§30 Absatz 2 des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) präsentiert zehn Säulen, auf denen NIS2-Konformität basiert. Fünf der zehn Anforderungen können durch Identitätssicherheit angegangen werden. In den von der EU festgelegten Best Practices wird daher Identitätssicherheit auch als wichtiges Mittel genannt. Welche Bereiche sich abdecken lassen und welche Konzepte und Tools Unternehmen nutzen können, erklärt SailPoint.
1. Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
Das Sicherheitskonzept für Informationssysteme muss Regeln für Identitäten enthalten, wie beispielsweise
- die Verwendung benannter Konten im Gegensatz zu allgemeinen Konten;
- die Kontrolle privilegierter Accounts;
- die Durchsetzung der Prinzipien Least Privilege und Zero Trust;
- die proaktive Identifizierung von Personen mit riskantem Zugang, die eine Gefahr für das Unternehmen darstellen.
Auch die Aufgabentrennung (Segregation of Duties, SOD) spielt eine wichtige Rolle bei der Kontrolle und Vermeidung von Geschäftsrisiken. Die Wirksamkeit dieser Regeln muss im Hinblick auf die Risikominderung gemessen werden. Identitätssicherheit bietet einen Einblick in die Realität der IT-Zugriffe sowie die Instrumente, um Abweichungen von den Richtlinien zu erkennen und zu korrigieren.
2. Sicherheit der Lieferkette
Ein weiterer wichtiger Aspekt von NIS2 ist die Sicherheit der Lieferkette. Unternehmen werden zunehmend indirekt durch Angriffe auf Identitäten von Nicht-Mitarbeitenden wie Lieferanten, Anbietern, Partnern, Auftragnehmenden und anderen bedroht. Eine erfolgreiche Attacke auf einen Zulieferer kann dazu führen, dass das Unternehmen selbst kompromittiert wird und in einigen Fällen nicht mehr handlungsfähig ist.
Diese Art von Angriff auf die Lieferkette wird immer häufiger als Malware- oder Ransomware-Attacken und muss sehr ernst genommen werden. Es ist von entscheidender Bedeutung, alle Identitäten zu verwalten und zu schützen, einschließlich der Identitäten von Dienstleistern, Lieferanten, Beratern oder Partnern. Dabei ist immer sicherzustellen, dass sie nur zur richtigen Zeit Zugang zu den benötigten Ressourcen haben.
3. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement
Unternehmen haben oft Schwierigkeiten, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten oder Schwachstellen zu ermitteln, die trotz dieser Maßnahmen bestehen bleiben. Es fällt vielen schwer, ihren Mitarbeitern unverzüglich den Zugang zu entziehen, wenn diese ihre Rolle wechseln oder das Unternehmen verlassen.
Die Europäische Kommission empfiehlt, dass Betreiber kritischer Infrastrukturen Zero-Trust-Strategien und ein Identitäts- und Zugangsmanagement implementieren. Solche Ansätze implizieren, dass Berechtigte nur auf die nötigsten Systeme Zugriff haben – und zwar mit den geringstmöglichen Rechten. Dies kann für die Verwaltung des Zugangs von Partnern und Auftragnehmenden von grundlegender Bedeutung sein.
4. Schulungen und grundlegende Cyberhygiene
Für eine solide Cyberhygiene sollten Unternehmen einen Überblick über ihre gesamte Hard- und Software haben – und auch darüber, wer darauf zugreifen kann. Dazu gehört ebenso die Passwort-Hygiene. Um zu vermeiden, dass Beschäftigte für alle Konten das gleiche Passwort verwenden, können Unternehmen auf Identity Governance zurückgreifen: So lassen sich automatisierte Zugriffe auf eine ständig wachsende und sich verändernde IT-Umgebung gewährleisten und gleichzeitig potenzielle Sicherheits- und Compliance-Risiken reduzieren.
Die NIS2-Richtlinie schreibt auch vor, dass Beschäftigte, Partner und alle innerhalb des Unternehmens in Sachen Cybersicherheit geschult und sensibilisiert werden müssen. Laut eines IDC-Berichts zur Umsetzung von NIS2 müssen drei Viertel der europäischen Unternehmen (72 Prozent) noch am Angebot ihrer Cybersecurity-Schulungen arbeiten.
5. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset Management
Die NIS2-Richtlinie verweist auch auf die „Sicherheit des Personals“. Dies ist ein sehr weit gefasster Bereich, zeigt aber auch, dass die Verwaltung von Benutzern ein wichtiger Aspekt der Cybersicherheit ist. Denn die gezielte Ansprache von Benutzern stellt eine zentrale Methode für Cyberkriminelle dar. Die rollenbasierte Zugriffskontrolle – von menschlichen als auch maschinellen Identitäten – nutzt verschiedene Ressourcen und Berechtigungsstufen für die Rolle des jeweiligen Users.
Auf diese Weise können Unternehmen einen Identity-Governance-Ansatz verfolgen, bei dem Richtlinien mit Hilfe von KI und ML proaktiv entwickelt und umgesetzt werden. Gleichzeitig lässt sich aber auch der Kontext sowohl für den Benutzer als auch für die Ressource, auf die zugegriffen wird, einbeziehen. Dies vereinfacht den Verwaltungsaufwand für IT- und Sicherheitsteams und kann sicherstellen, dass Schwachstellen entschärft werden, bevor Cyberkriminelle sie ausnutzen können.
„Durch Echtzeit-Einblicke in den Benutzerzugang lassen sich fortschrittliche Indikatoren für die Identitätssicherheitslage erstellen. Dies gilt besonders für besitzerlose oder gemeinsam genutzte Konten, nicht deaktivierte Konten oder solche mit hohen Privilegien. Ebenso hilft es bei ungenutzten Rechten und Anhäufungen von Zugriffsrechten, die für das Unternehmen schädlich sein können“, sagt Klaus Hild, Principal Identity Strategist bei SailPoint.
„So lassen sich Situationen mit hohem Risiko identifizieren und Maßnahmen zur Abhilfe priorisieren. Und der Einsatz von KI unterstützt dabei, zusätzliche Erkenntnisse und spezifische Vorschläge für Abhilfemaßnahmen zu generieren. Das Ergebnis sind deutlich kürzere Reaktionszeiten und ein insgesamt höheres Maß an Sicherheit. Ist mehr über die Realität der Zugriffe bekannt, lassen sich auch bessere IT-Sicherheitsentscheidungen treffen.“