Auf das richtige Pferd setzen

In der NIS-2-Gesetzgebung ist wieder Bewegung. Nicht anders kann die Veröffentlichung der neuen Kabinettsversion des Umsetzungsgesetzes am 25.07.2025 gedeutet werden. Während NIS-2 in anderen Ländern wie Italien und Ungarn schon in Kraft ist und umgesetzt wird, müssen wir uns in Deutschland noch ein paar Monate gedulden. Die Regierungsneubildung machte den Neustart des Gesetzgebungsverfahrens notwendig. Dies nahmen viele Unternehmen zum Anlass, Ihre Überlegungen zum Aufbau eines Informationssicherheits­managementsystems (ISMS) auf Eis zu legen. Auch jetzt noch wollen viele Unternehmen die Unterschrift des Bundespräsidenten abwarten. Viele Entscheider befürchten zusätzliche Kosten und organisatorische Unruhe, die sie nur allzu gern in die Zukunft schieben. Des Weiteren besteht Unsicherheit in den geforderten Maßnahmen. Was ist, wenn geplante Maßnahmen am Ende nicht mehr erforderlich sind?

Die NIS-2-Maßnahmen haben sich nicht mehr verändert und werden sich auch nicht mehr verändern. Sie sind EU-Gesetz und die gegebene Aktualität unseres Artikels von 6. September 2024 beweist es.

Ob Sie betroffen sind oder nicht, können Sie mit einer Betroffenheitsprüfung entweder selbst oder mit Hilfe eines ISMS-Beraters unverbindlich feststellen. Die geforderten Maßnahmen sind im folgenden Schaubild aufgelistet. Die markierten Maßnahmen können wir mit vorhandenen, im Betrieb befindlichen Tools adressieren und zeigen in diesem Artikel, wie das geht.

Dies ist selbstverständlich die Kernkompetenz von i-doit und wenn Sie es bis jetzt nicht im Einsatz hatten, dann ist dies nun die gesetzgeberische Einladung für eine Einführung. Ein Assetmanagement, welches alle ITK-Werte eines Unternehmens umfasst, ist die Grundlage für ein Risikomanagement in einem Informationssicherheits­managementsystem. Nur so können objektiv Entscheidungen bezüglich Sicherheitsmaßnahmen getroffen werden. Nur so wird Nachweisbarkeit gewährleistet.

In einem Standard-Einführungsprojekt von i-doit erfassen Sie alle Server, Client-PCs, Anwendungen, Gebäude und Räume. Grafische Aufbereitungen zu Abhängigkeiten sind schon der erste Nutzen, den Sie für Ihre IT-Sicherheit aus dieser Datenerfassung ziehen. Dies wird für das Risikomanagement später noch essenziell.

Eine häufig angetroffene Schwachstelle und demnach Basisbestandteil unseres ISMS ist die Zuweisung von Verantwortlichkeiten innerhalb des Assetmanagements. Dazu nutzen Sie in i-doit die Kontaktzuweisung, wie im Schaubild anhand eines Servers gezeigt.

Es ist mühsam, jedem Asset einzeln einen Verantwortlichen zuzuweisen. Schnell geht die Anzahl der Server, Switche und Client-PCs in die Tausende. Hier zeigt der angesprochene IT-Servicekatalog bereits erstmalig seinen langfristigen Nutzen: Ob ein Server mehr oder weniger betrieben wird, sollte im Idealfall keinen großen Unterschied machen. Der IT-Service jedoch, der durch den Server bereitgestellt wird, stellt für das Geschäft des Unternehmens einen Wert dar. Und genau deshalb sollte es einen IT-Servicekatalog geben – samt einem Verantwortlichen für den Service.

In i-doit gehört dies zum Auslieferungszustand. Hier beispielhaft der IT-Servicekatalog in unserer i-doit-Demoumgebung samt Service-Manager in der Spalte "Kontakt (Rolle)":

Der Reportmanager erstellt daraufhin live eine Übersicht der IT-Services mit den Service Managern.

Administratorrechte sind das bevorzugte Ziel von Schadsoftware. Dementsprechend ist der Kreis der privilegierten Administratoren klein zu halten. Ob die Dokumentation der privilegierten Administratoren die Angriffsoberfläche verkleinert oder Schadensereignisse verhindert, ist fraglich. Aber für die Aufbereitung von Schadensereignisse ist diese Liste für Forensiker und Strafverfolger enorm hilfreich. Auch dies kann in i-doit im Standard geschehen. Wichtig ist dabei, auch die Anwendungen mit privilegierten Rechten zu erfassen, wie üblicherweise Virenscanner.

Im Abschnitt "Personal & die Benennung von Verantwortlichkeiten" wurde bereits ein Screenshot verwendet, der zeigt, wie man an einem Server unter Kontaktzuweisung die Administratoren pflegt. Mit dem Reportmanager erstellen wir dann eine Auflistung der Administratoren und kommen unserer Nachweispflicht nach.

Risikomanagement kann beliebig komplex und aufwendig gestaltet werden. Dabei darf der Aufwand nicht den Nutzen überschreiten. Der Nutzen des Risikomanagements begründet sich hauptsächlich auf den folgenden drei Outputs:

• Die Tätigkeit der Risikobewertung erhöht das Bewusstsein der bewertenden Person für Risiken bei der täglichen Arbeit. Deshalb soll die Risikobewertung durch den Fachbereich ausgeführt werden und nicht durch außenstehende Dritte.
• Es erfolgt eine Priorisierung der Risiken und Unterscheidung in wichtige und weniger wichtige Risiken.
• Die Abschätzung der möglichen Schäden erlaubt es, vertretbare Maßnahmen zu identifizieren, die in der Regel mit zusätzlichen Kosten einhergehen. Auch die Identifizierung von überflüssigen Maßnahmen ist so möglich. Mit überflüssig ist hier gemeint, dass die Kosten der Maßnahmen nicht zur Schadensreduktion der Risiken passen. Dieser Fall der Kosteneinsparung tritt hin und wieder auf und ist ein Kennzeichen eines wirksamen ISMS.

Der genannte Output rechtfertigt in der Regel nicht, jeden Client-PC oder Server einzeln einer Risikoanalyse zu unterziehen. Die meisten Methoden empfehlen auch die Gruppierung der Assets nach ihren Eigenschaften. Da diese Assetgruppierung per se keine Wiederverwendung in anderen Unternehmensprozessen findet, empfehlen wir die Definition von IT-Services als Abstraktion von einzelnen Assets.

Die Definition eines IT-Services kennt folgende Kriterien:

• Der IT-Service ist eine abgeschlossene Einheit, ähnlich einem Produkt.
• Der IT-Service unterstützt einen oder mehrere Geschäftsprozesse eines Servicenutzers.
• Der IT-Service sollte über ein Service-Level-Agreement (SLA) nach ITIL verfügen.

Ein Beispiel: Während ein einzelner Windows-Server zwar für den IT-Admin eine abgeschlossene Einheit und ein kaufbares Produkt darstellt, wird der Server allein z.B. nicht in der Rechnungserstellung verwendet. Erst der Betrieb einer ERP-Anwendung auf dem Server macht den ERP-Service für das Rechnungswesen nützlich für die Erstellung von Rechnungen. Die Verfügbarkeitsanforderung “Montag bis Freitag während der Geschäftszeiten 8 bis 17 Uhr” sind dann in einer SLA niedergeschrieben.

Der IT-Service ist nun unser Bindeglied im Risikomanagement zwischen den fachlichen Anforderungen und den Risiken durch die Schwachstellen seiner Komponenten. Der CMDB-Explorer des i-doit macht dies sichtbar.

Die NIS-2-Maßnahmen sehen vor, dass Sie für Ihr Unternehmen ein Risikomanagement einführen. Dieses muss die IT-Risiken Ihres Kerngeschäfts betrachten. Dass wir die IT-Risiken an den IT-Services erfassen und bewerten wollen, steht bereits fest. Für die potenziellen Schäden durch den Ausfall oder die Kompromittierung unserer IT-Services müssen wir wissen, in welchen Prozessen sie verwendet werden und finden diese Information in Aeneis.

Aeneis ist ein BPM-Werkzeug, welches die Prozesse des Unternehmens dokumentiert. Oft wurde es für ein Qualitätsmanagement, ein ERP-Projekt oder die stringentere Ausrichtung auf die Unternehmenskunden eingeführt und damit Prozesse von den Fachbereichen erfasst.

Im eingangs angesprochenen Webinar wird gezeigt, wie der Schutzbedarf der Prozesse in puncto Verfügbarkeit, Integrität und Vertraulichkeit sich auf IT-Services vererbt und die IT-Risiken mithilfe des G0-Bedrohungskatalogs des BSI erfasst werden. All dies geschieht in demselben Tool, in dem Fachabteilungen wie das Projektmanagementteam oder das Rechnungswesen ihre Prozesse beschreiben und gibt den IT-Sicherheitsblickwinkel für die Mitarbeitenden frei. Es werden keine Daten doppelt erfasst und die Interviews in den Fachbereichen wesentlich reduziert. Dieses erprobte Vorgehen spart spürbar Zeit und Nerven.

Nach den obigen Ausführungen sollte es nun einfacher sein, die vorhandene IT- und Prozessdokumentation um NIS-2-relevante Aspekte zu ergänzen und einen Teil der verpflichtenden Maßnahmen zu erfüllen.

Die hier gezeigte Lösung kommt ohne zusätzliche Tools und doppelte Datenpflege aus, dank SHD Connect (ehemals SM-VIEW Connect). Und ein Vorgehen wie nach dem “Pantoffel-Prinzip” macht die Arbeit des Informationssicherheits­beauftragten (ISB) leichter.