KRITIS-Deadline 17.10.2024: Mobile Gerätesicherheit bei NIS2 nicht vernachlässigen!

Mit der Einführung des NIS2-Umsetzungs- und Cyber­sicherheits­stärkungs­gesetzes (NIS2UmsuCG) am 18. Oktober 2024 wird das IT-Sicherheitsrecht in Deutschland umfassend modernisiert. Die neuen Regelungen zielen darauf ab, die Cybersicherheit in kritischen Infrastrukturen zu erhöhen und die Unternehmen zu verpflichten, angemessene Maßnahmen zum Schutz vor Cyberrisiken umzusetzen. Moritz von Widekind (Head of Industry Solutions bei Samsung Europe) erklärt, wie Unternehmen die neuen Vorgaben umsetzen können und welche Lösungen dabei unterstützen.

von Moritz von Widekind, Head of Industry Solutions bei Samsung Europe

NIS2 ist eine Reaktion auf die immer weiter steigenden Cybercrime-Entwicklung. Das deutsche IT-Sicherheitsrecht wird damit umfassend modernisiert und neu strukturiert. Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen werden auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt.

Am 18.10.2024 tritt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Ziel ist, die Cyberresilienz in kritischen Infrastrukturen zu erhöhen. Dabei müssen betroffene Unternehmen und Organisationen angemessene Maßnahmen in Bereichen wie u. a. Cyberrisiko-Management sowie präventiver Schutzmaßnahmen bei mobiler Gerätesicherheit erfüllen (BSI Pressemitteilung NIS2: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240724_NIS2.html ).

Nach der Crowdstrike-Panne überprüfen viele KRITIS-Betreiber ihre cloudbasierten Cybersecurity-Strategien. On-Premise Lösungen liegen aktuell im Trend, denn sie erfüllen nicht nur Compliance-Vorgaben. Vielmehr bietet On-Prem die volle Kontrolle bei individueller Konfiguration an eigene Anforderungen, hohe Verfügbarkeit, sowie Datenschutz und Sicherheit.”

John Alexander Rehmann, Samsung Europe

Wer ist von NIS2 betroffen?

Künftig werden rund 29.500 Unternehmen in Deutschland zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Grundlage ist die europäische NIS2-Richtlinie (Netzwerk- und Informationssicherheit) aus dem Jahr 2023, die deutliche Verschärfungen der EU-Vorschriften zur Cybersicherheit enthält. Wichtig ist, dass die Umsetzung der NIS2-Richtlinie in nationales Recht bis zum 17. Okt 2024 umgesetzt werden muss. Dabei werden die Regeln für die Durchsetzung verschärft. Es drohen Sanktionen. hohe Geldstrafen sowie Haftung der Managementebene.

Welche NIS2-Anforderungen müssen KRITIS-Betreiber erfüllen?

KRITIS-Betreiber müssen mit verschiedenen, präventiven Schutzmaßnahmen vorsorgen.

Zusammenfassung der allgemeinen NIS2 Anforderungen:
1. Feststellung der eigenen Betroffenheit anhand der sektoralen (siehe Abbildung 2) Zuordnung und weiterer größenbezogener Aspekte:
NIS2-Betroffenheitsprüfung vom BSI: https://betroffenheitspruefung-NIS2.bsi.de/
2. Fähigkeit zur Erkennung von Cyberrisiken und der Umsetzung der Anforderungen der NIS2-Richtlinien
3. Definition des Umfangs der Verantwortlichkeiten durch die Fähigkeit der Implementierung von Maßnahmen zur Schadensverhütung als auch zur Schadensminderung
4. Sicherstellung der Geschäftskontinuität bei Cyber- oder Informationssicherheitsvorfällen.
5. Einrichtung von Meldeverfahren zur Sicherstellung der ordnungsgemäßen Benachrichtigung von Behörden (Verpflichtung der Benachrichtigung der Behörden innerhalb von 24 Stunden nach Eintritt größerer Vorfälle)

Quo vadis Mobile Devices?

Viele Unternehmen verfügen bereits über gute Cybersecurity-Strategien und Lösungen für ihre IT-Infrastruktur und Web-Anwendungen.

Allerdings vernachlässigen/vergessen viele dabei die mobile Gerätesicherheit.”

Mobile, geschäftliche Geräte sind bei vielen Unternehmen im KRITIS-Bereich unverzichtbar. Aber: Sie erhalten nicht die gleiche Sicherheits-Aufmerksamkeit wie klassische Arbeitsplatzrechner. In der Regel fehlen Schutzmechanismen wie Firewall, Proxyserver und ein vernünftiges Patch-Management – das gefährdet das interne Netzwerk. So kann es in ungünstigen Fällen sogar zu unverschlüsselten Hotspots kommen (wenn ein geschäftliches Gerät als Hotspot betrieben wird) – was Betrügern ermöglicht, Zugangsdaten abzugreifen oder den Datenverkehr mitzulesen. Richtig problematisch wird es, wenn Mitarbeiter private Geräte für berufliche Zwecke (BYOD) mitbringen. Unterschätzen Sie nie die Kreativität der Schatten-IT.

Mobile Mitarbeiter stellen ein Sicherheitsrisiko dar, dürfen aber nicht allein verantwortlich gemacht werden. Sie verbinden sich aus Unachtsamkeit über ungeschützte WLANs, installieren verseuchte Apps oder lassen ihre Geräte unbeaufsichtigt. Gelangen diese in falsche Hände, können sich Angreifer Zugriff auf Firmendaten verschaffen. Die Nutzung privater Geräte für berufliche Zwecke führt auch zu einer Vermischung von Daten, was gegen die DSGVO verstößt. Werden private Apps für dienstliche Aufgaben genutzt, drohen Datenschutzverletzungen und hohe Strafen.

Und dann gibt es da noch WhatsApp & Co. Die verursachen zusätzliche Datenlecks, da sie Adressbücher auslesen und Daten an Facebook weitergeben.

Mobile Sicherheit durch Secure Element

Mit dem Embedded Secure Element, das in den mobilen Devices verbaut ist, können personenspezifische und klassifizierte Daten verschlüsselt und fälschungssicher lokal auf dem Gerät gespeichert werden. Damit können die nativen Funktionen wie E-Mail, Kalender oder Kontakte unmittelbar im VS-NfD-Umfeld genutzt werden.

Der „on-de­vice“ Teil ist GD­PR-un­be­denk­lich. Bei dem „cloud-teil“  greift der sogenannte “Angemessenheitsbeschluss”. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten Datenschutz umsetzen. Nach dem Angemessenheitsbeschluss der Europäischen Kommission ist das auch Südkorea.

Mobile Device Management (MDM)

Enterprise Mobility Management (EMM) ist üblicherweise DSGVO-konform. Über die EMM-Lösungen verwalten KRITIS-Betreiber und Unternehmen ihre mobilen Geräte und schützen sensible Daten.

Dabei werden internationale Standards für die Computersicherheitszertifizierung (CC) erfüllt, indem sie Administratoren die zentrale Verwaltung des Mitarbeiterzugriffs und den Schutz von Daten mit Sicherheitsprotokollen der nächsten Generation ermöglicht. Es bietet ein effektives und konsistentes Geräte-, Daten- und Application-Management und hohe Sicherheit für Unternehmen.

Mobile Thread Defense (MTD)

MTD dient als zusätzlicher Schutz innerhalb der EMM-Integration, um Datenverletzungen mobiler Geräte zu verhindern. Die Security-App kann in der gesamten Flotte massenhaft installiert werden, um das Sicherheitsteam zu entlasten und bietet automatisierte Schutzmaßnahmen. Diese MTD-Integration bietet IT-Administratoren in der Regel eine einfache Schnittstelle, um:
1. Verwaltung des Zugriffs auf Unternehmensressourcen auf der Grundlage von globalen Sicherheitsstatus-Updates, die von Pradeo bereitgestellt werden.
2. Sofortiges Blockieren von Bedrohungen auf den Geräten der Benutzer durch Blockieren von Apps, Trennen der Netzwerkverbindung und mehr.

Auf der Endbenutzerseite aktiviert eine einfache Zero-Touch-Konfiguration die fortlaufenden transparenten Sicherheitsprüfungen und die Neutralisierung von Bedrohungen. Kurz gesagt, die Unternehmensdaten sind geschützt, während Administratoren und Mitarbeiter wie gewohnt weiterarbeiten können.

Fazit

Es gibt einige Lösungen für die NIS2-Herausforderungen von KRITIS-Betreibern. So können Unternehmen weiterhin eine hohe Verfügbarkeit, Sicherheit und Produktivität gewährleisten und sind bestens auf die NIS2-Anforderungen vorbereitet.Moritz von Widekind, Samsung Europe