Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste, so wie sie im NIS Fact Sheet 8/2019 festgehalten sind, umfassen 4 Hauptkategorien (Governance und Ökosystem, Schutz, Verteidigung, Resilienz) mit 11 Unterkategorien. Im Fokus dieses Blogs steht das Kapitel "Schutz" und dessen Anforderungen unter dem Punkt "Sicherheitsarchitektur".
Der Abschnitt Sicherheitsarchitektur umfasst einige grundlegende Sicherheitsanforderungen, die sich auch in bekannten Standards und Frameworks wie der ISO/IEC 27001 wiederfinden. Betreiber wesentlicher Dienste müssen sich in diesem Abschnitt mit folgenden Themenbereichen beschäftigen:
In den nächsten Abschnitten werden die Unteranforderungen umrissen.
Im Verbund der Netz- und Informationssysteme gilt es nur jene Dienste, Geräte oder anderweitige Komponenten einzusetzen, welche dem Zweck dienlich sind und entsprechend für die Aufgaben benötigt werden. Anderweitige Ressourcen sind vom Netz- und Informationsverbund auszuschließen. Weiterführend sind Systeme in ihrem gesamten Lebenszyklus durch Systemhärtungsmaßnahmen zu schützen. Dies heißt, sich nicht auf die Standardkonfiguration von Systemen zu verlassen, sondern Anpassungen der Konfigurationen vorzunehmen um beispielweise Rechte einzuschränken oder Protokollierungen auszudehnen. Dies ist notwendig, da Hersteller zumeist die höchstmögliche Kompatibilität gewährleisten möchten, was wiederum für erhöhte Schutzbedarfe ein Risiko darstellen kann. Zu den NIS Anforderungen zählt zudem die Dokumentation der Konfiguration. Dies schlägt sich wiederum auf die Governance nieder, da auch der Lebenszyklus der Dokumentation verwaltet werden muss.
Die NISV versteht unter Vermögenswerten „IT-Prozesse, -Systeme, -Komponenten sowie Softwareplattformen/-Lizenzen und Applikationen“ [1]. Vermögenswerte, zumeist auch Assets genannt, gilt es zu identifizieren, zu klassifizieren und zu inventarisieren. Pro Vermögenswert muss zudem eine klare Verantwortung definiert sein. Ein solches Inventar ist Grundvoraussetzung dafür, den Scope der NIS Anforderungen abstecken zu können. Abseits dessen ist es essenziell, Vermögenswerte einer Klassifizierung zu unterziehen. Über die Klassifizierung erfolgt nicht nur die Bestimmung der Kritikalität des einzelnen Vermögenswertes für das Unternehmen, sondern auch dessen Handhabung während und nach dem Gebrauch. Somit ist es von großer Bedeutung, dass Klassifizierungsverfahren über technische oder organisatorische Maßnahmen eingesetzt werden und ergänzend Anweisungen für die Anschaffung, den Umgang und die Entsorgung von Vermögenswerten konzipiert werden
Zu guter Letzt sei auch die Pflege des Inventars anzusprechen. Assetinventare verändern sich ständig. Über geeignete Maßnahmen ist sicherzustellen, dass die Vollständigkeit, Richtigkeit, Aktualität sowie Konsistenz gewährleistet sind. Darüber hinaus sollten Änderungen am Assetinventar nachvollziehbar sein und das Assetinventar selbst einer regelmäßigen Prüfung unterzogen werden.
Ein gut gepflegtes Assetinventar unterstützt Sie im Patch- und Changemanagement sowie in der Ermittlung von sicherheitskritischen Schwachstellen, indem Sie zu jederzeit die notwendigen Informationen zu Ihren Assets abrufbereit haben.
Netzwerksegmentierung ist für viele Unternehmen ein Pain Point. Durch sie kann der Schaden im Falle einer Kompromittierung in einem Segment aufgefangen und eine möglicherweise maßgebliche Erhöhung des Schadens eingedämmt werden. Sie fungiert daher als wichtige Verteidigungslinie.
Betreiber wesentlicher Dienste werden nun durch die NISV explizit aufgefordert, ihre Systeme physisch oder logisch zu trennen, basierend auf Schutzbedarf und Klassifikation. Verbindungen zwischen Systemen mit unterschiedlichem Schutzbedarf und unterschiedlicher Klassifikation (z.B. Verbindung zwischen Kunden- und Lieferantensystemen) sind nur dann gestattet, wenn diese hohe Bedeutung für das Funktionieren der Netz- und Informationssysteme haben. Etwaige solche Schnittstellen müssen wiederum dokumentiert und durch geeignete Mechanismen – beispielsweise Verfahren für sicheren Zugriff, Fernzugriff, Monitoring und Datenaustausch – gesichert sein.
Betreiber wesentlicher Dienste müssen Netzwerkverkehr filtern und auf das für das Funktionieren der Netz- und Informationssysteme unbedingt erforderliche Maß einschränken. Das gilt sowohl für den Verkehr innerhalb des Netzwerks als auch für ein- und ausgehenden Netzwerkverkehr. Filterregeln, Portnummern, Protokolle etc. müssen hierfür definiert und auf dem Laufenden gehalten werden.
Betreiber wesentlicher Dienste müssen Vertraulichkeit, Authentizität und/oder Integrität von ihren Informationen und Systemen sicherstellen. Hierfür sind Richtlinien und Verfahren für den Einsatz von Kryptographie und Schlüsselmanagement notwendig. Wichtige Bestandteile sind:
Diese beschriebenen Anforderungen sind wohl vielerorts nicht neu. Allerdings muss der Scope ihrer Anwendung genau unter die Lupe genommen werden. Der Scope z.B. einer ISO/IEC 27701 Zertifizierung kann, muss aber nicht mit NIS Scope übereinstimmen. Betreiber wesentlicher Dienste müssen dies im Hinterkopf behalten, wenn sie die Erfüllung der NIS Anforderungen bewerten.
Außerdem setzen diese technischen Anforderungen einige organisatorische Schritte voraus. Dazu gehören beispielsweise Dokumentenmanagement, ein Klassifizierungsschema für Vermögenswerte, Definition von Prozessen und Verfahren und vieles mehr.
[1] NIS Fact Sheet 8/2019 - Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste
[2] Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen
