NIS2: Verpflichtende Angriffserkennung hat nicht ausgereicht

… weiter geht es mit dem Erfahrungsaustausch im Interview mit Klaus Lussnig.

(…)

Wie erfolgen Überprüfung und Meldung?

Bußjäger: Das Gute ist, dass die Nachweise eindeutig terminiert sind: Ein Re-Audit für das ISMS muss alle zwei Jahre erfolgen. Doch, wie gesagt, nur die Organisationen und Betreiber der definierten Anlagen zu definierten Dienstleistungen (kDL) der Sektoren und Schwellenwerte (> 500 Tsd. versorgte Personen) müssen aktuell den Nachweis zum ISMS erbringen. Das wird sich ändern!

Bringen Sie uns zwei, drei Beispiele, die für Produktionsunternehmen und für den Schutz von deren Produktionsnetzwerken relevant sind.

Bußjäger: 
Aus der Begleitung zur Einführung oder Verbesserung der Cybersecurity in Produktionsanlagen gibt es meines Erachtens drei wesentliche Punkte: 

  • Klare Verantwortung und passende Ressourcen, also Personal und Budget. 
  • Netzwerk- und System-Monitoringsysteme, sei es zur Identifikation der Assets, zur Erkennung von Anomalien, aber auch zum Sammeln der aktuellen Daten für die Verbesserung der Security. 
  • Härtung im Netzwerk und der Systeme. Hier gilt es, das Netzwerk zu segmentieren, die nicht benötigten Services auf den Geräten zu deaktivieren oder mindestens zu monitoren.

Würden Sie das auch für Österreich so übernehmen wollen, Herr Lussnig?

Klaus Lussnig: 
Ja!

(…)

Werden sich auch Unternehmen, die bisher nicht kritische Infrastrukturen waren, des Themas bewusst?

Lussnig: IT und OT wachsen zusammen. Jedes Unternehmen muss selbst zur Sicherheit des eigenen Netzwerkes, der eigenen Daten beitragen. Nur Betreiber, die ihr Netzwerk im Griff haben, die darin ablaufende Kommunikation kennen, kontrollieren und absichern, haben einen wichtigen Grundstock für die Sicherheit der Anlagenverfügbarkeit gelegt. Security ist ein wichtiger Aspekt für jedes Unternehmen – egal ob es den KRITIS-Anforderungen entspricht oder nicht.

Welchen Tipp hätten Sie durch die Erfahrungen in Deutschland an die österreichischen Kollegen?

Bußjäger: Ich möchte es nicht als Tipp für die Umsetzung der NIS2 in Österreich sehen. Wir sprechen mit den Kollegen des BSI und beteiligen uns aktiv im Teletrust und der Allianz für Cybersecurity des BSI. Das sind hervorragende Möglichkeiten zum Austausch. Dass die EINE organisatorische und technische Maßnahme für Systeme zur Angriffserkennung (SzA) konkret im ITSiG 2.0 beinhaltet ist, basiert auf der detaillierten Forensik der steigenden erfolgreichen Angriffe. Meist wäre der Schadensfall zu verhindern gewesen, hätten die Monate oder Wochen vorher erkennbaren Anomalien und Änderungen in der OT/IT der Betreiber Beachtung gefunden. Auch die Anforderung der Umsetzung eines Information Security Management Systems (ISMS) im ITSiG 1.0 beruht ja darauf, die Risiken zu identifizieren, zu behandeln und zu minimieren. Ein SzA ist die logische Schlussfolgerung, bei der sich aktuell dramatisch veränderten Bedrohungslage schnell reagieren zu können. Mit dem KRITIS-Dachgesetz und dem kommenden ITSiG 3.0 zeigt Deutschland, dass die Situation seit Pandemie und Krieg in Europa einer höheren und fokussierteren Beachtung der Sicherheit bedarf. Für Österreich würde ich sagen: Wenn es gut gemacht ist, dann darf man auch mal abgucken. Es ist 2023 und die Abhängigkeit der kritischen Dienstleistungen der Sektoren, die der Staat verantwortet, ist immens.

Erstveröffentlichung hier.