Cybersecurity : NIS2: Verpflichtende Angriffserkennung hat nicht ausgereicht

Was ist neben den bisher erwähnten Neuigkeiten noch als „Pflicht“ für Unternehmen dazugekommen?

Jens Bußjäger: Mit dem ITSiG 2.0 kam auch die Aktualisierung der Kritis-VO, die genauer Sektoren und die Anlagen beschreibt. Vor allem ist die Einführung eines Systems zur Angriffserkennung (SzA) hinzugekommen. Da sind organisatorische und technische Maßnahmen als „Muss“ gefordert. Das BSI hat hierzu sehr schnell eine Orientierungshilfe erstellt. Die Erfahrung zeigt also, dass Freiwilligkeit und nicht genau beschriebene Anforderungen im Betrieb nicht ausgereicht haben.

Wie erfolgen Überprüfung und Meldung?

Bußjäger: Das Gute ist, dass die Nachweise eindeutig terminiert sind: Ein Re-Audit für das ISMS muss alle zwei Jahre erfolgen. Doch, wie gesagt, nur die Organisationen und Betreiber der definierten Anlagen zu definierten Dienstleistungen (kDL) der Sektoren und Schwellenwerte (> 500 Tsd. versorgte Personen) müssen aktuell den Nachweis zum ISMS erbringen. Das wird sich ändern!

Bringen Sie uns zwei, drei Beispiele, die für Produktionsunternehmen und für den Schutz von deren Produktionsnetzwerken relevant sind.

Bußjäger: Aus der Begleitung zur Einführung oder Verbesserung der Cybersecurity in Produktionsanlagen gibt es meines Erachtens drei wesentliche Punkte:

• Klare Verantwortung und passende Ressourcen, also Personal und Budget.
• Netzwerk- und System-Monitoringsysteme, sei es zur Identifikation der Assets, zur Erkennung von Anomalien, aber auch zum Sammeln der aktuellen Daten für die Verbesserung der Security.
• Härtung im Netzwerk und der Systeme. Hier gilt es, das Netzwerk zu segmentieren, die nicht benötigten Services auf den Geräten zu deaktivieren oder mindestens zu monitoren.

Würden Sie das auch für Österreich so übernehmen wollen, Herr Lussnig?

Klaus Lussnig: Ja!

Wie geht es mit der Umsetzung von NIS2 – die Richtlinie ist ja schon in Kraft – in Österreich weiter?

Lussnig: Für mich ist das eine der größten Herausforderungen, denen ich entgegenblicke. Die Tools zur Umsetzung werden nicht günstiger, die Bedrohungen nehmen zu, Auditoren zur Zertifizierung und Überprüfung fehlen – der Zeitfaktor, das Risiko, der Aufwand hinter der Umsetzung, all das macht es der Versorgungsgewährleistung nicht einfacher. Aber da wir in Österreich, wie gesagt, erst mit der Umsetzung begonnen haben, kann ich zwar fix voraussagen, dass es eine Weiterentwicklung geben wird, kann aber noch nicht sagen, wie diese aussehen wird.

Welche Schritte setzt die öffentliche Hand? Und was müssen Unternehmen unabhängig davon jetzt schon tun?

Lussnig: Die großen kritischen Infrastrukturen in Österreich werden sich der Lage wohl langsam bewusst. Die Regulierung ist aber noch zu extensiv. Es kann nicht sein, dass nur die Versorger der großen Stadt verpflichtet sind. Hier wünschen sich alle Beteiligten genauere und konkretere Vorgaben von Seiten der Bundesregierung. Und hier schlummert noch großes Potenzial. Ein Information Security Management System (ISMS) machen auch schon viele, wobei die Qualität noch sehr unterschiedlich ist. Im Zuge der Auditierungen und des Erfahrungsaustausches wird dieses dann aber kontinuierlich verbessert. Das merken wir aktuell in den stark anwachsenden Nachfragen.

Werden sich auch Unternehmen, die bisher nicht kritische Infrastrukturen waren, des Themas bewusst?

Lussnig: IT und OT wachsen zusammen. Jedes Unternehmen muss selbst zur Sicherheit des eigenen Netzwerkes, der eigenen Daten beitragen. Nur Betreiber, die ihr Netzwerk im Griff haben, die darin ablaufende Kommunikation kennen, kontrollieren und absichern, haben einen wichtigen Grundstock für die Sicherheit der Anlagenverfügbarkeit gelegt. Security ist ein wichtiger Aspekt für jedes Unternehmen – egal ob es den KRITIS-Anforderungen entspricht oder nicht.

Welchen Tipp hätten Sie durch die Erfahrungen in Deutschland an die österreichischen Kollegen?

Bußjäger: Ich möchte es nicht als Tipp für die Umsetzung der NIS2 in Österreich sehen. Wir sprechen mit den Kollegen des BSI und beteiligen uns aktiv im Teletrust und der Allianz für Cybersecurity des BSI. Das sind hervorragende Möglichkeiten zum Austausch. Dass die EINE organisatorische und technische Maßnahme für Systeme zur Angriffserkennung (SzA) konkret im ITSiG 2.0 beinhaltet ist, basiert auf der detaillierten Forensik der steigenden erfolgreichen Angriffe. Meist wäre der Schadensfall zu verhindern gewesen, hätten die Monate oder Wochen vorher erkennbaren Anomalien und Änderungen in der OT/IT der Betreiber Beachtung gefunden. Auch die Anforderung der Umsetzung eines Information Security Management Systems (ISMS) im ITSiG 1.0 beruht ja darauf, die Risiken zu identifizieren, zu behandeln und zu minimieren. Ein SzA ist die logische Schlussfolgerung, bei der sich aktuell dramatisch veränderten Bedrohungslage schnell reagieren zu können. Mit dem KRITIS-Dachgesetz und dem kommenden ITSiG 3.0 zeigt Deutschland, dass die Situation seit Pandemie und Krieg in Europa einer höheren und fokussierteren Beachtung der Sicherheit bedarf. Für Österreich würde ich sagen: Wenn es gut gemacht ist, dann darf man auch mal abgucken. Es ist 2023 und die Abhängigkeit der kritischen Dienstleistungen der Sektoren, die der Staat verantwortet, ist immens.