NIS 2.0 & Cybersicherheit: Die Leiden des jungen CISO

Foto: Marcos Mesa Sam Wordley – shutterstock.com

Gesetze und Verordnungen haben im deutschen Sprachgebrauch unter Umständen sperrige Namen. Das gilt auch für die EU NIS-Richtlinie 2.0, die formal korrekt als überarbeitete “Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union” in den Gesetzestext eingeht. Angesichts der zunehmenden Digitalisierung wachsen auch die Bedrohungen durch Cyberangriffe. Um dieser Gefahr entgegenzuwirken, stellt die NIS 2.0 höhere Sicherheitsanforderungen an die Unternehmen und sieht zugleich schärfere, einheitliche Sanktionsregelungen vor. Die NIS 2.0 soll helfen, sowohl auf nationaler als auch EU-Ebene, schneller und besser auf Cyberkrisen reagieren zu können.

Für Deutschland ist über die NIS 2.0 hinaus im Mai 2021 auch das IT-Sicherheitsgesetz 2.0 in Kraft getreten, das die Anpassungen der NIS 2.0 bereits reflektiert. Dieses Gesetz erweitert die bisherige KRITIS-Regulierung deutlich und nimmt die Betreiber kritischer Infrastrukturen und Betriebe stärker in die Pflicht. B3S ist in diesem Kontext der Sicherheitsstandard, den KRITIS-Häuser anwenden müssen.

Lesetipp: IT-Sicherheitsgesetz 2.0 – Unklare Rechtslage für KRITIS-Betreiber

Im Gesundheitssektor betrifft diese Regulierung die drei Zweige Medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore – also eine große Bandbreite von Medizinproduktion von Medizingeräteherstellern bis hin zu Klinikbetreibern. All diese Betriebe müssen nun den Kampf gegen Cyberkriminalität noch ernster nehmen als bisher, sonst drohen empfindliche Strafen. Als Ordnungswidrigkeiten zählen zum Beispiel

• fehlende Nachweise,

• fehlende Störungsmeldungen,

• fehlende Maßnahmen,

• mangelnde Informationen und

• Fehler bei Zertifizierungen.

Die Bußgelder bei Verstößen können durch die Änderungen zwischen zwei und 20 Millionen Euro betragen.

Das digitale Dilemma

In Branchen mit hochempfindlichen Daten, wie zum Beispiel Patientendaten, ist es der CISO, der zuständig ist für die Einhaltung der Compliance-Richtlinien. Er ist zudem dafür verantwortlich, den Mitarbeitenden ihre persönlichen Zugriffsberechtigungen zuzuweisen und Remote-Admin-Aufgaben zu steuern. Gleichzeitig steht CISOs häufig nur ein sehr limitiertes Budget zur Verfügung. Hier helfen zwar die vom Bund angebotenen Förderungen, ein Allheilmittel sind sie gleichwohl nicht. Das Gleiche gilt für die Ausstattung mit digitalen Lösungen und digitaler Infrastruktur: Beides ist essenziell für die Weiterentwicklung, hängt hierzulande aber deutlich hinterher. Darüber hinaus fehlen in immer mehr Branchen die entsprechend ausgebildeten Fachkräfte. Auch die IT-Verwaltung stellt immer wieder eine Herausforderung dar: Mitunter ist im Haus kein eigener IT-Administrator vorhanden, und ein externer Anbieter betreut die gesamten Systeme via Remote-IT.

NIS 2.0 – Was steht jetzt an?

Zu den technischen Vorgaben, die betroffene Betriebe unter der NIS 2.0 erfüllen müssen, gehören unter anderem folgende:

• Transparenz schaffen: Ein IT-System muss jedes Gerät innerhalb des Netzwerks abbilden, z.B. auch vernetzte Medizintechnik.

• Logging- und Überwachung: Systeme zur Angriffserkennung müssen im laufenden Betrieb kontinuierlich mögliche Bedrohungen erkennen und blockieren.

• Segmentierung: Die IT muss sämtliche Systeme strikt voneinander trennen, damit der Erfolg potenzieller Angriffe minimal bleibt und sich nicht auf weitere Systeme ausdehnt.

• Sichere Remote-IT: Für einen Fernzugriff müssen Administratoren und Anwender sichere Kommunikationsverbindungen verwenden.

• Multi-Faktor-Authentifizierung: Für den Zugriff auf Netzwerke und medizinische Systeme sind sichere Authentifizierungsmaßnahmen notwendig, u.a. durch eine Multi-Faktor-Authentifizierung, um den Sicherheitsgrad zu erhöhen und gegen unbefugten Zugriff zu schützen, etwa durch gestohlene Zugangsdaten.

Lesetipp: Die größten Lücken im MFA-Schutz

In der technischen Umsetzung können die Verantwortlichen viele dieser Aspekte mit einer Zero-Trust-Network-Access-Strategie und einem Security Information and Event Management (SIEM)- oder Security Operations Center (SOC)-System abdecken.

Nach dem Budget ist vor der Umsetzung

Die erste Herausforderung ist die Finanzierung. Angesichts der schlanken Budgets lässt eine Investition in nicht unerheblicher Höhe, wie sie jetzt erforderlich wird, die zuständigen Entscheidungsträger schlucken. Damit aber die Institutionen solche Ausgaben nicht allein stemmen müssen, hat der Bund Fördermöglichkeiten vorgesehen, insbesondere im Rahmen des Krankenhauszukunftsgesetzes. Dort finden sich zahlreiche Projekte zur Modernisierung, die förderfähig sind.

Haben CISOs die Förderfähigkeit ihres Projekts sichergestellt, müssen sie den Entscheidungsträgern vermitteln, weshalb die Umsetzung von Cyber-Sicherheitsmaßnahmen dringend und wichtig ist. Das sollte angesichts der gesetzlichen Vorgaben und den sich häufenden gefährlichen Cyberangriffen auf Gesundheitsinstitutionen – auch in Deutschland – eigentlich eine leichte Aufgabe sein.

Lesetip: Digitalisierung in Krankenhäusern – Datenschutz als Hemmnis oder als Chance?

Als nächstes steht die Ausschreibung des Projektes an. Auch das ist eine zeitraubende Aufgabe, die ein CISO bewältigen muss. Und schließlich stellt sich die Frage, wie das ganze Konstrukt funktionieren kann. Entweder übernehmen der CISO und ein kleines Team selbst die Administration oder lagern die Aufgabe an Dritte aus. Letztere Variante kann wiederum Cyberkriminellen eine zusätzliche Angriffsfläche bieten.

Man hat es nicht kommen sehen können

Wir lesen fast täglich von Cyber-Angriffen auf große Unternehmen, Institutionen oder Verwaltungen. Trotz alledem ist das Bewusstsein für Gefährdungen an entscheidenden Stellen noch nicht ausreichend vorhanden. Immer wieder höre und lese ich aus den Gesprächen: “man hat es ja nicht kommen sehen”! Das ist offensichtlich wahr – sonst wären die Kliniken rechtzeitig mit den angemessenen Budgets ausgestattet worden, die ihnen eine wehrhafte IT ermöglichen. Aktuell sind kritische Infrastrukturen gegenüber immer ausgefeilteren Angriffen eindeutig im Nachteil.

Ein hilfreicher Schritt können Cybersicherheits-Audits, wie sie Security-Hersteller und Systemhäuser anbieten. Die analysieren den Ist-Zustand und lassen diese Erkenntnisse in eine zukunftsorientierte Sicherheitsstrategie einfließen. Zu einer solchen Strategie kann beispielsweise ein System mit ineinandergreifenden Standards gehören. Erkennt eine Analyse-Lösung, beispielsweise ein SIEM, eine Bedrohung und kann sofort ohne menschliches Zutun weitere Schritte anstoßen, entlastet das die IT-Abteilung deutlich. Zudem spart es wertvolle Zeit sowie Kosten und erleichtert die Verwaltung komplexer Systeme erheblich. Und es stellt letztendlich sicher, dass der Betrieb den Compliance-Richtlinien entspricht. (bw)