Ivanti Blog: Beiträge von

Trusted Ownership: Wie Ivanti Application Control über Allowlisting hinaus skaliert

Wed, 25 Feb 2026 14:25:15 Z

Anwendungskontrolle ist eines dieser Sicherheitsthemen, bei denen viele Menschen an überholten Annahmen festhalten. Klassisches Allowlisting wirkt sicher, wird aber schnell zum Wartungsaufwand. Blocklisting wirkt reaktiv und unvollständig. Und obwohl Tools wie Microsoft AppLocker viele zu der Annahme verleitet haben, dass striktes Allowlisting der Goldstandard sei, haben moderne Angriffe das Gegenteil bewiesen. Angreifer setzen zunehmend auf legitime, signierte Tools – die im falschen Kontext verwendet werden –, um listenbasierte Kontrollen vollständig zu umgehen.

Wenn Unternehmen also Ivanti Application Control oder Ivanti Neurons for App Control evaluieren und dabei auf Trusted Ownership stoßen, kann dies zunächst wie Blocklisting wirken, da explizite Sperren möglich sind. Tatsächlich ist Trusted Ownership ein deutlich breiteres und operativ wesentlich schlankeres, inspiriertes Durchsetzungsmodell, das die Ausführung auf Basis der Herkunft steuert – nicht nur anhand der Identität.

Statt wachsende Listen zu verwalten, setzt es Sicherheit auf Basis der Frage durch, wer Software auf dem System abgelegt hat, und fügt sich damit nahtlos in moderne Verfahren der Softwareverteilung und Zero-Trust-Prinzipien ein. Am besten versteht man es nicht als weiteren Listenmechanismus, sondern als provenienzorientiertes Durchsetzungsmodell, das die Ausführung auf Basis der Herkunft steuert – nicht nur anhand der Identität.

Dieser Perspektivwechsel führt zu einer besseren Frage für moderne Anwendungskontrolle: nicht nur, was eine Datei ist, sondern wie sie dorthin gelangt ist.

Über Listen hinaus: Warum Provenienzsteuerung heute wichtig ist

Die Frage, wie eine Datei auf das System gelangt ist, steht im Mittelpunkt der Provenienzsteuerung. Statt Dateien ausschließlich anhand von Herausgeber, Pfad oder Hash zu vertrauen, bewertet die Provenienzsteuerung Herkunft und Prozess, durch die sie eingeführt wurden. Wer hat die Datei auf den Datenträger geschrieben? Über welchen Mechanismus? Folgte die Installation einem kontrollierten IT-Workflow? Diese Bewertung verlagert die Anwendungskontrolle vom Objektvertrauen zum Prozessvertrauen und schafft damit eine wesentlich stärkere Sicherheitsgrenze.

In Ivanti Application Control wird Provenienzsteuerung als Trusted Ownership umgesetzt. Jede Datei, die von einem vertrauenswürdigen Eigentümer abgelegt wurde, wird zugelassen; alles, was von einem Benutzer eingebracht wurde, wird standardmäßig abgelehnt. Dies gilt konsistent für ausführbare Dateien, DLLs, Installer und Skripte. Da Identitäten wie SYSTEM, TrustedInstaller und Administrators standardmäßig vertrauenswürdig sind, läuft Software, die über Standard-Bereitstellungskanäle wie MS Intune, MECM, Ivanti Endpoint Manager (EPM) oder andere Enterprise-Tools bereitgestellt wird, sofort – ohne Regelpflege oder Ausnahmen.

Das ist ein grundlegender Bruch mit klassischem Allowlisting. AppLocker-Regeln stehen und fallen mit exakten Definitionen von Herausgeber, Pfad oder Hash. AppLocker bewertet die Installationsherkunft nicht und vertraut Ihren Bereitstellungsmechanismen nicht automatisch. Über Intune bereitgestellte Software erfordert weiterhin eine bereits vorhandene Allow-Regel, häufig gestützt auf breite Standardeinstellungen, die die Verzeichnisse „Program Files“ oder Windows zulassen.

Diese Unterscheidung ist wichtig, weil moderne Angriffe legitime Tools zunehmend in ungeeigneten Kontexten missbrauchen. Provenienzsteuerung neutralisiert einen großen Teil dieses Risikos, indem sie Vertrauen daran knüpft, wie Software ankommt – nicht nur daran, was sie ist. Sie entspricht Zero-Trust-Prinzipien, reduziert Risiken in der Lieferkette und begrenzt standardmäßig die Möglichkeiten für Living-off-the-Land-Missbrauch (LotL) erheblich.

Wenn Sie die Bedeutung der Herkunft verstanden haben, stellt sich als Nächstes die Frage: Wie lässt sich dies in großem Maßstab durchsetzen?

Die Antwort: Provenienz konsequent auf alle Arten anwenden, wie Software ausgeführt und bereitgestellt wird.

Über Blocklists hinaus: Breite Abdeckung für moderne Softwarebereitstellung

Provenienzsteuerung verlagert Anwendungssicherheit weg von der Verwaltung endloser Listen hin zur Validierung des Prozesses, über den Software auf das System gelangt. Aus dieser Perspektive wird klar, dass Trusted Ownership kein Blocklist-Ansatz ist. Es handelt sich um eine herkunftsbasierte Vertrauensgrenze, die sich deutlich anders verhält als klassisches Allowlisting.

Ein häufiges Missverständnis ist, dass Trusted Ownership dem Blocklisting ähnelt, weil Administratoren mitunter gezielte Deny-Regeln für bekannte Windows-Tools hinzufügen. In der Praxis sind diese Deny-Regeln Maßnahmen zur defensiven Härtung gegen Living-off-the-Land-Techniken. Jede ernstzunehmende Methode der Anwendungskontrolle nutzt solche gezielten Einschränkungen. Der Kern von Trusted Ownership ist das Gegenteil von Blocklisting: Software, die über einen kontrollierten und vertrauenswürdigen Prozess bereitgestellt wird, ist standardmäßig erlaubt, während von Benutzern eingebrachte Inhalte standardmäßig abgelehnt werden.

Ein wichtigeres Unterscheidungsmerkmal ist die Abdeckung. Viele Unternehmen, die sich auf klassische Allowlists verlassen, konzentrieren sich am Ende fast ausschließlich auf ausführbare Dateien. Sie vermeiden es häufig, dieselbe Durchsetzung auf DLLs, Skripte und MSI-Pakete anzuwenden, weil diese Dateitypen die Regelpflege erheblich komplexer machen. Dadurch entstehen Lücken, die moderne Angreifer häufig ausnutzen.

Trusted Ownership vermeidet diese Lücken, indem dieselbe herkunftsbasierte Durchsetzung auf die gesamte Ausführungskette angewendet wird. Ausführbare Dateien, DLLs, Skripte, MSI-Installer und zugehörige Komponenten werden nach demselben Vertrauensmodell bewertet. Da Vertrauen davon abhängt, wer die Datei eingebracht hat, benötigen Sie keine separaten Richtlinien für jeden Dateityp. Ein Skript im Downloads-Ordner, eine in einem temporären Build-Verzeichnis erstellte DLL oder eine aus einem Benutzerprofil ausgeführte EXE werden alle standardmäßig abgelehnt, wenn sie außerhalb eines kontrollierten Installationsprozesses entstanden sind.

Dieses Vertrauensmodell passt auch auf natürliche Weise dazu, wie moderne Endpoint-Management-Plattformen Software bereitstellen. Lösungen wie Intune, MECM, Ivanti Neurons for MDM, Ivanti Endpoint Manager und ähnliche Systeme installieren Anwendungen in der Regel über die SYSTEM-Identität oder ein anderes vertrauenswürdiges Dienstkonto.

Da diese Identitäten bereits Trusted Owners sind, läuft über diese Kanäle bereitgestellte Software sofort, ohne Allow-Regeln zu erstellen, Dateipfade zu pflegen oder Richtlinien zu aktualisieren. Nur wenn Sie bewusst alternative Installationskonten verwenden, etwa benutzerdefinierte DevOps-Agents oder skriptgesteuerte Installationen im Benutzerkontext, müssen Sie diese Identität als Trusted Owner festlegen.

Das Ergebnis ist ein Modell mit breiter und konsistenter Abdeckung über alle relevanten Dateitypen hinweg. Es arbeitet nahtlos mit modernen Softwareverteilungen zusammen und vermeidet den operativen Aufwand klassischer Allowlists, die sich hauptsächlich auf ausführbare Dateien konzentrieren.

Trusted Ownership setzt Vertrauen nicht in einzelne Objekte, sondern in die kontrollierten Prozesse, über die Software bereitgestellt wird. So entsteht ein skalierbarerer und sichererer Ansatz für Anwendungskontrolle.

Wo WDAC (App Control for Business) einzuordnen ist

Microsoft unterhält zwei Technologien für die Anwendungskontrolle: AppLocker und App Control for Business (früher WDAC). Obwohl beide weiterhin existieren, ist Microsoft hinsichtlich ihrer Rollen klar. AppLocker hilft dabei, Benutzer an der Ausführung nicht genehmigter Anwendungen zu hindern, erfüllt jedoch nicht die Wartungskriterien für moderne Sicherheitsfunktionen und wird daher als Defense-in-Depth-Mechanismus und nicht als strategische Sicherheitskontrolle eingestuft.

Microsofts Zukunftspfad für Anwendungskontrolle ist App Control for Business; Microsoft erklärt ausdrücklich, dass AppLocker – abgesehen von wichtigen Sicherheitsupdates – funktional abgeschlossen ist und nicht mehr aktiv weiterentwickelt wird. Das bedeutet, dass alle neuen Funktionen nur in WDAC und nicht in AppLocker bereitgestellt werden.

App Control for Business führt das Konzept Managed Installer ein. Dadurch kann Windows Anwendungen automatisch vertrauen, die über bestimmte Bereitstellungsplattformen wie Intune oder MECM installiert wurden. Vertrauen wird aus dem Verteilungskanal statt aus einzelnen Dateien abgeleitet, was die Regelpflege erheblich reduziert.

Dies steht in enger Übereinstimmung mit dem Trusted-Ownership-Modell von Ivanti Application Control. Beide Ansätze vertrauen Software auf Basis des kontrollierten Prozesses, der sie installiert hat, statt auf diskrete Dateiattribute. Trusted Ownership wendet dieses Konzept jedoch einfacher und im Betrieb zugänglicher an. Ivanti vertraut Identitäten wie SYSTEM und festgelegten Dienstkonten, ohne komplexe Richtlinienebenen, XML-Definitionen oder tiefgehende WDAC-Expertise zu erfordern.

Ivanti hört von vielen Unternehmen, dass sie Schwierigkeiten haben, WDAC operativ umzusetzen. WDAC-Richtlinien erfordern sorgfältiges Design, umfangreiche Tests im Audit-Modus, Treiber- und Kernel-Ausnahmemanagement sowie die laufende Pflege mehrerer Richtliniensätze. Dies führt häufig dazu, dass Unternehmen WDAC mit AppLocker kombinieren, um sowohl Low-Level-Durchsetzung als auch alltägliche Kontrolle im Benutzerbereich abzudecken – und am Ende zusätzlichen Verwaltungsaufwand haben.

Ivanti Application Control bietet eine einheitliche Alternative. Durch Trusted Ownership, Trusted Vendors und die Validierung digitaler Signaturen stellt es ein provenienzbasiertes Default-Deny-Modell mit konsistenter Abdeckung über ausführbare Dateien, DLLs, Skripte und MSI-Pakete hinweg bereit.

Statt zwei Microsoft-Steuerungsebenen mit unterschiedlichem Umfang zu pflegen, verwalten Unternehmen eine einzige, optimierte Richtlinie, die Vertrauen danach durchsetzt, wie Software in das System eingebracht wird. Dies erfüllt viele der praktischen Ziele, die Kunden mit einer kombinierten WDAC- und AppLocker-Bereitstellung erreichen möchten – jedoch mit geringerer operativer Komplexität und einem einheitlichen Vertrauensmodell.

LOLBins und Steuerung auf Argumentebene

Nachdem eine breite Abdeckung etabliert ist, stellt sich als Nächstes die Frage, wie mit den legitimen Tools umzugehen ist, die bereits auf jedem Computer vorhanden sind und die Angreifer gerne missbrauchen.

Moderne Angreifer verzichten häufig auf klassische Malware und nutzen stattdessen die Tools, die bereits auf jedem Windows-Gerät vorhanden sind. Diese Living-off-the-Land-Tools (LOLBins) sind legitim und für den normalen Betrieb erforderlich, wodurch sie schwer zu blockieren sind, ohne die Produktivität zu beeinträchtigen. Klassisches Allowlisting stößt hier an Grenzen, weil breit angelegtes Blockieren Workflows unterbricht, während breit angelegtes Zulassen gefährliche Lücken offenlässt.

Ein provenienzbasiertes Modell wie Trusted Ownership verändert diese Dynamik. Selbst wenn ein Angreifer versucht, ein integriertes Tool zu verwenden, stammt der Inhalt, den er ausführen möchte, in der Regel nicht aus einem vertrauenswürdigen Installationsprozess. Da Ivanti die Herkunft dieses Inhalts bewertet, scheitern die meisten Missbrauchsversuche automatisch. Das Tool mag legitim sein, der Inhalt, den es ausführen soll, ist es nicht – und Trusted Ownership stoppt ihn vor der Ausführung.

Wichtig ist außerdem, nicht nur zu verstehen, welche Tools ausgeführt werden, sondern auch, wozu sie aufgefordert werden. Viele Interpreter und Laufzeitumgebungen wie PowerShell, Python oder Java können in einem Kontext vollkommen sicher und in einem anderen riskant sein. Eine Geschäftsanwendung kann auf Java angewiesen sein, um einen bestimmten, genehmigten Prozess zu starten, während eine von einem Benutzer heruntergeladene JAR-Datei ein völlig anderes Szenario darstellt.

Ivanti löst dies mit einem mehrschichtigen Ansatz. Eine JAR-Datei wird zunächst mithilfe von Trusted Ownership bewertet und sofort blockiert, wenn sie von einem Benutzer und nicht über einen kontrollierten Bereitstellungsprozess eingebracht wurde. Darüber hinaus können Administratoren einfache Allow-Regeln erstellen, die genau festlegen, welche Java-Befehle erlaubt sind. So wird sichergestellt, dass nur legitime Java-basierte Anwendungen ausgeführt werden, während Versuche, nicht genehmigte JAR-Dateien zu starten, unauffällig abgelehnt werden.

Dasselbe Prinzip gilt auch für andere Tools. Richtlinien können genau das Verhalten genehmigen, das Ihr Unternehmen benötigt, und gleichzeitig Aktivitäten blockieren, die außerhalb dieser Grenzen liegen. Dadurch werden breite, anfällige Regeln vermieden, und die tägliche Arbeit läuft reibungslos weiter.

Das Ergebnis ist ein ausgewogener und moderner Ansatz. Trusted Ownership stoppt nicht vertrauenswürdige Inhalte standardmäßig. Gezielte Härtung entspricht Best Practices von Behörden und Community zur Reduzierung von Living-off-the-Land-Missbrauch, und absichtsorientierte Kontrollen stellen sicher, dass legitime Prozesse weiterhin funktionieren, ohne Angreifern Türen zu öffnen.

Dieser Ansatz steht in enger Übereinstimmung mit aktuellen Empfehlungen von Community und Behörden zur Eindämmung von Living-off-the-Land-Techniken. Behörden wie CISA, NSA, FBI und das Australian Cyber Security Centre betonen, dass Angreifern weniger Möglichkeiten gegeben werden sollten, integrierte Tools zu nutzen, indem deren Verwendung kontrolliert und die nicht vertrauenswürdigen Inhalte eingeschränkt werden, auf die sie zugreifen. Die gemeinsamen Leitlinien heben hervor, dass LOTL-Angriffe auf dem Missbrauch nativer Tools beruhen, und unterstreichen die Notwendigkeit von Kontrollen, die diesen Missbrauch begrenzen, ohne legitime Systemprozesse zu blockieren.

Das Modell von Ivanti spiegelt diese Empfehlungen wider. Trusted Ownership blockiert automatisch die nicht vertrauenswürdigen Inhalte, auf die Angreifer angewiesen sind, während eine kleine Zahl gezielter Einschränkungen die wenigen Tools adressiert, die besondere Aufmerksamkeit erfordern.

Trusted Ownership in der Praxis: Szenarien aus der realen Welt

Hier einige operative Beispiele dafür, wie Ivanti Application Control und Trusted Ownership in der Praxis funktionieren.

Eine portable Anwendung wird in das Benutzerprofil kopiert. Ivanti blockiert sie, weil sie im Besitz des Benutzers ist. AppLocker blockiert nur, wenn passende Regeln vorhanden sind. Ohne die richtigen Pfad- oder Herausgeberregeln kann sich das Verhalten unterscheiden.
Ein E-Mail-Anhang startet ein PowerShell-Skript aus „Downloads“. Ivanti lehnt es aufgrund des Benutzerbesitzes ab. AppLocker hängt von Skriptregeln ab und versetzt PowerShell bei Blockierungsereignissen in den Constrained Language Mode, der das Skript dennoch ausführt.
Missbrauch von Betriebssystem-Tools wie rundll32 oder mshta. Beide Modelle benötigen gezielte Deny-Härtung. Ivanti kombiniert dies mit Provenienzsteuerung, wodurch sich die Anzahl der benötigten Ausnahmen in der Regel reduziert. AppLocker stützt sich auf kuratierte Deny-Sets und erfordert regelmäßige Feinabstimmung.
Ein Hersteller-Update liefert neue signierte Dateien aus. Ivanti lässt das Update zu, wenn es aufgrund von Trusted Ownership über den vertrauenswürdigen Bereitstellungskanal ankommt. AppLocker kann dies mit Herausgeberregeln abbilden, doch die Wiederverwendung von Signaturen über mehrere Produkte hinweg oder ungewöhnliche Installationspfade führen häufig zu zusätzlicher Wartung und breiterem Vertrauen als beabsichtigt.
Ein Benutzer lädt eine JAR herunter und versucht, sie mit Java auszuführen. Ivanti blockiert den Versuch, weil die JAR vom Benutzer eingebracht wurde und Trusted Ownership nicht erfüllt. Bei Bedarf können Administratoren nur den exakt genehmigten Aufruf zulassen, indem sie die vollständige Befehlszeile abgleichen. AppLocker kann keine Argumente abgleichen und stützt sich auf Herausgeber-, Pfad- oder Hash-Regeln.

Fazit

Provenienzsteuerung verlagert Anwendungskontrolle von einem Verwaltungsproblem hin zu einem Vertrauensmodell. Statt einzelnen Dateien zu vertrauen, vertraut sie dem Prozess, über den Software auf ein System gelangt. So wird Sicherheit sowohl skalierbar als auch praktikabel.

Trusted Ownership passt genau in diesen Ansatz. Es ist weder eine Blocklist noch eine klassische Allowlist, sondern ein Modell, bei dem Software, die über einen kontrollierten IT-Prozess ankommt, standardmäßig erlaubt wird, während alles außerhalb dieses Prozesses standardmäßig abgelehnt wird. Durch die Durchsetzung auf Basis von Herkunft und Besitz statt auf Basis einzelner Ad-hoc-Dateien sind Ivanti Application Control und Ivanti Neurons for App Control deutlich besser auf moderne Angriffstechniken und die heutige Softwareverteilung ausgerichtet.

Wenn Sie Anwendungskontrolle weiterhin als Listenverwaltung behandeln, werden Sie den administrativen Aufwand spüren. Wenn Sie sie als Vertrauensgrenze betrachten, gewinnen Sie Skalierbarkeit, Sicherheit und operative Umsetzbarkeit.

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil zwei: Die Umsetzung braucht Zeit

Mon, 28 Aug 2023 17:43:02 Z

In einem früheren Blog-Beitrag habe ich die zwei Hauptbereiche für die Prüfung erörtert, bevor die aktualisierte Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) der Europäischen Union im Oktober 2024 ratifiziertes Recht wird. Konkret würden diese Audits:

Ihre Lücken bezüglich der Anforderungen der NIS2-Richtlinie identifizieren.

Ihre aktuellen Sicherheitsmängel in der Lieferkette überprüfen

Jetzt, da wir diese Sicherheitslücken entdeckt haben, müssen wir sie beheben – bevor die Zeit im Oktober 2024 abläuft.

In diesem Beitrag zeige ich Ihnen, wie Sie Ihre größten Sicherheitsschwächen noch vor Ablauf der NIS2-Richtlinie beheben können, indem Sie diese drei Schlüsselbereiche angehen:

Informieren Sie das Management über Ihre Cybersicherheitslücken
Setzen Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt um
Finden Sie Zeit für die Schulung aller Ihrer Mitarbeitenden

1. Informieren Sie das Management über Ihre Lücken – und erhalten Sie ein Budget, um sie zu beheben.

Die NIS2-Richtlinie erlegt Organisationen, die in ihren Anwendungsbereich fallen, erhebliche Verpflichtungen auf, die erhebliche Kosten und Ressourcen nach sich ziehen können. Die Richtlinie sieht auch hohe Geldstrafen und Sanktionen für die Nichteinhaltung vor, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes einer Organisation betragen können (Artikel 34).

Darüber hinaus kann die neue Richtlinie in bestimmten Situationen die Haftung von Unternehmen auf ihre einzelnen Vertreter ausweiten. Außerdem können Personen in Führungspositionen unter bestimmten Voraussetzungen vorübergehend suspendiert werden (Artikel 32-5b).

Daher ist die Befolgung der NIS2-Richtlinie eine rechtliche Notwendigkeit und eine strategische Priorität.

Um die Vorschriften einzuhalten, müssen Sie folgendes tun:

Informieren Sie Ihr Management über die Auswirkungen und Vorteile und überzeugen Sie es davon, ausreichend Budget und Ressourcen für die Umsetzung der Compliance bereitzustellen.
Präsentieren Sie einen klaren Business Case, der die Risiken der Nichteinhaltung, die Chancen der Einhaltung und die Rentabilität der Investition darlegt.
Zeigen Sie, wie die Einhaltung von Vorschriften den Ruf, die Vertrauenswürdigkeit, die Wettbewerbsfähigkeit und die Widerstandsfähigkeit Ihres Unternehmens verbessern wird.

Das Management zu informieren und ein Budget zu erhalten, ist eine schwierige Aufgabe, die eine überzeugende und evidenzbasierte Argumentation erfordert, die den Wert der Cybersicherheit für Ihr Unternehmen aufzeigt.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, sich die Zustimmung und Unterstützung des Managements zu sichern.

Mögliche Geschäftsvorteile für die Einhaltung von NIS2

Einige mögliche Vorteile, die Sie in Ihrem Business Case hervorheben können, sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und so weiter legen.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Reduzierung von Fehlern usw.
Innovation durch die Einführung neuer Technologien, die Entwicklung neuer Produkte oder Dienstleistungen, die Schaffung neuer Märkte und mehr.
Befolgung anderer Cybersicherheitsvorschriften oder -standards jenseits von NIS2 – wie DSGVO/GDPR, ISO 27001, PCI DSS und andere – da globale Rahmenwerke oft eine große Überschneidung mit den Compliance-Anforderungen von NIS2 aufweisen.

Mögliche Informationsquellen für die Begründung Ihres Business Case zur Einhaltung von NIS2

Einige Quellen, die Sie zur Unterstützung Ihres Business Case verwenden können, sind:

Statistiken oder Fakten die die Häufigkeit, die Auswirkungen oder die Kosten von Cyberangriffen in Ihrem Sektor oder Ihrer Region zeigen.
Fallstudien oder Beispiele, die zeigen, wie andere Organisationen von der Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften profitiert haben. Der Bericht Enisa NIS Investments 2022 zeigt beispielsweise, dass für 62 % der Organisationen, die die ältere NIS-Richtlinie umgesetzt haben, solche Implementierungen bei der Erkennung von Sicherheitsvorfällen hilfreich waren; für 21 % waren die Implementierungen bei der Wiederherstellung von Sicherheitsvorfällen hilfreich.
Empfehlungen oder Feedback von Kunden, Partnern, Aufsichtsbehörden oder Experten, die die Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften befürworten oder empfehlen.
Benchmarks oder Indikatoren, die Ihre aktuelle oder geplante Cybersicherheitsleistung oder Ihren Fortschritt im Vergleich zur NIS2-Richtlinie oder zu Ihren Wettbewerbern aufzeigen.
Ivanti’s 2023 Cyberstrategy Tool Kit for Internal Buy-In ist ebenfalls eine großartige Ressource, welche die nötige Zeit und die Kosten erklärt und beschreibt, wie eine Lösung hilft, sich gegen bestimmte Arten von Cyberangriffen zu verteidigen, und wie man auf häufige Einwände reagiert und sie überwindet.

Allgemeine geschäftliche Vorteile der Einhaltung der NIS2-Richtlinie

Einige der Vorteile der Einhaltung der NIS2-Richtlinie sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw. Nach einem Bericht von IBM beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf 4,82 Millionen US-Dollar für Unternehmen mit kritischen Infrastrukturen, und die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Verletzung betrug 277 Tage. Wenn Sie Maßnahmen ergreifen, um die NIS2-Richtlinie einzuhalten, wird die durchschnittliche Zeit, die für die Identifizierung und Eindämmung eines Verstoßes benötigt wird, viel kürzer sein, und die Kosten des Angriffs werden geringer sein.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und ähnliche Faktoren legen. Laut einer Umfrage von PwC geben 87 % der Verbraucher an, dass sie ihre Geschäfte woanders tätigen würden, wenn sie den Datenpraktiken eines Unternehmens nicht trauen, und 71 % der Verbraucher sagen, dass sie die Produkte oder Dienstleistungen eines Unternehmens nicht mehr nutzen würden, wenn sie herausfinden, dass es ihre Daten ohne ihre Zustimmung weitergibt, was bei einem Datenleck passieren könnte.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Verringerung von Fehlern und so weiter. Accenture hat herausgefunden, dass Unternehmen, die fortschrittliche Sicherheitstechnologien einsetzen, die Kosten für Cyberkriminalität um bis zu 48 % senken können.
Erfüllung anderer Vorschriften oder Standards, die Cybersicherheit erfordern, wie DSGVO/GDPR, ISO 27001, PCI DSS oder andere. Cisco weist darauf hin, dass 97 % der Unternehmen, die DSGVO/GDPR befolgen, Vorteile sehen, wie z. B. Wettbewerbsvorteile, betriebliche Effizienz und geringere Verzögerungen im Vertrieb. Ähnliche Ergebnisse sind wahrscheinlich durch die Einhaltung von NIS2 zu erzielen.

Was die Budgetierung anbelangt, so heißt es im Richtlinienvorschlag der Europäischen Kommission (Anhang 7 – 1.4.3), dass Unternehmen, die in den Anwendungsbereich des NIS2-Rahmens fallen, in den ersten Jahren nach der Einführung des NIS2-Rahmens schätzungsweise maximal 22 % ihrer derzeitigen IKT-Sicherheitsausgaben erhöhen müssten.

In dem Vorschlag wird jedoch auch erwähnt, dass diese durchschnittliche Erhöhung der IKT-Sicherheitsausgaben zu einem proportionalen Nutzen solcher Investitionen führen würde, insbesondere aufgrund einer beträchtlichen Reduzierung der Kosten von Cybersicherheitsvorfällen.

2. Neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen

Nachdem Sie die Lücken erforscht und ein Budget erstellt haben, ist es an der Zeit, diese Lücken zu schließen. Die NIS2-Richtlinie verpflichtet Unternehmen, geeignete organisatorische und technische Maßnahmen zu ergreifen, um ihre Cybersicherheitsrisiken zu verwalten und ein hohes Maß an Sicherheit in ihren Netzwerken und Informationssystemen zu gewährleisten.

Zu diesen Maßen gehören:

Annahme von Richtlinien und Verfahren für das Risikomanagement, die Reaktion auf Vorfälle, die Geschäftskontinuität, den Datenschutz und so weiter.
Einrichtung von Rollen und Verantwortlichkeiten für die Verwaltung, Überwachung, Koordinierung und andere Bereiche der Cybersicherheit.
Angebot von Schulungen und Sensibilisierungsprogrammen für Mitarbeitende, Management, Kunden, etc.
Implementierung grundlegender Cyber-Hygiene wie Verschlüsselung, Authentifizierung (MFA), Firewalls, Antivirensoftware, Patches, Zero Trust-Zugang und so weiter.
Durchführung regelmäßiger Tests, Überwachung, Audits und anderer Maßnahmen.

Die Umsetzung dieser organisatorischen und technischen Maßnahmen ist keine einmalige oder statische Aufgabe. Sie erfordert die Einrichtung eines kontinuierlichen und dynamischen Prozesses, der sich an veränderte Bedrohungen, Technologien, Vorschriften und Geschäftsanforderungen anpasst.

Für diesen Prozess gilt also derselbe Rat wie für die anderen Punkte, die wir bereits behandelt haben: Je früher Sie damit beginnen, desto mehr Zeit haben Sie, um die notwendigen Maßnahmen umzusetzen und deren Effektivität und Effizienz sicherzustellen.

Ich würde Ihnen raten, mindestens im Januar 2024 mit der Umsetzung zu beginnen, damit Sie noch vor den Sommerferien fertig sind.

Nächste Schritte für die Umsetzung der NIS2-Richtlinie

Einige mögliche Schritte, die Sie zur Umsetzung organisatorischer und technischer Maßnahmen unternehmen können, sind:

Entwicklung und Implementierungeines risikobasierten Managementprozesses, der Ihre Ziele, den Umfang, die Rollen, die Verantwortlichkeiten, die Ressourcen, die Zeitpläne und die Messgrößen für die Verwaltung Ihrer Cybersicherheitsrisiken definiert.
Implementierung einer Sicherheitsrichtlinie, die Ihre Prinzipien, Richtlinien, Standards und Verfahren zur Gewährleistung der Sicherheit Ihres Netzwerks und Ihrer Informationssysteme festlegt.
Durchführen von Risikobewertungen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu identifizieren und Ihre Maßnahmen auf der Grundlage Ihrer Risikobereitschaft und -toleranz zu priorisieren.
Implementierung von Sicherheitskontrollen, die Ihr Netzwerk und Ihre Informationssysteme vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Zerstörung schützen. Diese Kontrollen lassen sich in drei Kategorien einteilen: präventiv (z.B. Verschlüsselung), investigativ (z.B. Monitoring) und korrigierend (z.B. Backups).
Implementierung eines Plans zur Reaktion auf Vorfälle, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für eine effektive und effiziente Reaktion auf Cybervorfälle definiert.
Implementierung eines Business Continuity Plans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die Aufrechterhaltung oder Wiederherstellung Ihrer kritischen Geschäftsprozesse während einer cyberbedingten Störung oder Katastrophe definiert.
Implementierung eines Überprüfungs- und Verbesserungsplans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die regelmäßige Bewertung, Berichterstattung und Verbesserung Ihrer Cybersicherheitsmaßnahmen definiert.
Implementierung der technischen Kontrollen für die Asset-Verwaltung und grundlegende Cyber-Hygiene.

Der Verweis der Richtlinie auf die ‚grundlegende Cyberhygiene‘ ist in Artikel 21 etwas vage, daher werden wir in einem anderen Blogbeitrag darauf eingehen. Denken Sie zunächst an grundlegende Sicherheitsmaßnahmen wie z.B.:

MFA
Schnelles Patchen von Betriebssystem und Anwendungen
Absicherung von Netzwerkverbindungen in öffentlichen Netzwerken.
Verschlüsselung aller Laufwerke (insbesondere Wechsellaufwerke).
Verwaltung von Privilegien und Schulung aller Mitarbeitenden.
Abonnieren von Kanälen, die Sie über die neuesten Patches und Prioritäten informieren, wie z.B. die Patch Tuesday Webinare von Ivanti.

3. Reparieren Sie das schwächste Glied in der Kette: Nehmen Sie sich die Zeit, alle Mitarbeitenden zu schulen

Die NIS2-Richtlinie erkennt an, dass menschliche Faktoren für die Cybersicherheit von entscheidender Bedeutung sind und dass Mitarbeiter oft das schwächste Glied – sowie die erste Verteidigungslinie – bei der Verhinderung oder Aufdeckung von Cyberangriffen sind.

Die Richtlinie verpflichtet Organisationen, angemessene Schulungs- und Sensibilisierungsprogramme für ihre Mitarbeitenden, Nutzer digitaler Dienste und andere Stakeholder zu Fragen der Cybersicherheit bereitzustellen.

Die Schulung aller Ihrer Mitarbeitenden ist keine punktuelle oder optionale Aufgabe. Es erfordert ein regelmäßiges und umfassendes Programm, das Themen beinhaltet wie z.B.:

Grundlegende Konzepte und Terminologie der Cybersicherheit.
Übliche Cyberbedrohungen und Angriffsvektoren.
Bewährte Praktiken und Tipps für Cyberhygiene.
Cybersecurity-Richtlinien und -Verfahren, die für Endbenutzer relevant und vereinfacht sind.
Die Rolle und Verantwortung jedes Benutzers für die Cybersicherheit seines Unternehmens.
Wie man Vorfälle meldet und auf sie reagiert.

Es ist wichtig zu beachten, dass diese Schulung von allen im Unternehmen absolviert werden sollte, nicht nur von IT-Mitarbeitern. Auch das Management sollte diese Schulung absolvieren.

Eine im Auftrag von Ivanti durchgeführte Umfrage zeigt, dass viele Mitarbeitende nicht einmal von den obligatorischen Cybersicherheitsschulungen wissen. Nur 27 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. 6 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing bei der Arbeit zu erkennen und zu melden.

In Enisas Bericht über NIS-Investitionen 2022 erwähnt Enisa, dass 40 % der befragten OES (Betreiber essentieller Dienste) kein Sicherheitsprogramm für Nicht-IT-Mitarbeiter haben.

Es ist wichtig, zu überwachen, wer noch nicht geschult wurde und entsprechend zu handeln. Die Schulung aller Ihrer Mitarbeitenden ist nicht nur für die Einhaltung der Vorschriften von Vorteil, sondern auch für Produktivität, Qualität, Innovation und Kundenzufriedenheit.

Die besten NIS2-Ratschläge, die wir geben können

Die NIS2-Richtlinie ist eine bedeutende Gesetzgebung, die darauf abzielt, die Cybersicherheit in kritischen Sektoren in der EU zu verbessern. Sie erlegt den Organisationen, die in ihren Geltungsbereich fallen, erhebliche Verpflichtungen auf und sieht bei Nichteinhaltung hohe Geldstrafen und Sanktionen vor.

Die Befolgung der NIS2-Richtlinie ist eine komplexe Aufgabe. Sie erfordert einen proaktiven und umfassenden Ansatz, der mehrere Schritte, Stakeholder und Ressourcen umfasst.

Je früher Sie mit den Vorbereitungen beginnen, desto besser werden Sie vorbereitet sein, wenn sie im Oktober 2024 in Kraft tritt.

Der beste Rat, den wir Ihnen geben können? Warten Sie nicht bis dahin: Beginnen Sie jetzt mit der Vorbereitung auf die NIS2-Richtlinie!

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil eins: Audits brauchen Zeit

Mon, 28 Aug 2023 17:14:55 Z

Sie haben wahrscheinlich von der aktualisierten Richtlinie der Europäischen Union zur Netz- und Informationssicherheit (NIS2) gehört. Diese Richtlinie wird im Oktober 2024 in aktives Recht umgesetzt. Sie sollten darauf vorbereitet sein, denn es drohen hohe Geldstrafen und Sanktionen bei Nichteinhaltung.

Aber Sie denken vielleicht, dass Oktober 2024 noch weit weg ist, oder?

Doch wie können Sie wissen, ob Sie genügend Zeit haben, sich vorzubereiten, wenn Sie nicht wissen, wie gut Sie die geplanten Vorschriften derzeit einhalten?

Zwischen jetzt und Oktober 2024 müssen Sie also Ihren aktuellen Cybersicherheitsstatus überprüfen. Konkret:

Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort
Überprüfen Sie Ihre aktuellen Sicherheitsmängel in der Lieferkette

Im zweiten Teil dieser Serie gehe ich auf die drei Bereiche ein, die Sie angehen müssen, um die Lücken zu schließen, die Ihre Audits aufdecken – einschließlich folgenden Dingen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.

1. Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Steigerung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht. Sie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit Schritt zu halten.

Die Richtlinie dehnt den Geltungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen aus und verbessert die Widerstandsfähigkeit und Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der gesamten EU.

Die NIS2-Richtlinie skizziert verstärkte Maßnahmen zur Abwehr von Cyberangriffen, um Sicherheitslücken zu minimieren und die Cyberverteidigung zu verbessern.

Um die NIS2-Richtlinie einzuhalten, müssen Sie folgendes leisten:

Bewerten Sie Ihre Cybersicherheitslage und identifizieren Sie alle Lücken oder Schwächen, die Sie Cyberrisiken aussetzen könnten.
Gleichen Sie Ihre bestehenden Richtlinien, Verfahren und Kontrollen mit den Anforderungen der Richtlinie ab und sehen Sie, wo Sie sie verbessern oder aktualisieren müssen.
Bewerten Sie Ihre Fähigkeiten zur Reaktion auf Vorfälle und Ihre Berichterstattungsmechanismen und stellen Sie sicher, dass diese mit den Standards der Richtlinie übereinstimmen.

Ein großes Problem mit der NIS2 ist, dass sie Ihnen sagt, was Sie tun sollen, aber nicht, wie Sie es tun sollen. Glücklicherweise gibt es mehrere Frameworks, die Ihnen beim Wie helfen können, darunter:

In Belgien hat die CCB ein Cyberfundamentals Framework geschaffen, das auf mehreren Frameworks basiert und Hinweise darauf enthält, wie sich die verschiedenen Teile der Frameworks auf die GDPR und NIS2 beziehen.

Nach der Auswahl des Frameworks müssen Sie Lücken in Bezug auf das gewählte Framework und die Anforderungen der Richtlinie identifizieren. Die Identifizierung von Lücken ist keine einfache oder schnelle Aufgabe. Sie erfordert eine gründliche und systematische Analyse des Reifegrads und der Bereitschaft Ihres Unternehmens in Sachen Cybersicherheit.

Sie müssen nicht nur Ihre Strategie und Richtlinien im Bereich Cybersicherheit überprüfen, sondern auch eine Risikoanalyse durchführen, um die kritischsten Assets und die von ihnen ausgehenden Cybersicherheitsrisiken zu ermitteln. Dann sollten Sie Sicherheitskontrollen in Betracht ziehen, um den Risikowert dieser wichtigen Assets zu senken.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, um das Budget zu erhalten, das Sie benötigen, um alle Probleme zu lösen und alle notwendigen Änderungen umzusetzen.

Mögliche NIS2-Umgebungslücken

Einige mögliche Lücken, auf die Sie in Ihrer Umgebung stoßen könnten, sind:

Fehlen einer umfassenden Cybersicherheitsstrategie oder -politik, die alle Aspekte des Risikomanagements, der Reaktion auf Vorfälle, der Geschäftskontinuität, des Datenschutzes usw. abdeckt.
Fehlen eines speziellen Cybersecurity-Teams oder einer Funktion, das/die alle Cybersecurity-Aktivitäten und -Initiativen im gesamten Unternehmen beaufsichtigt, koordiniert und überwacht.
Mangel an angemessenen Sicherheitskontrollen oder -maßnahmen zum Schutz Ihres Netzwerks und Ihrer Informationssysteme vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Veränderung oder Zerstörung.
Fehlende regelmäßige Tests oder Audits Ihrer Sicherheitskontrollen oder -maßnahmen, um deren Effektivität und Übereinstimmung mit den Anforderungen der Richtlinie sicherzustellen.
Mangel an angemessenen Schulungen oder Sensibilisierungsprogrammen für Ihre Mitarbeiter, das Management, andere Mitarbeitende oder andere Stakeholder zu Fragen der Cybersicherheit und bewährten Verfahren.
Mangel an klaren Kommunikations- oder Meldekanälen für die Benachrichtigung der zuständigen Behörden oder Parteien über alle Vorfälle oder Verstöße, die Ihre Dienste betreffen.

Mögliche Sicherheitslösungen für Ihre Umgebung zur Einhaltung von NIS2

Um diese Sicherheitslücken zu erkennen und zu beheben, können Sie:

Gap-Analyse-Frameworks oder -Modelle durchführen, die Ihnen helfen, Ihren aktuellen Zustand mit dem gewünschten Zustand zu vergleichen und Bereiche mit Verbesserungsbedarf zu identifizieren.
Cybersecurity-Reifegradmodelle oder -Standards implementieren, die Ihnen helfen, Ihr Leistungsniveau und Ihren Fortschritt im Bereich Cybersecurity zu messen.
Eine Risikobewertung durchführen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu ermitteln.
Externe Audits oder Bewertungen beauftragen, die Ihnen helfen, Ihren Compliance-Status zu überprüfen und Schwachstellen oder Mängel zu identifizieren.

2. Überprüfen Sie die aktuellen Sicherheitsmängel in der Lieferkette mit genügend Zeit, um die Maßnahmen mit den Lieferanten zu koordinieren.

Die NIS2-Richtlinie führt auch neue Bestimmungen zur Sicherheit der Lieferkette ein (Kapitel 0, Punkt 54, 56) und berücksichtigt damit, dass Cyber-Bedrohungen auch von Drittanbietern oder Subunternehmern ausgehen können.

Die Richtlinie verlangt von Unternehmen, dass sie sicherstellen, dass ihre Lieferanten angemessene Sicherheitsstandards und -praktiken einhalten (Artikel 21-2d) und ihre Leistung und Einhaltung regelmäßig überwachen (Artikel 21-3).

Dies hat seinen Grund. Angriffe auf die Lieferkette sind auf dem Vormarsch:

In einer BlackBerry-Umfrage mit über 1500 IT-Entscheidungsträgern im Jahr 2022 gaben vier Fünftel der Befragten an, dass sie innerhalb eines Jahres von einem Angriff oder einer Sicherheitslücke in ihrer Lieferkette erfahren haben. Siebenundsiebzig Prozent gaben an, dass sie versteckte Teilnehmer in ihrer Software-Lieferkette aufgedeckt haben, die ihnen vorher nicht bekannt waren.

Untersuchungen von Accenture zeigen außerdem, dass 40 % der Sicherheitsverletzungen indirekt sind und über die Lieferkette erfolgen.

Daher ist die Sicherung Ihrer Lieferkette essentiell, um die Kontinuität Ihres Unternehmens, Ihre Widerstandsfähigkeit, Ihren Ruf und Ihr Vertrauen zu gewährleisten.

Aber in Ivantis Press Reset: A 2023 Cybersecurity Status Report haben wir herausgefunden, dass nur 42 % der über 1.300 befragten Führungskräfte und Sicherheitsexperten angaben, dass sie auf den Schutz vor Bedrohungen in der Lieferkette vorbereitet sind, obwohl 46 % dies als eine Bedrohung ersten Ranges bezeichnen.

Bedrohungen der Lieferkette kommen nicht nur durch Angriffe auf Lösungsanbieter wie Okta, Kaseya oder SolarWinds, sondern auch durch Partner, die entweder direkt mit Ihrer IT-Infrastruktur verbunden sind oder sich in diese einloggen können.

Und vergessen Sie nicht die Angriffe auf Ihre Ressourcenlieferanten, die diese lahmlegen könnten, so dass sie bestimmte Ressourcen, die Sie für Ihre eigenen Operationen benötigen, nicht mehr liefern können. Sie müssen darauf vorbereitet sein und über Ersatzanbieter verfügen, die diese Ressourcen liefern können, wenn Ihr Hauptlieferant aufgrund eines Cyberangriffs oder aus anderen Gründen ausfällt.

Die Sicherheit der Lieferkette ist ein komplexes und anspruchsvolles Thema, das zahlreiche Akteure, Abhängigkeiten und Verbindungen umfasst - und nicht von heute auf morgen erreicht werden kann.

Sie müssen:

Klare und transparente Kommunikationskanäle mit Ihren Lieferanten schaffen und Ihre Erwartungen und Verpflichtungen bezüglich der Cybersicherheit definieren.
Regelmäßige Audits und Bewertungen der Sicherheitspraktiken Ihrer Lieferanten durchführen und sich vergewissern, dass diese die Anforderungen der Richtlinie erfüllen.
Notfallpläne und Backup-Lösungen für den Fall einer Unterbrechung oder Beeinträchtigung Ihrer Lieferkette etablieren.

Außerdem müssen Sie so bald wie möglich mit Ihren Lieferanten ins Gespräch kommen und mit ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Lieferkette sicher und widerstandsfähig ist.

Herausforderungen für die Sicherheit der Lieferkette bei NIS2

Einige mögliche Herausforderungen, denen Sie bei der Sicherung Ihrer Lieferkette begegnen können, sind:

Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Vorfälle Ihrer Lieferanten.
Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Probleme bei Ihren Lieferanten.
Mangelnde Konsistenz oder Angleichung von Sicherheitsstandards, Anforderungen oder Erwartungen innerhalb Ihrer Lieferkette.
Mangel an Ressourcen oder Fähigkeiten, um die Sicherheitsleistung oder -einhaltung Ihrer Lieferanten zu überwachen, zu prüfen oder zu verifizieren.
Fehlen von Notfallplänen oder Backup-Lösungen, um Unterbrechungen oder Beeinträchtigungen Ihrer Lieferkette abzumildern oder zu beheben.
Mangel an Informationen darüber, was Sie von den Sicherheitspraktiken Ihres Lieferanten erwarten.

Lösungen für die Sicherheit der Lieferkette bei NIS2

Um diese Herausforderungen in der Lieferkette zu meistern, können folgendes tun:

Schließen Sie klare Verträge oder Vereinbarungen mit Ihren Lieferanten ab, die deren Sicherheitsverpflichtungen, Verantwortlichkeiten und Haftungen festlegen.
Entwickeln Sie gemeinsame Sicherheitskriterien, Richtlinien oder Rahmenwerke, die für alle Lieferanten in Ihrer Lieferkette gelten und mit den Anforderungen der Richtlinie übereinstimmen.
Implementieren Sie Sicherheitskontrollen, -maßnahmen oder -tools, die es Ihnen ermöglichen, die Sicherheitsaktivitäten, Vorfälle oder den Compliance-Status Ihrer Lieferanten zu verfolgen, zu überwachen oder zu überprüfen.
Schaffen Sie gemeinsame Sicherheitsteams, Ausschüsse oder Foren, die den Informationsaustausch, die Zusammenarbeit und die Koordination zwischen Ihren Lieferanten oder zwischen Ihnen und Ihren Lieferanten erleichtern.
Bauen Sie Vertrauen und gegenseitiges Verständnis mit Ihren Lieferanten durch regelmäßige Kommunikation, Feedback und Anerkennung auf.

Wenn die Prüfungen der NIS2-Richtlinie abgeschlossen sind, was nun?

Nachdem Sie nun festgestellt haben, wo Sie in Bezug auf die NIS2-Richtlinie stehen, ist es an der Zeit, wichtige Änderungen vorzunehmen, um die Einhaltung bis Oktober 2024 sicherzustellen. Ich bin mir sicher, dass Sie für die Beseitigung der Lücken, die Sie bei Ihren Audits festgestellt haben, alle Zeit brauchen werden, die Sie haben – und noch etwas mehr! – bevor die Vorschriften in Ihrem Land offiziell umgesetzt werden.

Aber wie können Sie diese Lücken systematisch und zeitnah schließen? Wir besprechen die drei Bereiche der Sicherheitsänderungen, die Sie für NIS2 benötigen, in unserem nächsten Blog-Beitrag, in dem wir untersuchen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.