Westermo Security-Spezialist Erwin Lasinger über einfache Security-Maßnahmen bis hin zu NIS2
Steigende Vernetzung steigert auch die Verwundbarkeit unserer Netzwerk-Infrastrukturen. Dies bedeutet, dass unsere kritischen Dienste nicht einfach so ungeschützt betrieben werden können und zukünftig auch dürfen. Zahlreiche Beispiele der jüngsten Vergangenheit haben dies immer wieder bestätigt. Auch die Gesetzgebung auf europäischer Ebene hat dies erkannt und darauf mit Mindeststandards bzw. Mindestanforderungen reagiert. Westermo Security-Spezialist Erwin Lasinger beginnt bei den Security-Basics und spricht über das „heiße Thema“ NIS2.
Sechs einfache Schritte zur Sicherung von Netzwerken
Die Gewährleistung der Sicherheit eines Datenkommunikationsnetzes ist eine nie endende Aufgabe, da jeden Tag neue Schwachstellen aufgedeckt werden. Die Methoden zur Verhinderung unbefugten Zugriffs und zum Schutz vor Angriffen auf die Cybersicherheit sind je nach Branche unterschiedlich. Durch proaktives Handeln können Netzwerkadministratoren jedoch Sicherheitsverletzungen vorbeugen und im Falle eines Vorfalls vorbereitet sein. Westermo ist für sein hohes Security-Level bekannt und hat als für jedes Unternehmen wichtige Maßnahmen folgende sechs einfache Schritte definiert, um die Sicherheit deutlich zu erhöhen und das Risiko von Cyberbedrohungen zu verringern:
- Standardkennwort ändern und Kennwortstärke erhöhen
- Ungenutzte Ports deaktivieren und genutzte Ports überwachen, um ein direktes unbefugtes Anstecken am Netzwerk zu verhindern
- Ungenutzte Verwaltungsdienste deaktivieren Sichere Verbindungen wie HTTPS und SSH verwenden
- Firmware regelmäßig updaten Idealerweise über ein Software-Konfigurations-Tool
- Datum und Uhrzeit einstellen, um das Systemprotokoll nachvollziehbar zu nutzen
- Schwachstellen überwachen, um möglichst schnell auf Sicherheitslücken reagieren zu können
NIS2 Netzwerk- und Informationssystem-Sicherheits-Richtlinien
NIS steht für „Network and Information Security“ und regelt die Sicherheit der Netz- und Informationssysteme von Unternehmen und Institutionen in der EU. Die derzeit geltende NIS-Richtlinie aus 2016, die in Österreich 2018 mit dem NIS-Gesetz umgesetzt wurde, soll nun durch die NIS2-Richtlinie ersetzt werden – jedoch, es fehlt in Österreich der Gesetzesbeschluss, um eine detaillierte Vorgehensweise für Unternehmen exakt ableiten zu können. Experten empfehlen nun den sehr wahrscheinlich von NIS-2-betroffenen Betrieben, planmäßig weiterzumachen und sich am veröffentlichten Gesetzesentwurf zu orientieren.
Moderne Netzwerke erfordern moderne Sicherheitsmaßnahmen
Die Inhalte des NIS2-Gesetzesentwurfes sind nicht zwingend alle neu erfunden worden, sondern greifen immer wieder auf bewährte Standards zu. Die Zeitstrahl-Abbildung zeigt die Historie einiger der heute gängigen Standards. Dabei findet sich neben IT-Standards wie die ISO-27001 auch der in der OT-Welt aktuell am meisten referenzierte Standard der EN62443-Serie. Diese betrachtet nicht nur einzelne Teile, sondern das Gesamtsystem über den Lebenszyklus der Infrastruktur. Von der Planung bis hin zum Lebensende und vom Betreiber über den Systemintegrator weiter bis zum Hersteller. Nebenbei finden sich in der Grafik auch das entsprechende IT-Sicherheitsgesetz aus Deutschland. Dies kann als Vorreiter der NIS-Richtlinie aus dem Jahr 2015 betrachtet werden. Wobei dies lediglich den ersten Schritt eines regulatorischen Eingriffs der Gesetzgeber dargestellt hat. Kurz danach hat man in Deutschland mit dem IT-Sicherheitsgesetz 2.0 nachgebessert und Lücken, die das Security-Gesetz 1.0 noch offengelassen hatte, geschlossen. Typische Lücken die offengeblieben sind, waren unter anderem ein Mindeststandard für eine geeignete Angriffserkennung.
Blicken wir nun in die nahe Zukunft, tritt mit einem Gesetzesbeschluss zu NIS2 eine neue Definition der Schwellwerte in Kraft und steigt die Zahl der betroffenen Unternehmen um ein Vielfaches. Zusätzlich zu den neuen Grenzwerten wurden auch die betroffenen Sektoren neu definiert. Hier kann als Beispiel der Abwassersektor herangezogen werden. Eine Prüfung, ob man als Betreiber von der NIS2.0 betroffen ist, ist gegebenenfalls nicht ganz so einfach. Gerade bei verschachtelten Unternehmensgeflechten ist dies über entsprechende Juristen zu klären. Generell sieht der aktuelle Gesetzestext 13 Anforderungen vor. Diese beinhalten unter anderen das altbekannte Minimalprinzip, in dem User nur die Berechtigungen bekommen, die zwingend notwendig sind. Weiters gibt es Anforderungen an Dokumentationen sowie ein umfangreiches Assetmanagement.
Mit Sicherheit gesetzeskonform?
Wir empfehlen, sich regelmäßig über die aktuelle Entwicklung auf den Websites des Gesetzgebers www.nis.gv.at und dem Online-Ratgeber der WKO ratgeber.wko.at/nis2/ zu informieren und bereitgestellte Unterlagen für Umsetzung der Anforderungen zu nutzen. Gerne stehen auch der Westermo Security-Spezialist Erwin Lasinger oder das Team von BellEquip für aktuelle Informationen zur Verfügung.
Weiterführende Links:
Hersteller: Westermo | Industrielle Ethernet Switches | Industrielle Router
Produktübersicht: Industrielle Netzwerktechnik | Industrielle Managed Netzwerk Switches