NIS2 betrifft vielleicht auch Sie!

Cybersecurity sehen viele nach wie vor als Herausforderung. Sich dieser zu stellen, verlangt ab Oktober 2024 die neue NIS2-Richtlinie der EU, die neben der...

Cybersecurity sehen viele nach wie vor als Herausforderung. Sich dieser zu stellen, verlangt ab Oktober 2024 die neue NIS2-Richtlinie der EU, die neben der kritischen Infrastruktur auch mittlere und große Unternehmen miteinbezieht. Die gute Nachricht: Manchmal können Unternehmen bereits mit relativ wenigen Maßnahmen eine hervorragende Basis in Richtung Erfüllung der NIS2-Richtlinie schaffen.

Herausforderungen gibt es viele“, sagt Adrian Pinter, Cybersecurity-Experte für den Industriebereich bei Siemens, „und es werden nicht weniger. Derzeit ist die IT/OT-Konvergenz in aller Munde, doch hier machen es sich viele zu einfach.“ Die Integration von Daten beider Systeme, also der IT (Informationstechnologie) und der OT (Operational Technology) schreite zwar voran, dass beide Systeme zu einem großen Ganzen verschmelzen, hält Pinter aber für unrealistisch: „Das wäre, wie wenn der Rallye-Sport und die Formel 1 in einer gemeinsamen Weltmeisterschaft unterwegs wären.“ So sei es schlicht nicht möglich, in Sachen Cybersecurity mit den Mitteln der IT die OT vollkommen abzusichern. Pinter präzisiert: „Die Mittel sind dieselben, wir wenden sie allerdings anders an, weil wir im OT-Bereich anders denken müssen – Stichwort 24/7-Produktion.“ Muss upgedatet werden, kann das nur zu Stillstandzeiten erfolgen – schwierig bei einem Hochofen oder in der Pharmaindustrie. Die zweite große Herausforderung ist, dass sich in diesen Industriebereichen die Gerätelandschaft über Jahre kaum ändert. Pinter: „Vielfach laufen Prozesse über alte Systeme wie Windows 7, aber da sie nach wie vor problemlos funktionieren, sehen viele Betreiber keinen Grund zum Handeln.“ Vom Grundsatz „never touch a running system“ müsse man sich jedoch verabschieden.

Sich hier vor Augen zu führen, was nur ein einziger auf Grund eines Cybersecurity-Angriffs verursachter Stillstandstag kostet – inklusive der Auswirkung auf die Reputation des Unternehmens – sei ein erster Schritt. Dann müsse eine umfassende Analyse folgen. Pinter: „In vielen Unternehmen gibt es ein über die Jahre gewachsenes Konglomerat unterschiedlicher Systeme und Produkte mit verschiedenen Sicherheitsstandards – zudem vielfach ohne durchgängige Dokumentation.“ Im Zuge der Risikobewertung ist daher zu beurteilen, ob es Systembereiche gibt, die gar nicht mehr benötigt werden und daher entfernt werden können, da diese dann auch nicht mehr in die Cybersecurity miteinzubeziehen sind. Ist die Risikoanalyse abgeschlossen, geht es in die konkrete Umsetzung der Schutzmaßnahmen, etwa eine Netzwerksegmentierung, ein Firewall Konzept oder die Härtung der Anlagen, sprich die lückenlose Entfernung sämtlicher nicht unbedingt nötiger Software, und einiges mehr. „Jede nicht benötigte Komponente ist ein unnötiges Einfallstor für einen Cyberangriff“, warnt Pinter.

„Jede nicht benötigte Komponente ist ein unnötiges Einfallstor für einen Cyberangriff.“

Adrian Pinter, Cybersecurity-Experte für den Industriebereich bei Siemens Österreich

Grundsätzlich sei es nicht erforderlich, sofort alles Alte auszutauschen, so Pinter, der damit auf das Expertenwissen von Siemens verweist: „Das wäre zwar der Idealfall, wir haben aber das entsprechende Know-how und wissen, wie wir neue und alte Systeme gemeinsam in ein umfassendes Cybersecurity-Konzept einbeziehen.“ Der kundenspezifische Service von Siemens für die verschiedensten Industriebranchen ist eine große Stärke. Siemens zeigt individuell und herstellerunabhängig Lösungswege auf und überträgt sie in die Praxis. Sämtliche gesetzte Cybersecurity-Maßnahmen müssen laufend überwacht, beurteilt und auf dem neuesten Stand gehalten werden – eine Herausforderung, um auch in der Zukunft die bestmögliche Sicherheit zu erreichen. Diesen anspruchsvollen Part selbst zu übernehmen, dürfte nur wenigen Unternehmen gelingen – nicht zuletzt auf Grund des hohen Aufwands und des Fachkräftemangels im IT-Sektor. Zielführend: die Auslagerung an Profis. Siemens bietet hier die passenden Services an, für kleine, mittlere und große Unternehmen. Selbstverständlich auch, was die Anforderungen der NIS2-Richtlinie betrifft. „Unsere Kunden profitieren von Erfahrungen aus erster Hand. Das Know-how und die Lösungen, die wir anbieten, haben sich in unseren eigenen Produktionsstätten bewährt“, so Johann Schlaghuber, Chief Information Security Officer der Siemens AG Österreich, der im Unternehmen auch für die Umsetzung der NIS-2-Konformität zuständig ist.

„Unsere Kunden profitieren von Erfahrungen aus erster Hand. Das Know-how und die Lösungen, die wir anbieten, haben sich in unseren eigenen Produktionsstätten bewährt.“

Johann Schlaghuber, Chief Information Security Officer der Siemens AG Österreich

Neue NIS-Verordnung ab Oktober 2024

Die aktuell geltende NIS-Verordnung (Sicherheit der Netz- und Informationssysteme) wird mit 18. Oktober 2024 adaptiert und erweitert. Die EU möchte damit die Resilienz und die Reaktion des öffentlichen und privaten Sektors auf Cyberangriffe verbessern. „Waren bisher Unternehmen der sogenannten kritischen Infrastruktur wie Stromversorger, Internetprovider, Banken oder Krankenhäuser betroffen, werden zukünftig weitere Branchen miteinbezogen“, sagt Adrian Pinter, der im Zuge zahlreicher Gespräche festgestellt hat, dass dieses Thema bei seinen Kunden noch viel zu wenig präsent ist. „Viele Unternehmen wissen gar nicht, dass NIS2 auch für sie gelten wird. Doch die Strafen bei Nichteinhaltung sind drastisch und gehen schlimmstenfalls in die Millionen.“ Dabei sind die Branchen breitgefächert und beinhalten neben der kritischen Infrastruktur nun auch die Bereiche Post und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, die verarbeitende und herstellende Industrie etc. Nicht von der NIS2-Richtlinie erfasst sind lediglich Unternehmen mit weniger als 50 Mitarbeitenden und weniger als 10 Millionen Euro Jahresumsatz.

Europäischer Mindeststandard

Mit der neuen Richtlinie und ihren verhältnismäßig streng formulierten Regeln soll ein europäischer Mindeststandard geschaffen werden, um nicht nur einfachsten Cyberangriffen widerstehen zu können.

NIS2 ist ein Regelwerk mit zehn Risikomanagementmaßnahmen, die umzusetzen sind:

– Risikoanalyse und Sicherheit für Informationssysteme
– Bewältigung von Sicherheitsvorfällen
– Business Continuity Management und Krisenmanagement
– Sicherheit der Lieferkette
– Sicherheitsmaßnahmen bei Erwerb/ Entwicklung/Wartung von IKT
– Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
– Cyberhygiene und Schulungen zur Cybersicherheit
– Kryptografie und ggf. Verschlüsselung
– Sicherheit des Personals, Konzepte für die Zugriffskontrolle
– Multi-Faktor-Authentifizierung

„NIS2 darf man keineswegs auf die leichte Schulter nehmen“, warnt Adrian Pinter eindringlich, „nicht zuletzt, weil Geschäftsführer persönlich haften. Wird NIS2 ignoriert, kann das wirklich ins Auge gehen.“ Man müsse aber auch sehen: Investitionen in eine nachhaltige Cybersecurity sind in jedem Fall sinnvoll und wichtig, NIS2 hin oder her.

Walter Wutzl, Sales-Verantwortlicher für Energieautomatisierungsprodukte bei Siemens, beschäftigt die Cybersecurity im Bereich dezentraler Automatisierungstechnik seit vielen Jahren. Eine systematische Herangehensweise an dieses Thema ist daher für ihn selbstverständlich, denn die meisten seiner Kunden aus dem Energiesektor fielen als Teil der kritischen Infrastruktur bereits unter die erste NIS-Richtlinie, welche in Österreich 2019 in Kraft trat. „Diese Erfahrungen mündeten letztlich in einen kontinuierlichen Prozess, der dazu führte, immer bessere Funktionalitäten in unsere Systeme zu implementieren, die einerseits den Anforderungen unserer Kunden und andererseits der NIS-Richtlinie gerecht werden“, so Wutzl. Das sei insofern relativ einfach gewesen, weil die NIS-Vorgaben für den Energiebereich recht konkret waren und sich technische Anforderungen problemlos ableiten ließen. „Allerdings wurde jedes von der ersten NIS-Richtlinie erfasste Unternehmen von der Behörde per Bescheid darüber informiert, dass Maßnahmen zu ergreifen seien – und vor allem auch welche. Das ist bei NIS2 nicht mehr so“, betont Wutzl. „Jeder müsse nun selbst beurteilen, ob er unter die NIS2-Richtlinie fällt.“ Das bedeute folglich, dass auch die zu ergreifenden Maßnahmen selbst zu definieren seien. Gewachsene Bestandsanlagen lassen sich jedoch vielfach nur begrenzt in aktuelle Cybersecurity-Technologien integrieren – andere Lösungen, etwa die Isolation definierter Anlagenteile, müssten daher zum Zug kommen. „Genau das ist eine unserer Kernkompetenzen“, sagt Wutzl.

„Gewachsene Bestandsanlagen in aktuelle Cybersecurity-Technologien integrieren – das ist eine unserer Kernkompetenzen.“

Walter Wutzl, Sales-Verantwortlicher für Energieautomatisierungsprodukte, Siemens Österreich

Er nennt das Thema Patch Management am Beispiel eines Umspannwerks. Dieses wird grundsätzlich von einer zentralen Leitstelle aus gesteuert, zudem sind in jedem Umspannwerk auch vor Ort sämtliche Bedienelemente vorhanden – für Notfälle oder die Bedienung im Zuge von Wartungsarbeiten. Aufgrund dieser Anordnung und wegen des unterschiedlichen Alters der Anlagen ergibt sich die Herausforderung, dass nach Aktualisierungen der OT bzw. der Security in der Leitstelle auch die Systeme vor Ort vollumfänglich und sicher funktionieren müssen. „Dort ist aber im Normalbetrieb kein Personal im Einsatz, dem Fehler sofort auffallen würden. Wir von Siemens bringen gemeinsam mit unseren Kunden maximale Sicherheit und NIS2-Konformität in diese Anlagen.“

Laut Werner Brandauer, tätig im Consulting für den Bereich Power Systems bei Siemens, macht sich die langjährige Expertise und Erfahrung von Siemens in Sachen OT für die Betreiber von Energienetzen mehr als bezahlt, denn „man muss zuverlässig erkennen, welche Assets in eine zukunftsfähige Cybersecurity nicht mehr sicher miteinbezogen werden können.“ Dies ist umso wichtiger, als auf Grund der mittlerweile gut abgesicherten IT der OT-Bereich verstärkt zum Ziel von Hacker-Attacken wird. Siemens hat hier einen sehr guten Überblick, der etwa beim Härten von IT-Systemen den Vorteil bietet, punktgenau zu erkennen, ob und wenn ja welche Komponenten zu fokussieren sind, um das Angriffspotenzial zu reduzieren. Es gebe zwar Kunden, die versuchen, durch die komplette Abkoppelung einzelner nicht mehr zeitgemäßer Anlagenteile Sicherheit zu erreichen. Ein vielleicht sogar gangbarer, aber dennoch nicht immer zielführender Weg, so Brandauer: „Bei der Vermeidung von Schnittstellen zwischen OT und IT gehen viele nützliche Daten – und damit Zukunftspotenziale – verloren.“

„Bei der Vermeidung von Schnittstellen zwischen OT und IT gehen viele nützliche Daten – und damit Zukunftspotenziale – verloren.“

Werner Brandauer, Leiter Power Systems Consulting, Siemens Österreich

Um diese zu erhalten, unterstützt Siemens umfangreich auf der Reise durch die Cybersecurity-Welt. Das beginnt bei der Analyse bzw. beim Assessment des aktuellen Cybersecurity-Status: Darauf aufbauend werden ganz konkrete Maßnahmen empfohlen und mit den Expert:innen abgestimmt. Als nächsten Punkt nennt Brandauer das Identifizieren von Schwachstellen durch Scannen der Netzwerkumgebung – und deren Beseitigung. „Durch die Abarbeitung dieser drei Punkte können Unternehmen einen wesentlich gesteigerten Cybersecurity-Level erreichen“, sagt Brandauer. Darüber hinaus biete Siemens die Möglichkeit, mittels Penetration Testing, also der aktiven Suche nach Schwachstellen, und Implementierung eines Security Operation Centers (SOC) das Niveau weiter zu heben. „Wichtig ist es, Schritt für Schritt vorzugehen – auch im Hinblick auf die NIS2-Richtlinie, die ja nun auch kleinere Unternehmen umfasst, die jetzt nachziehen müssen.“

„Gebäudeerrichter und -betreiber in Österreich schauen noch immer viel zu
wenig auf die Cybersecurity“.

Martin Krammer, Experte für Gebäudeautomation bei Siemens Österreich

„Gebäudeerrichter und -betreiber in Österreich schauen noch immer viel zu
wenig auf die Cybersecurity“, sagt Martin Krammer, Siemens-Experte für Gebäudeautomation. Speziell bei kleineren Unternehmen sieht er Luft nach oben, denn oftmals gäbe es dort keine Mitarbeitenden, die sich speziell dieses Themas annehmen. „Doch viele dieser Unternehmen werden ab Oktober 2024 von der erweiterten NIS2-Richtlinie erfasst“, gibt Krammer zu bedenken. So rate er dringend jedem Unternehmen zu schauen: Falle ich unter die NIS2-Richtlinie oder nicht? Das Bewusstsein hierfür sei vielfach noch nicht geschaffen, die Defizite groß. Die Kosten seien neben dem Personal- und Ressourcenaufwand für viele Unternehmen ein bremsender Faktor, um sich tiefergehend mit Cybersecurity zu beschäftigen. „Dazu kommt das Problem, dass viele kleine IT-Dienstleister nicht über das erforderliche aktuelle Know-how verfügen, was trotz Bemühungen zu unzureichenden Lösungen bei deren Kunden führen kann“, so Krammer. „Dabei stelle sich heute nicht die Frage, ob ein Unternehmen angegriffen wird, sondern vielmehr wann.“ Und Angreifende haben zu oft mit einfachen Mitteln Erfolg.

Cybersecurity früh mitdenken

Schon in der Ausschreibungs- bzw. Planungsphase eines Gebäudeprojekts die Cybersecurity im Blick zu haben, eine sichere Netzwerksinfrastruktur und sichere Produkte einzusetzen und die Mitarbeitenden langfristig in das Konzept miteinzubeziehen, sei eine hervorragende Basis, so Krammer. Mit verschiedenen Dienstleistungen und einer umfassenden Expertise unterstützt Siemens Gebäudebetreibende dabei, kritische Schwachstellen rasch zu schließen – beginnend mit Update- und Upgrade-Services bis hin zum Patch Management Service, welches Siemens aktuell neu anbietet. „Holt sich ein Unternehmen Unterstützung von Siemens, erhält es ein maßgeschneidertes Gesamtlösungspaket inklusive Cybersecurityaspekten“, betont Martin Krammer, „und das ganz unabhängig von der Unternehmens- beziehungsweise Projektgröße.“ Klar ist: Die kommende NIS2-Richtlinie fordert ein ganzheitliches Betrachten des Risikos. Krammer: „Unternehmen müssen eine, Gesamtbewertung durchführen und dürfen dabei keineswegs die Gebäudeautomation etc. außer Acht lassen.“ Da die Komplexität sehr hoch werden kann, biete das Hinzuziehen der Expert:innen von Siemens hier besondere Vorteile.

Herausfordernd ist, dass in vielen Unternehmen bisher zwischen der Sicherheit im IT-Bereich und jener im OT-Bereich strikt getrennt wurde. „Doch dass zwischen IT und OT keine Kommunikation stattfindet und die Gebäudetechnik nur für sich arbeitet, ist heute nicht mehr zeitgemäß“, schließt sich Martin Krammer der Argumentation Werner Brandauers für den Bereich der Energienetze an. Dies gilt insbesondere für Smart Buildings, die sich im Hinblick auf die Maximierung von Komfort und Energieeffizienz modernster Technologien bedienen. Krammer: „Die Datenströme zwischen OT und IT gewinnen so an Aufmerksamkeit.“ Angreifende könnten daher versuchen, über das IT- in das OT-Netzwerk einzudringen – und umgekehrt. Grundlegende Sicherheitsmaßnahmen wie ein passendes Netzwerksegmentierungs-Konzept, regelmäßige Softwareaktualisierungen oder das sofortige Schließen bekannter Sicherheitslücken seien hier das Gebot der Stunde. Werden Daten an Clouds oder externe Unternehmen weitergereicht, sind auch diese Datenströme abzusichern. Die Auswirkungen von Sicherheitslücken in diesem Bereich sind groß: „Das beginnt beim Manipulieren der Heizung durch die Angreifer, mit relativ geringen Auswirkungen. Wird jedoch die Technik in einem Operationssaal gehackt, sieht die Sache anders aus.“ Datenverkehr so zu segmentieren, dass Daten nur dort fließen, wo dies erforderlich ist, sei ein Muss. Einfallstore für Hacker werden so erst gar nicht geöffnet.

Zu guter Letzt ist es unbedingt nötig, für den Fall des Falles ein Business Continuity Management (BCM) und ein Krisenmanagement festzulegen, in welchem definiert wird, wer wann welche Maßnahmen zu ergreifen hat, um nach einer Cyberattacke den Normalbetrieb wiederherzustellen. „Dies sollte trainiert beziehungsweise regelmäßig mit den Mitarbeitenden durchgespielt werden“, rät Martin Krammer. Und: Notfallpläne müssen ausgedruckt auf Papier vorhanden sein, denn nur dann hat man die Garantie, während eines Hackerangriffs auf diese zugreifen zu können.