In einer zunehmend vernetzten Welt, in der digitale Technologien jeden Aspekt unseres Lebens durchdringen, ist Cybersicherheit zu einem unverzichtbaren Anliegen für Unternehmen und staatliche Einrichtungen geworden. Angesichts der ständig wachsenden Bedrohungen durch Cyberangriffe hat die Europäische Union die Richtlinie über Netz- und Informationssicherheit (NIS-2) entwickelt, um die Resilienz und Sicherheit kritischer Infrastrukturen sowie Anbieter digitaler Dienste zu stärken.
Die NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit auf EU-Ebene zu harmonisieren und zu verbessern. Dabei legt sie Mindestsicherheitsanforderungen fest, die von Betreibern wesentlicher Dienste und Anbietern digitaler Dienste erfüllt werden müssen, sowie Maßnahmen zur Vorbeugung und Bewältigung von Cyberbedrohungen und -vorfällen.
Wen die Richtlinie betrifft
Institutionen und Dienste müssen selbstständig prüfen, ob sie von der Richtlinie betroffen sind und sind dazu verpflichtet, sich zu registrieren. Eine Benachrichtigung durch nationale Stellen ist nicht vorgesehen.
Betreiber und Institutionen können anhand ihrer Branchenzugehörigkeit sowie abhängig von Schwellenwerten (Anzahl Mitarbeitende oder Jahresumsatz) sowie einigen Sonderfällen feststellen, ob sie unter die Richtlinie fallen. Betroffene Branchen sind unter anderem Energieversorger, das Transportwesen und der Gesundheitssektor. Weitere Informationen finden sich dazu in den Anhängen der NIS-2-Richtlinie, nationalen Regierungsportalen wie dem BSI für Deutschland oder branchenspezifischen Verbänden. Es ist weiterhin möglich, externe Cybersecurity-Experten oder Berater zu konsultieren, die auf die NIS-Richtlinie spezialisiert sind. Diese können eine Bewertung durchführen und helfen, die relevanten Anforderungen und Verpflichtungen zu identifizieren.
Weiterhin ist es möglich, dass Einrichtungen in den in der Richtlinie genannten Sektoren und Teilsektoren sowohl wesentliche als auch nicht wesentliche Dienste erbringen können. Zum Beispiel bieten Flughäfen im Luftverkehrssektor Dienste an, die als wesentlich betrachtet werden könnten, wie das Management von Start- und Landebahnen, aber auch Dienste, die als nicht kritisch betrachtet werden könnten, wie die Bereitstellung von Einkaufsbereichen. In dem Fall müssen nur für die als wesentlich erachteten Dienste spezifische Sicherheitsanforderungen erfüllt werden.
Die Herausforderungen der NIS-2-Richtlinie
Die Vorgaben der Richtlinie sollen bis zum 17. Oktober 2024 in nationales Recht in den EU-Mitgliedsstaaten überführt werden. Das erfordert eine rasche Umsetzung der Maßnahmen von Regierungen sowie Institutionen.
Die Mitgliedstaaten müssen dabei sicherstellen, dass Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Diese Maßnahmen sollen die Risiken für die in der EU genutzten Dienste bewältigen und müssen dem aktuellen Stand der Technik sowie dem bestehenden Risiko angemessen sein.
Verpflichtungen für Betreiber und Dienste
Die jeweiligen Maßnahmen, die zur Einhaltung der NIS-2-Richtlinie erforderlich sind, hängen von den spezifischen Risiken und Bedrohungen der Sektoren und Bereiche ab. Im Allgemeinen nennt die Verordnung aber folgende Aspekte:
Cybersecurity-Maßnahmen nach dem „Stand der Technik“
Die Betreiber und Dienste, die von der Richtlinie betroffen sind, müssen Cybersecurity-Maßnahmen nach dem „Stand der Technik“ umsetzen. Diese juristische Formulierung wird verwendet, da die technische Entwicklung schneller voranschreitet als die Gesetzgebung erneuert wird. Außerdem unterscheiden sich die Maßnahmen je nach Branche und Institution, sodass keine allgemeingültige Beschreibung der Cybersecurity-Maßnahmen möglich ist. Institutionen können sich aber an internationalen Standards und Normen für Cybersecurity orientieren sowie an Best-Practice-Beispielen der jeweiligen Branche.
Sicherung der Systeme und Risikomanagement
Um die Integrität und Zuverlässigkeit kritischer Infrastrukturen sowie digitaler Dienste zu gewährleisten, sollten betroffene Institutionen mögliche Risiken für ihre Systeme und Anlagen umfassend prüfen und daraus Sicherheitsmaßnahmen ableiten. Beispielsweise durch den Aufbau eines Risikomanagements mithilfe von Standards wie ISO 27005 und BSI 200-3, die einen Rahmen und Leitlinien für die Identifizierung, Analyse und Bewertung von Risiken im Kontext der Informationssicherheit bieten. Die Auswahl und Umsetzung konkreter Maßnahmen zur Cybersicherheit sollten auf den Ergebnissen der Risikobewertung und den individuellen Anforderungen und Risikoprofilen der Organisation basieren.
Management von Sicherheitsvorfällen
Betreiber wichtiger Dienste sind verpflichtet, die jeweilige staatlich zuständige Institution (in Deutschland das BSI) umgehend über Sicherheitsvorfälle zu informieren. Die Behörden prüfen die möglichen Auswirkungen dieser Störungen und Beeinträchtigungen und unterstützen mit Maßnahmen zur Bewältigung von Sicherheitsvorfällen. Konkrete Maßnahmen, die Unternehmen für das Management von Sicherheitsvorfällen umsetzen können, sind unter anderem die Implementierung eines Incident-Response-Plans, der klare Verantwortlichkeiten, Eskalationswege und Handlungsschritte definiert, die Nutzung von Überwachungs- und Erkennungssystemen, um potenzielle Vorfälle frühzeitig zu identifizieren, aber auch der Aufbau von Partnerschaften mit externen Experten, um bei der Bewältigung von Sicherheitsvorfällen Unterstützung zu erhalten und Informationen auszutauschen.
Business Continuity Management
Ein gut durchdachtes BCM-Programm ermöglicht es Institutionen, sich auf unvorhergesehene Ereignisse vorzubereiten, die Geschäftskontinuität aufrechtzuerhalten und die Auswirkungen von Störungen auf ein Minimum zu reduzieren. Dazu werden Notfallpläne entwickelt sowie Strategien und Maßnahmen zur Wiederherstellung von Geschäftsfunktionen implementiert. Das Business Continuity Management beinhaltet auch eine kontinuierliche Überwachung und Verbesserung, einschließlich regelmäßiger Aktualisierungen des Plans, um den sich ändernden Bedrohungen und Anforderungen des Unternehmens gerecht zu werden, sowie regelmäßiger Schulungen und Übungen, um die Reaktionsfähigkeit des Unternehmens zu testen und zu verbessern. Empfehlungen für den Aufbau eines BCM-Programmes findet man beispielsweise bei der ENISA und beim CSRC.
Zuliefererkette und Drittparteimanagement
Betreiber kritischer Infrastruktur sind verpflichtet, Risiken in der Lieferkette zu prüfen, die Einfluss auf deren Betrieb haben könnten. Dies umfasst beispielsweise eine Klassifizierung basierend auf der Kritikalität der Dienstleistungen oder Produkte für die Infrastruktur. Auch hier ist ein sorgfältiges Risikomanagement notwendig, um die Auswirkungen von Ausfällen auf die Betriebsfähigkeit einschätzen zu können und Gegenmaßnahmen sowie alternative Strategien zu entwickeln. Der NIST SP 800-161-Leitfaden, der ISO 28000-Standard sowie das SANS Institute bieten Handlungsanleitungen zu diesem Thema.
Die Bedeutung von KVM für die Cybersicherheit in missionskritischen Branchen
KVM-Lösungen sind seit Jahren wesentlicher Bestandteil missionskritischer Kontrollräume, da sie verschiedene Sicherheitsvorteile bieten, die ergonomischen Arbeitsbedingungen für das Personal verbessern und zu einer effizienteren Steuerung der Systeme beitragen.
Mit ihnen können Computersignale effizient verlängert und verteilt werden. Daher ist ein wesentlicher Sicherheitsvorteil von KVM-Lösungen, Rechner von Arbeitsplätzen zu entfernen und in einen gesicherten technischen Bereich zu verlagern, der durch Schließsysteme oder Überwachungstechnologie geschützt werden kann. Das erschwert es unbefugten Personen erheblich, Zugang zu den Computern zu erlangen. Die Nutzer hingegen können von ihren Arbeitsplätzen weiterhin in Echtzeit auf die Systeme zugreifen.
Darüber hinaus ermöglicht diese Lösung eine Netzwerktrennung, die das Risiko von Cyberangriffen weiter reduziert, indem sensible Daten und kritische Systeme von weniger sicheren Netzwerken isoliert werden. Dies erhöht die Gesamtsicherheit und schützt vor potenziellen Bedrohungen aus dem Internet. Durch diese fortschrittlichen Sicherheitsfunktionen bieten unsere Lösungen eine ideale Unterstützung bei der Erfüllung der Anforderungen von NIS-2.
Redundanzkonzepte zur Ausfallprävention
Insbesondere in den von der NIS-2-Richtlinie definierten wesentlichen Bereichen wie dem Gesundheitswesen, der Energieversorgung oder dem Transportwesen ist es von Bedeutung, dass die IT-Systeme im durchgehenden Betrieb zuverlässig funktionieren und ständig verfügbar sind.
KVM-Systeme bieten vielfältige Optionen zur Redundanzbildung, um eine dauerhafte Systemverfügbarkeit zu gewährleisten. Bei einem Ausfall der primären Verbindung, eines Rechners oder eines Arbeitsplatzes erfolgt der nahtlose und verzögerungsfreie Wechsel auf eine redundante Strecke, einen Backup-Rechner oder einen Ersatzarbeitsplatz. So ist sichergestellt, dass Benutzer ihre Arbeit ohne Unterbrechung in der gewohnten Umgebung fortsetzen können.
Die Implementierung redundanter Hardware-Systeme kann außerdem entscheidend sein, um die Sicherheit und Widerstandsfähigkeit eines Systems gegenüber Angriffen zu erhöhen. Diese Maßnahme minimiert das Risiko, dass ein einzelner Angriff mehrere Systeme gleichzeitig beeinträchtigt. KVM-Systeme stellen lediglich eine Verbindung zu den Hardware-Schnittstellen der Systeme her, wie z.B. Tastatur-, Video- und Mausanschlüsse, ohne eine direkte Datenübertragung zwischen den Systemen. Das reduziert das Risiko von Softwareangriffen erheblich, da keine sensiblen Daten über Netzwerke übertragen werden müssen.
Fortschrittliche Sicherheitsfunktionen von KVM
Der Einsatz bewährter Sicherheitspraktiken wie redundanter Systeme maximiert die Resilienz von Systemen und fängt potenzielle Ausfallszenarien effektiv ab. Neben der Implementierung von Redundanzen ist ein umfassendes Cybersicherheitskonzept unerlässlich, um sich vor potenziellen Bedrohungen zu schützen, die die Integrität der Systeme gefährden könnten. Die Synergie zwischen Ausfallsicherheits- und Cybersicherheitsmaßnahmen schafft erst einen robusten Schutz.
KVM-Lösungen von G&D bieten zusätzliche Sicherheitsfunktionen wie Verschlüsselung und Benutzerauthentifizierung, die den Schutz sensibler Daten verstärken und wesentlichen Diensten und Institutionen helfen, strenge Datenschutzvorschriften einzuhalten. Sowohl klassische als auch KVM-over-IP-Systeme verfügen über zahlreiche Schutzmechanismen gegen interne und externe Bedrohungen. Durch verschlüsselte Übertragung sind vertrauliche Informationen vor unberechtigtem Zugriff sicher. Zusätzlich können unsere Systeme mit weiteren Zugangskontrollmechanismen ausgestattet werden, um die Sicherheit weiter zu erhöhen. Konfigurierbare Zugriffsrechte für verschiedene Tätigkeitsbereiche und eine optionale 2-Faktor-Authentifizierung sorgen beispielsweise für einen sicheren und autorisierten Systemzugang.
Schlussfolgerung: Die Zukunft der Cybersicherheit
Die Umsetzung der NIS-2-Richtlinie ist ein bedeutender Schritt in Richtung einer verbesserten Cybersicherheit in der Europäischen Union, insbesondere für Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste. In einer Zeit zunehmender Digitalisierung und Vernetzung ist der Schutz vor Cyberangriffen von entscheidender Bedeutung, um die Stabilität und Funktionalität wesentlicher Dienste zu gewährleisten.
Die Richtlinie legt Mindestsicherheitsanforderungen fest und verpflichtet die EU-Mitgliedstaaten sowie Betreiber, technische und organisatorische Maßnahmen zu implementieren. Dies umfasst unter anderem die Umsetzung von Cybersecurity-Maßnahmen, das Management von Sicherheitsvorfällen, Business Continuity Management sowie die Sicherung der Zuliefererkette.
KVM-Systeme können ein wichtiges Tool bei der Umsetzung sein, indem sie es ermöglichen, Rechnertechnik in gesicherte Bereiche zu verlagern und moderne Sicherheitsfunktionen bieten. Durch die Implementierung redundanter Systeme gewährleisten KVM-Lösungen zusätzliche Sicherheit, minimieren Ausfallzeiten und stellen die Kontinuität von Betriebsabläufen sicher.
Für Unternehmen und Institutionen, die unter die NIS-2-Richtlinie fallen, ist es von entscheidender Bedeutung, sich frühzeitig auf die neuen Anforderungen vorzubereiten und die erforderlichen Maßnahmen zur Einhaltung der Richtlinie rechtzeitig umzusetzen. Dies stellt nicht nur die Einhaltung gesetzlicher Vorgaben sicher, sondern stärkt auch die Widerstandsfähigkeit gegenüber den wachsenden Herausforderungen der Cyberlandschaft.
Durch die Kombination von technologischen Innovationen und bewährten Sicherheitspraktiken können Unternehmen ihre Systeme gegenüber aktuellen und zukünftigen Cyberbedrohungen schützen und gleichzeitig die digitale Transformation sicher vorantreiben.
>> Weitere Artikel, die Sie interessieren könnten:
Intelligente KVM-Lösungen für sichere und zuverlässige Energiekontrollräume
FreeSeating-Funktion: Personalisierte Setups für jeden Kontrollraum-Arbeitsplatz
Sie finden mich auch auf LinkedIn.
Translator English & Content Manager at Guntermann & Drunck.
You can find me on LinkedIn.