Aktuelles, Branche - geschrieben von dp am Donnerstag, September 26, 2024 21:38 - noch keine Kommentare
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA
[datensicherheit.de, 26.09.2024] Sämtliche Unternehmen, welche der neuen NIS-2-Regulierung unterliegen, sollten ihre Geräte-Software dringend zeitnah auf den neuesten Stand bringen – diese Erfordernis gilt für alle Geräte, Maschinen und Anlagen in Büro, Labor, Produktion und Logistik. „Der Regierungsentwurf NIS-2 ist verabschiedet und wartet nur noch auf Verkündung. Mit dem Inkrafttreten von NIS-2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cyber-Sicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, betont Jan Wendenburg, „CEO“ des deutschen Cyber-Sicherheitsunternehmens ONEKEY. Das Bundeskriminalamt (BKA) weise für das Jahr 2023 knapp 135.000 offiziell gemeldete Fälle von Cyber-Kriminalität aus und vermute ein Dunkelfeld von 90 Prozent – entsprechend etwa 1,5 Millionen Angriffen pro Jahr.
Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass ihre Geräte mit aktueller Software ausgestattet sind
Als typische Beispiele im Bürobereich nennt Wendenburg „Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungssysteme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutrittskontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme“. In der Industrie kämen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu.
Jan Wendenburg stellt klar: „Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass all diese Geräte mit aktueller Software ausgestattet und damit bestmöglich gegen Cyber-Angriffe gewappnet sind.“ Die EU-Richtlinie „Network & Information Security 2″ (NIS-2) sei auf alle als sogenannte Kritische Infrastruktur (KRITIS) eingestuften Unternehmen anwendbar.
NIS-2 umfasst gesamte KRITIS-Lieferkette – sowie deren Lieferanten und Geschäftspartner!
Zur KRITIS zählen demnach Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfallwirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen / elektronischen Geräten und Forschungseinrichtungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gehe von knapp 30.000 betroffenen Unternehmen aus und bietet online eine sogenannte NIS-2-Betroffenheitsprüfung an.
Wendenburg gibt hierzu zu bedenken: „NIS-2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das beispielsweise Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS-2 vorbereiten, also auch seine vernetzten Geräte im Büro, im Labor und in der Produktion.“
Kaum jemand kümmert sich bisher um Drucker-Software – NIS-2 erzwingt es
Nach Wendenburgs Einschätzung hätten die wenigsten Firmen die Resilienz gegenüber Hacker-Angriffen außerhalb der IT-Netzwerke im Blick. Er gibt ein praxisnahes Beispiel: „Die Druckersoftware steht oft nicht im Fokus, solange der Drucker reibungslos arbeitet. Tatsächlich aber können sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen.“
Der Weg sei für geübte Programmierer ein Kinderspiel: „Die Hacker gehen vom Drucker aus, finden ein ,Active Directory’, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.“
Software-Stücklisten (SBOM) für NIS-2 und CRA erforderlich
Sogenannte Firmware (d.h. die in Geräten, Maschinen und Anlagen eingebettete Software) werde von vielen Experten als eine „kritische Lücke“ in der Sicherheitsstrategie von Unternehmen und Behörden gesehen. Die Empfehlung lautet daher, dass sich von NIS-2 betroffene Unternehmen schnellstmöglich von den Lieferanten aller im betrieblichen Einsatz befindlichen vernetzten Geräte im weitesten Sinne eine Software-Stückliste aushändigen lassen sollten.
Diese Stückliste – in Fachkreisen „Software Bill of Materials“ (SBOM) genannt – soll alle im Unternehmen eingesetzten Programme vollständig auflisten. Da es bei älteren Geräten – wie etwa einem seit zehn Jahren seinen Dienst verrichtenden Drucker – offenkundig meist schwierig sein wird, an die Firmware heranzukommen, empfiehlt Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Software-Komponenten und Generierung einer entsprechenden Software-Stückliste: „Das ist nicht nur für die NIS-2-Konformität von Bedeutung, sondern auch für den kommenden ,EU Cyber Resilience Act’ (CRA).“
NIS-2 erinnert daran, dass jede Cyber-Sicherheitskette nur so stark ist wie ihr schwächstes Glied…
Der technische Hintergrund sei: „Die Genauigkeit der Komponenten-Informationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank ,Common Vulnerabilities and Exposures’ (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch den Hackern bekannte – Einfallstore für Cyber-Kriminelle aufweist.“
Wendenburg führt abschließend aus: „Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien von NIS-2 bis CRA.“ Er warnt zudem: „Jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Ein einziges Gerät mit veralteter Software kann ausreichen, um ein ganzes Unternehmen zur Zielscheibe von Cyber-Kriminellen zu machen!“ Angesichts von Tausenden von Cyber-Angriffen pro Tag stelle sich für ihn „nicht die Frage, ob ein Unternehmen von Hackern angegriffen wird, sondern wann und wie gut es davor geschützt ist“.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik (BSI)
NIS-2-Betroffenheitsprüfung
datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit
datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen
datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zu Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren