehr aufschlussreich sein und Hinweise auf potenzielle Angriffe geben.

Auch das Thema Künstliche Intelligenz (KI) stehe auf der Agenda. Wie jede technische Neuerung bringe auch KI nicht nur Vorteile mit sich: Sogenannte Chatbots wie „ChatGPT“ beispielsweise könnten eingesetzt werden, um authentische Phishing-Mails zu verfassen. Damit werde es zukünftig immer schwerer, eine schädliche E-Mail zu erkennen: „Grund genug, um auch diesem Thema einen Beitrag zu widmen!“

Weitere Informationen zum Thema:

BVSW
BVSW Cyberherbst: Aktuelle Bedrohungen kennen und abwehren

BVSW
IT & Digital

[datensicherheit.de, 05.06.2023] Die NIS2-Richtlinie stellt innerhalb der Europäischen Union neue Anforderungen an das Management der Cybersicherheit. Öffentliche Einrichtungen und private Unternehmen sind verpflichtet, die Bestimmungen regelkonform umzusetzen. Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, nimmt im Gespräch mit Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, aus Expertensicht zu wichtigen Fragen rund um NIS2 Stellung.

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, Bild: WALLIX

ds: Herr Rabben, was genau verstehen wir unter der NIS2-Richtlinie?

Rabben: Die im Dezember 2022 veröffentlichte NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016. Ziel der Europäischen Union war es damals, „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ zu initiieren. NIS2 geht nun deutlich darüber hinaus und erweitert das Regelwerk. Die Notwendigkeit hierfür sah die EU in dem stark zunehmenden Bedrohungspotenzial durch Cyberkriminelle. NIS2 soll dazu beitragen, im gesamten europäischen Raum ein Maximum an IT-Sicherheit zu gewährleisten. Darüber hinaus dient die neue Richtlinie dazu, die nationalen Maßnahmenpakete der EU-Mitgliedstaaten auf ein einheitliches Fundament zu stellen. Diese sind verpflichtet, NIS2 innerhalb von etwa 20 Monaten in nationales Recht zu überführen.

ds: Worin unterscheiden sich die beiden Richtlinien im Wesentlichen?

Stefan Rabben: Der Regelungsbereich der NIS-Richtlinie umfasste neben konventionellen IT-Systemen und Netzwerken auch die Kritischen Infrastrukturen (KRITIS). NIS2 erweitert nun den ursprünglichen Anwendungsbereich: Das Regelwerk gilt für sogenannte wesentliche und wichtige Einrichtungen sowie für Institutionen der öffentlichen Verwaltung. Diese sind in der Pflicht, alle sicherheitsrelevanten Vorfälle in ihren IT-Systemen unverzüglich zu melden. Zudem müssen sie diverse Kontrollverfahren der nationalen Aufsichtsbehörden zulassen.

ds: Welche Sanktionen drohen bei Nichteinhaltung?

Stefan Rabben: Wird die Richtlinie missachtet, können die Behörden empfindliche Bußgelder anordnen. Halten die betroffenen Einrichtungen und Unternehmen die Anforderungen von NIS2 nicht konsequent ein, müssen die EU-Mitgliedsstaaten ihre Sanktionen gegenüber der NIS-Richtlinie sogar noch verschärfen. So können gegen wesentliche Einrichtungen Bußgelder von bis zu zehn Millionen Euro oder in Höhe von zwei Prozent des weltweiten Umsatzes erlassen werden.

ds: Worauf müssen Unternehmen bei der Umsetzung der neuen Richtlinie achten?

Stefan Rabben: Die NIS2-Richtlinie bringt für die jeweiligen Einrichtungen beträchtlichen organisatorischen Aufwand mit sich, was die Anpassung ihrer IT-Infrastrukturen betrifft. Um die erforderlichen Sicherheitsmaßnahmen zu realisieren und die entsprechenden Risiken einzudämmen, müssen die Akteure die typischen Gefahren neuer Technologien und IT-Praktiken im Detail kennen. Daher ist eine regelmäßige Risikobewertung und Einschätzung von Cybergefahren durchzuführen. Wesentliche und wichtige Einrichtungen sind darüber hinaus zur Umsetzung vorbeugender Maßnahmen zur Abwehr von Angriffen auf die IT-Sicherheit verpflichtet. Hierfür benötigen sie ausgefeilte technische Lösungen, welche die entsprechenden Anforderungen gezielt adressieren.

ds: Welche Maßnahmen unterstützen hierbei konkret? Und wie lassen sie sich technisch realisieren?

Stefan Rabben: Eine zentrale Rolle in diesem Kontext spielt ein durchdachtes Identitäts- und Berechtigungsmanagement. Dies hilft betroffenen Einrichtungen dabei, effektive Maßnahmen zur Prävention und Erkennung von Cybergefahren zu ergreifen und dadurch ein Maximum an Compliance-Sicherheit zu gewährleisten. Essenziell ist hierbei die Implementierung eines dreistufigen Sicherheitsverfahrens aus Identifizierung, Authentifizierung und Autorisierung. Dies stellt sicher, dass ausschließlich legitimierte Personen auf sensitive Applikationen und kritische Daten zugreifen können. Eine weitere Anforderung von NIS2 betrifft die umfassende Gewährung von Zugangsrechten zu privilegierten Konten. Eine praktikable Lösung hierfür bilden Tools für die privilegierte Zugangskontrolle (Privileged Access Management, PAM) wie etwa der PAM4ALL-Ansatz von WALLIX. Dieser erlaubt IT-Administratoren ein zentrales Management sämtlicher User und Systeme. Dies stellt sicher, dass ausschließlich legitimierten Anwendern zur richtigen Zeit der Zugang zu vertraulichen Ressourcen gewährt wird. Organisationen profitieren dadurch von einem optimalen Schutz ihrer Daten vor Cyberangriffen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2022
NIS2: Neue EU-Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit