Identity Security als Schlüssel bei der NIS2-Umsetzung
Viele Unternehmen fühlen sich von der NIS2-Richtlinie überfordert und stehen zunehmend unter Druck, sie umzusetzen. Ein auf Zero-Trust-Prinzipien basierender Schutz sowohl menschlicher als auch maschineller Identitäten (Identity Security) kann dabei helfen.
Mit der zweiten Auflage ihrer Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) will die Europäische Union das Security-Niveau in den Mitgliedsstaaten deutlich anheben. Deshalb nimmt sie mit dem Nachfolger der aus dem Jahr 2016 stammenden NIS weitaus mehr Unternehmen in die Pflicht, führt strengere Sicherheitsmaßnahmen sowie Meldepflichten ein – und erhöht den Druck durch höhere Bußgelder und eine persönliche Haftung des Top-Managements. Betroffen sind Unternehmen aus 18 Sektoren, darunter nun auch Kommunikationsdienstleister, Lebensmittelproduzenten und -händler, Post- und Kurierdienste sowie die Hersteller kritischer Produkte. Sie alle müssen gewisse Mindeststandards bei der IT-Sicherheit erfüllen, um nicht Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes zu riskieren.
Unter anderem verlangt die NIS2 nach einer grundlegenden „Cyber-Hygiene“ mit regelmäßigen Hardware- und Software-Aktualisierungen, Passwort-Änderungen, möglichst wenigen Accounts mit Administrator-Berechtigungen sowie zuverlässigen Datensicherungen. Darüber hinaus müssen Unternehmen verschiedene technische und organisatorische Maßnahmen umsetzen, um beispielsweise ihre Informationssysteme zu schützen und Sicherheitsvorfälle binnen 24 Stunden zu melden. Sie müssen Verschlüsselung sowie eine Multifaktor-Authentifizierung, kontinuierliche Authentifizierung einsetzen und – auch das ist neu – ihre Lieferkette absichern. Das ist der EU besonders wichtig, da Unternehmen heute eng mit einer Vielzahl von Lieferanten, Dienstleistern und Cloud-Anbietern vernetzt sind und Schwachstellen bei einem der Partner oft weitreichend Folgen haben. Nicht umsonst sind kompromittierte externe Accounts eines der häufigsten Einfallstore für Cyberkriminelle.
Identity Security: Zero Trust reduziert Risiken
Viele Vorgaben der NIS2 lassen sich durch einen auf Zero-Trust-Prinzipien basierenden Schutz von Identitäten (Identity Security) abdecken. Dieser geht davon aus, dass sämtliche menschlichen und maschinellen Identitäten nicht vertrauenswürdig sind, weil sie kompromittiert sein könnten – und deshalb beim Zugriff auf Unternehmensressourcen konsequent verifiziert werden müssen. Dabei gilt: Je kritischer der Zugriff ist, desto stärker sollte die Authentifizierung sein. Idealerweise wird bei der Prüfung zudem der Kontext mit einbezogen, um zu bestimmen, welche Authentifizierungsfaktoren abgefragt werden, da Zugriffe von ungewöhnlichen Orten, zu untypischen Zeiten, von unbekannten Geräten oder auf sonst nicht benötigte Ressourcen auf ein erhöhtes Risiko hindeuten. Moderne Lösungen für Identity Security nutzen für diese Risikobewertungen auch KI.
Standardmäßig sollte keine Identität dauerhaft mit umfangreichen oder sogar administrativen Berechtigungen ausgestattet sein (Least Privilege), um das Missbrauchspotenzial im Falle einer Kompromittierung zu minimieren. Werden Rechte für den Zugriff auf Anwendungen, Cloud-Services, Daten, Systeme oder Netzwerkbereiche benötigt, kann eine Identity-Security-Lösung diese passgenau zuweisen (Just in Time) und nach einer vordefinierten Zeitspanne auch wieder entziehen. Auf diese Weise lässt sich verhindern, dass Identitäten immer mehr Rechte ansammeln und das Least-Privilege-Prinzip unterlaufen. Ein Monitoring hilft dann nicht nur, Nachweise für Audits zu erbringen, sondern auch Erkenntnisse zu gewinnen, mit denen sich die Richtlinien zur Identitätssicherheit optimieren lassen.
Ohne zentralisierten Ansatz geht es nicht
Da die Zahl der Identitäten – insbesondere der maschinellen – schnell zunimmt und sich diese über unzählige Anwendungen, Umgebungen und Geräte verteilen, benötigen Unternehmen ein zentralisiertes Management von Identitäten, Berechtigungen und sogenannten Secrets, also Passwörtern, API-Keys und anderen Berechtigungsnachweisen. Andernfalls wächst der Verwaltungsaufwand schnell ins Unermessliche und es drohen Lücken im Schutz, weil sich über unzählige Benutzerverwaltungen in Anwendungen, Cloud-Services und Hardware-Systemen verstreute Berechtigungen und Richtlinien kaum unternehmensweit konsistent halten lassen.
Führen Unternehmen ein zentrales Management von Identitäten, Berechtigungen und Secrets ein, müssen sie parallel dazu hart kodierte Secrets aufspüren und entfernen. Diese finden sich oft Skripten, Entwickler-Tools und Werkzeugen von Administratoren und stellen ein enormes Risiko dar – einerseits, weil die Skripte und Tools meist über sehr weitreichende Berechtigungen verfügen, um Anwendungen und Systeme zu steuern, andererseits, weil gerade Skripte regelmäßig kopiert und nicht selten vergessen werden, sodass schnell der Überblick verloren geht.
Natürlich erfordert ein auf Zero-Trust-Prinzipien basierenden Schutz von Identitäten ein Umdenken im Unternehmen – etwa, weil nicht mehr zwischen Admin- und normalen User-Accounts unterschieden wird oder weil Anwendern beim Zugriff auf Anwendungen und Systeme nicht mehr allein deshalb vertraut wird, weil sie sich in der Vergangenheit oder an anderer Stelle schon einmal authentifiziert haben. Doch der Wandel lohnt, da er das Security-Niveau im Unternehmen entscheidend anhebt und die Umsetzung der NIS2 erheblich erleichtert.