DSGVO & NIS | Strengere gesetzliche Regeln für die Cybersicherheit

Unternehmen mit hohem Vernetzungsgrad und IoT-Infrastrukturen sind von der DSGVO und NIS-Richtlinie ab Mai 2018 betroffen.

Autor: Roman Hohl, Country Manager Switzerland & Austria bei Palo Alto Networks.

Die Sicherheitssituation in hochgradig vernetzten Umgebungen, wie etwa von Fertigungsunternehmen und Infrastrukturbetreibern, ist völlig anders als in herkömmlichen IT-Umgebungen. Mobile Geräte, die fortschreitende Vernetzung, unzählige Sensoren und das entstehende Internet der Dinge schaffen veränderte Rahmenbedingungen. Neue Technologien wie Smart Metering und Smart Grids sowie die allmähliche, aber unvermeidliche Entwicklung hin zum Zugriff über Internetprotokoll vergrößern die Angriffsfläche enorm.

Die Cyberangreifer haben es dabei nicht nur auf sensible Daten abgesehen, sondern versuchen auch, Prozesse zu stören. Die große Herausforderung für die IoT-Betreiber liegt in der asymmetrischen Situation zwischen Angreifern und Verteidigern: Angreifer müssen lediglich eine Schwachstelle in der Sicherheitsarchitektur finden, während die potenziellen Opfer stets für einen lückenlosen Schutz sorgen müssen. Das ist insbesondere industriellen Steuerungssystemen problematisch, da diese selten zu Wartungszwecken heruntergefahren werden können. Viele der nun vernetzten Endpunkte von IoT-Infrastrukturen sind zudem überhaupt nicht oder nur unzureichend geschützt, weil sie ursprünglich nicht für eine Internetanbindung konzipiert worden sind.

Sicherheit muss „dem Stand der Technik“ entsprechen

Sicherheitsmaßnahmen „auf dem Stand der Technik“, wie sie der Gesetzgeber fordert, sollen nun Abhilfe schaffen. Die Richtlinie zur Netz- und Informationssicherheit (NIS) gilt gerade für Unternehmen mit einem hohen Automatisierungs- und vernetzungsgrad. Sie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationalen Gesetze übernommen und von den Unternehmen eingehalten werden. Diese müssen bestimmte Maßnahmen vorweisen, um Störungen ihrer IT-Systeme zu vermeiden. Die Datenschutz-Grundverordnung (DSGVO/GDPR) gilt für Unternehmen, die in der EU ansässig sind oder Waren/Dienstleistungen, an EU-Bürger verkaufen oder das Verhalten der EU-Bürger, etwa über IoT-Endgeräte, erfassen. Die Verordnung verlangt hohe technische Standards beim Datenschutz. Stichtag ist hier der 25. Mai 2018. Bei Verstößen drohen hohe Bußgelder.

Die Zeit drängt, nicht nur wegen der beiden Stichtage. Spektakuläre Cyberangriffe und Datenklau in großem Stil häufen sich. Gezielte Angriffe auf prozesskritische SCADA-Systeme (Supervisory Control and Data Acquisition) und ICS-Netze (Industrial Control System) halten die Betreiber im Alarmzustand. Die Angriffstaktiken werden zunehmend anspruchsvoller und können erhebliche Störungen des täglichen Betriebs verursachen. Zudem werden künftig weitaus strengere Meldepflichten gelten, wenn es zu sicherheits- oder datenschutzrelevanten Ereignissen kommt. Sicherheitsverantwortliche benötigen daher vollständigen Einblick in die gesamte Kommunikation auf dem verteilten Netzwerk, um zu erkennen, wo das Unternehmen aktuell gefährdet ist. Die Geschwindigkeit, mit der sich neue Bedrohungen entwickeln, nimmt stetig zu. Die Angreifer agieren zunehmend automatisiert, um innerhalb von wenigen Stunden neue Sicherheitslücken auszunutzen, daher muss auch die Abwehr automatisiert werden.

Integrierte Plattform statt zusammengestückelte Infrastruktur

Eine immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten, herkömmlichen Sicherheitslösungen besteht, ist jedoch kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen. Abhilfe schafft eine moderne integrierte plattformbasierte Sicherheitslösung, die präventiv agiert, bekannte Bedrohungsszenarien abdeckt und neue, unbekannte Bedrohungen ebenso abwehrt. Technologien, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde, sind heute unerlässlich

Eine wichtige Komponente einer modernen Sicherheitsplattform ist ein intelligenter Endpunktschutz, bei dem ein Multi-Methoden-Ansatz herangezogen wird. Hierbei kommt eine Kombination von Malware- und Exploit-Erkennungsmethoden zum Einsatz, um bösartige Techniken zu stoppen, sobald ein Angriffsversuch gestartet wird. Maschinelles Lernen hilft bei der Analyse unbekannter ausführbarer Dateien. Dies erfolgt im Gegensatz zu herkömmlicher Antivirus-Software ganz ohne Signaturen, wodurch auch nicht gepatchte Endpunkte wie Kassenterminals effektiv geschützt werden können. Unterstützt und immer wieder aktualisiert wird der Endpunktschutz durch eine Bedrohungsanalyse-Cloud.

Zeitgemäße Lösungen wie diese erleichtern es erheblich, das Sicherheitsniveau von hochgradig vernetzten IoT-, Versorgungsinfrastruktur- und Fertigungsumgebungen an die bald geltenden Gesetzesneuerungen zügig anzupassen.