Die sich schnell entwickelnde Bedrohungslandschaft und die zunehmende Vernetzung kritischer Infrastrukturen haben die Bedeutung der Cybersicherheit in den letzten Jahren erheblich gesteigert. Die Europäische Union (EU) hat darauf mit der Überarbeitung ihrer Richtlinien für Netz- und Informationssicherheit (NIS) reagiert. Die neue NIS2-Richtlinie tritt in Kraft, um bestehende Sicherheitsvorgaben zu erweitern und die Incident Response als zentrale Komponente des IT-Sicherheitsmanagements zu etablieren. Ihr Ziel ist die Stärkung der Resilienz kritischer Sektoren gegenüber Cyberbedrohungen.
In diesem Artikel beleuchten wir die Bedeutung der NIS2-Compliance und die entscheidende Rolle der Incident Response bei der Bewältigung von IT-Sicherheitsvorfällen. Insbesondere gehen wir auf die Anforderungen der NIS2-Richtlinie ein und erläutern, wie Unternehmen ihre Incident-Response-Prozesse anpassen müssen, um den neuen Vorgaben zu entsprechen.
NIS2-Richtlinie: eine kurze Einführung
Die NIS2-Richtlinie wird, sobald sie in nationales Recht überführt wurde, ihre Vorgängerin aus dem Jahr 2016 ersetzen. Ziel dieser notwendig gewordenen Überarbeitung ist es, ein höheres Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Die Richtlinie legt den Fokus insbesondere auf kritische Infrastrukturen, zu denen unter anderem Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen und digitale Dienstleistungen zählen.
Die NIS2-Richtlinie erweitert den Kreis der verpflichteten Unternehmen deutlich (in Deutschland auf ca. 30.000 betroffene Organisationen) und sieht strengere Vorgaben in Bezug auf die Risikomanagement- und Meldepflichten vor. Unternehmen, die als „wesentliche Einrichtungen“ klassifiziert werden, müssen sicherstellen, dass ihre Cybersicherheitsmaßnahmen den Vorgaben entsprechen. Neben organisatorischen Maßnahmen wie z.B. Risikobewertungen und Mitarbeiterschulungen legt die Richtlinie besonderen Wert auf die Reaktionsfähigkeit bei Sicherheitsvorfällen. Hier kommt die Incident Response ins Spiel.
Die Rolle der Incident Response bei IT-Sicherheitsvorfällen
Die Incident Response, also die Reaktion auf einen Sicherheitsvorfall, beschreibt den strukturierten Prozess zur Identifizierung, Bewertung und Behebung von Sicherheitsvorfällen in IT-Systemen. Die NIS2-Richtlinie hebt diesen Aspekt als essentiell hervor, da es nicht nur darum geht, Sicherheitsvorfälle möglichst zu verhindern, sondern auch darum, wirksam und unverzüglich auf sie zu reagieren, wenn sie eintreten.
Die Incident Response soll die Auswirkungen eines Vorfalls so gering wie möglich halten, die Entstehung weiterer Schäden verhindern und betroffene Systeme schnellstmöglich wieder zurück in den Normalbetrieb überführen.
Ein solches effektives Incident-Response-Programm umfasst mehrere Phasen, die teils dem eigentlichen Vorfall vorgelagert sind:
- Vorbereitung (Preparation): Die Grundlage für eine erfolgreiche Incident Response ist die präventive Planung. Unternehmen müssen im Vorfeld Sicherheitsrichtlinien erstellen, Mitarbeiterschulungen durchführen und Incident-Response-Teams benennen, die im Ernstfall sofort reagieren können. Zudem sollten Kommunikationspläne wie auch Meldeprotokolle etabliert werden, um bei einem Vorfall schnell und effektiv handeln zu können. Am Markt hat sich als vorbereitende Maßnahme der Abschluss von Retainer-Verträgen mit APT-Response-Dienstleistern (Advanced Persistent Threat, APT) etabliert, deren Services dann im Bedarfsfall schnell und ohne administrative Hürden abgerufen werden können.
- Identifizierung (Identification): In dieser Phase geht es darum, den eigentlichen Vorfall zu erkennen. Eine schnelle Identifizierung ist entscheidend, um die Auswirkungen des Angriffs zu minimieren. Hier kommen Technologien wie Intrusion Detection and Prevention Systems (IDPS) und Security Information and Event Management (SIEM) ins Spiel, die Anomalien und verdächtige Aktivitäten in Echtzeit überwachen und analysieren.
- Eindämmung (Containment): Sobald ein Vorfall erkannt wurde, muss er eingedämmt werden, um die Ausbreitung des Schadens zu verhindern. Dies kann durch die Segmentierung betroffener Netzwerke oder das Abschalten kompromittierter Systeme erfolgen. Eine sorgfältige Abwägung ist hierbei notwendig, um die Geschäftskontinuität nicht unnötig zu gefährden. Auch hier ist professionelle Hilfe, entweder intern oder extern, unerlässlich, um sicherzustellen, dass die richtigen Maßnahmen getroffen und der Vorfall effektiv bewältigt wird.
- Beseitigung (Eradication): Nachdem der Vorfall eingedämmt wurde, müssen seine Ursachen identifiziert und beseitigt werden. Dies kann das Entfernen von Schadsoftware, das Schließen von Sicherheitslücken oder das Zurücksetzen betroffener Benutzerkonten umfassen.
- Wiederherstellung (Recovery): In dieser Phase werden die betroffenen Systeme wieder in den Normalbetrieb überführt. Es ist wichtig sicherzustellen, dass alle Systeme, bevor sie wieder online gehen, vollständig gesäubert und keine Schwachstellen mehr vorhanden sind. Oftmals wird jedoch entschieden, einen kompletten Neuaufbau der betroffenen Systeme durchzuführen, um sicherzustellen, dass wirklich alle potentiellen Gefahrenquellen beseitigt sind und ein sicherer Neustart gewährleistet ist.
- Nachbereitung (Lessons Learned): Die Analyse eines Zwischenfalls ist entscheidend, um Ursachen zu verstehen und Verbesserungen abzuleiten. Dies hilft, Schwachstellen in Zukunft zu vermeiden und effektivere Reaktionsprozesse zu entwickeln. Voraussetzung dafür ist eine lückenlose Dokumentation aller Aktivitäten während der akuten Incident Response.
Anforderungen der NIS2-Richtlinie an die Incident Response
Die NIS2-Richtlinie stellt konkrete Anforderungen an die Incident Response und die Meldepflichten von Unternehmen. Eine zentrale Neuerung ist die verbindliche Meldepflicht für Sicherheitsvorfälle, die einen „erheblichen Einfluss“ auf die Dienstleistungserbringung eines Unternehmens haben könnten. Dies umfasst nicht nur erfolgreiche Angriffe, sondern auch Vorfälle, bei denen eine ernsthafte Bedrohung erkannt, jedoch erfolgreich abgewehrt wurde.
Unternehmen müssen Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden, wobei sie zunächst eine erste Einschätzung der Auswirkungen des Vorfalls abgeben müssen. Eine detaillierte Berichterstattung, in der der Vorfall, die ergriffenen Maßnahmen und eine erste Schadensbewertung beschrieben werden, muss dann innerhalb von 72 Stunden erfolgen.
Darüber hinaus fordert die NIS2-Richtlinie von Unternehmen, dass sie auch externe Partner in ihre Strategie zur Bewältigung von Cybervorfällen einbeziehen. Damit soll eine umfassende Reaktionsfähigkeit entlang der gesamten Lieferkette sichergestellt werden.
Ein weiterer wichtiger Aspekt ist die Verfügbarkeit von Personal und Ressourcen für die Incident Response. Unternehmen müssen sicherstellen, dass geschultes Personal rund um die Uhr verfügbar ist, um bei einem Sicherheitsvorfall sofort handeln zu können. Dazu gehört auch die Zusammenarbeit mit spezialisierten Incident-Response-Dienstleistern, falls interne Ressourcen nicht ausreichen.
Technologische Unterstützung der Incident Response
Die Anforderungen der NIS2-Richtlinie machen deutlich, dass Unternehmen auf technologische Lösungen angewiesen sind, um Sicherheitsvorfälle effektiv zu erkennen und zu bewältigen. Automatisierte Sicherheitstools wie SIEM, IDPS und Endpoint Detection and Response (EDR) sind unverzichtbare Komponenten eines modernen Incident-Response-Programms.
Solche Systeme ermöglichen es Unternehmen, potentielle Bedrohungen in Echtzeit zu überwachen und unverzüglich zu reagieren. Sie sammeln Daten über verdächtige Aktivitäten, analysieren diese und liefern Handlungsempfehlungen für das Incident-Response-Team. In Kombination mit künstlicher Intelligenz (KI) können diese Systeme zunehmend auch proaktive Bedrohungsanalysen durchführen und verdächtige Verhaltensmuster identifizieren, bevor ein Vorfall eskaliert.
Herausforderungen bei der Umsetzung der NIS2-Vorgaben
Die Umsetzung der NIS2-Vorgaben stellt Unternehmen jedoch auch vor erhebliche Herausforderungen. Besonders kleine und mittlere Unternehmen (KMU) können Schwierigkeiten haben, die notwendigen Ressourcen bereitzustellen. Sie laufen damit Gefahr, über kein im Sinne der NIS2-Richtlinie angemessenes Schutzniveau zu verfügen. Spezialisierte Dienstleister für Incident Response sind eine sinnvolle Ergänzung zu den internen Ressourcen, um die Anforderungen der Richtlinie zu erfüllen.
Die NIS2-Richtlinie stellt einen bedeutenden Fortschritt in der Regulierung der Cybersicherheit innerhalb der EU dar. Sie fordert von Unternehmen ein höheres Maß an Verantwortlichkeit und Transparenz im Umgang mit IT-Sicherheitsvorfällen und betont die zentrale Rolle der Incident Response. Ein effektives Incident-Response-Programm ist unerlässlich, um die Vorgaben der Richtlinie zu erfüllen und gleichzeitig die Auswirkungen von Cyberangriffen zu minimieren.
Unternehmen, die den Anforderungen der NIS2-Richtlinie gerecht werden wollen, müssen ihre Incident-Response-Prozesse auf den Prüfstand stellen und gegebenenfalls anpassen. Dies erfordert nicht nur technologische Investitionen, sondern auch organisatorische Maßnahmen, um im Ernstfall schnell und effektiv reagieren zu können. Nur so lassen sich die Risiken in einer immer komplexeren Bedrohungslandschaft effektiv bewältigen.
Autor
Bodo Meseke
EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft
Partner, Forensic & Integrity Services
bodo.meseke@de.ey.com
de.ey.com/eyforensics
Autor
Marco Beck
EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft
Senior Manager, Forensic & Integrity Services
marco.beck@de.ey.com
de.ey.com/eyforensics