[datensicherheit.de, 28.06.2025] „In Zeiten immer ausgefeilterer Cyberbedrohungen bleibt es für Unternehmen wichtig, vermeintlich althergebrachte Angriffsvektoren nicht zu unterschätzen!“, so Holger Fischer, „Director Sales EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme. Denn weiterhin nutzten Cyberkriminelle z.B. Wechselmedien immer noch erfolgreich für ihre Attacken auf IT-Infrastrukturen: „Insbesondere in KRITIS-Branchen sind USB-Laufwerke nach wie vor beliebt, da sie bei aus Sicherheitsgründen isolierten Systemen eine praktische Möglichkeit für einen Datenaustausch und eine Datensicherung bieten.“ Jedoch sei Wachsamkeit geboten, da mobile Datenträger kostspielige Sicherheitsvorfälle auslösen könnten.

Foto: OPSWAT

Holger Fischer: Selbst Unternehmen, die Wechselmedien in ihren Arbeitsabläufen eher selten verwenden, sollten sich der damit verbundenen Bedrohungen bewusst sein!

USB-Geräte nicht selten in der Fertigung, bei Versorgungsunternehmen oder im Gesundheitswesen genutzt

Fischer erläutert: „USB-Geräte finden nicht selten etwa in der Fertigung, bei Versorgungsunternehmen oder im Gesundheitswesen Gebrauch, um den Datenaustausch bei eingeschränktem oder fehlendem Internetzugang zu ermöglichen.“

• Dies sei notwendig, wenn beispielsweise „Air Gap“-Systeme genutzt werden, „ein Sicherheitskonzept, das eine physische und logische Trennung von IT-Systemen untereinander und von Netzwerken verlangt“.

In absichtlich offline gehaltenen Operational-Technology-Umgebungen (OT) seien USB-Laufwerke oft die einzig praktikable Möglichkeit, kritische Daten zwischen Systemen zu übertragen.

Jüngste USB-basierte Angriffstechniken umgehen oft vorhandene Sicherheitsschichten

Die jüngsten USB-basierten Angriffstechniken umgingen oft die vorhandenen Sicherheitsschichten, indem sie das inhärente Vertrauen zwischen dem USB-Gerät und dem Host ausnutzten. Altbewährte Techniken wie „Rubber Ducky“-Keystroke-Injection-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Host-System des Angreifers gesendet werden, würden nun auf neue Weise genutzt.

• Zum Beispiel werde die Firmware von HIDs (Human Interface Devices) wie Mäusen und Tastaturen so verändert, dass diese automatisch Malware installiere, indem sie injizierte Tastenanschläge ausführe.

„Diese beliebte Taktik ermöglicht es Angreifern, Social-Engineering-Angriffe durchzuführen, indem sie unvorsichtige Mitarbeiter oder Geschäftspartner dazu verleiten, ein kompromittiertes USB-Gerät in ihren Rechner zu stecken“, warnt Fischer.

Absicherung von Wechseldatenträgern als besondere Herausforderung

Infizierte USB-Laufwerke oder gezielte USB-basierte Angriffe auf kritische Daten in isolierten Systemen stellten eine große Gefahr dar, da aufgrund der fehlenden Netzwerkverbindung die herkömmlichen, netzwerkbasierten Sicherheitsmaßnahmen nicht griffen. Fischer erklärt: „Da keine automatisierte Überwachung von Geräten oder Daten erfolgt, werden Unregelmäßigkeiten bei der Datennutzung häufig erst mit Verzögerung bemerkt!“

• Unautorisierte Zugriffe blieben länger unerkannt und führten dazu, dass eingeschleuste Malware, welche den Zugriff auf sensible Daten ermöglicht, meist erst sehr spät oder gar zu spät entdeckt werde.

Ein weiteres zentrales Sicherheitsproblem bestehe darin, dass Verantwortliche häufig den Überblick darüber verloren hätten, „welche Personen über welche Zugriffsberechtigungen verfügen und welche Devices auf welche Systeme und Daten zugreifen“. Dies wiederum erschwere die Durchsetzung von Compliance-Richtlinien erheblich. Auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stelle in Kritischen Infrastrukturen (KRITIS) ein großes Risiko dar.

Datenträger-Scans zum Schutz vor bösartigen Daten am Point of Entry

Fischer legt dringend nahe: „Es kann daher nicht oft genug betont werden, jeden mobilen Datenträger im Vorfeld auf Malware zu scannen, damit IT-Teams potenzielle Bedrohungen erkennen können, bevor diese ins Netzwerk gelangen und Schaden anrichten!“

• Für Organisationen im KRITIS-Bereich könne eine sichere Lösung darin bestehen, „Air Gap“-Systeme in Verbindung mit einem Cybersecurity-Kiosk am „Point of Entry“ als Datenschleuse einzusetzen. „Solch eine Kiosk-Technologie ist speziell dafür entwickelt, sämtliche eingehenden Medien zu überwachen, indem sie diese in Echtzeit, meist mit mehreren Antiviren-Scannern überprüft und bereinigt.“

Dabei kämen „Deep CDR“-Technologien (Deep Content Disarm and Reconstruction) zum Einsatz, welche die bösartigen Inhalte aus den Dateien entfernten, riskante Dateitypen desinfizierten, die Dateien anschließend rekonstruierten und in sicheren, isolierten Datentresoren ablegten. „Nur bereinigte und validierte Daten aus diesen Tresoren haben Zugang zu den OT-Netzwerken.“

Richtlinien für sicheren Datentransfer auf USB-Wechselmedien

Neben der technischen Kontrolle seien Richtlinien zur Verwendung von Wechseldatenträgern ein wichtiger Bestandteil einer starken Verteidigungsstrategie. „Unternehmen sollten streng kontrollieren, welche USB-Geräte auf kritische Systeme zugreifen dürfen!“ Zudem sollten sie klare Vorgaben dafür festlegen, welche Dateien auf Wechselmedien übertragen werden dürfen. „Indem sie den Zugriff auf wenige autorisierte Personen beschränken und ausschließlich genehmigte Daten zulassen, können sie das Risiko einer Gefährdung ihres Netzwerks wirksam minimieren.“

• Menschliches Versagen gehöre zu den Hauptursachen für USB-basierte Angriffe, welche häufig durch ungesicherte oder nicht autorisierte Geräte verursacht würden. „Umfassende Schulungsmaßnahmen tragen in der Regel dazu bei, diese Risiken wirksam zu mindern. Eine gezielte Aufklärung der Benutzer über Verschlüsselungstechniken, die potenziellen Gefahren beim Einsatz unbekannter USB-Geräte sowie bewährte Verfahren zum sicheren Auswerfen der Geräte kann die Wahrscheinlichkeit von Datenbeschädigungen und Malware-Infektionen deutlich verringern.“

In Hochrisikobereichen trügen regelmäßige Audits zur Überprüfung der Nutzung von USB-Laufwerken und der Einhaltung sicherheitstechnischer Vorgaben wesentlich dazu bei, die Abwehrfähigkeit eines Unternehmens nachhaltig zu erhöhen. Fischers Fazit: „Selbst Unternehmen, die Wechselmedien in ihren Arbeitsabläufen eher selten verwenden, sollten sich der damit verbundenen Bedrohungen bewusst sein. Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätekontrolle und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Bereiche ab und minimiert das Risiko, Opfer von USB-basierten Angriffen zu werden.“

Weitere Informationen zum Thema:

OPSWAT
About OPSWAT: We Protect the World’s Critical Infrastructure / Our Cybersecurity Philosophy: Trust no file. Trust no device.

datensicherheit.de, 06.06.2025
25 Jahre USB-Stick: Ein praktisches, fehleranfälliges Speichermedium / CBL Datenrettung gibt zum Jubiläumsjahr Tipps zum richtigen Umgang und bietet im Fall der Fälle bis einschließlich August 2025 einen Rettungsrabatt

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 26.11.2024] Im Kontext der sich ständig weiterentwickelnden Cyber-Bedrohungen und -Angriffe auf Unternehmen, Kritische Infrastrukturen (KRITIS) und Behörden werden in Deutschland die Cyber-Sicherheitsvorschriften verschärft: Dazu gehören u.a. das „IT-Sicherheitsgesetz 2.0“ und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Diese Compliance-Richtlinien haben offensichtlich erhebliche Auswirkungen auf industrielle Hersteller und KRITIS-Betreiber. Holger Fischer, „Director EMEA Central“ bei OPSWAT, erläutert in seiner aktuellen Stellungnahme die reale Bedrohung durch Schadsoftware, „die von USB-Geräten vor allem auch im Kritischen OT-Umfeld eingeschleust werden kann“.

Foto: OPSWAT

Holger Fischer: USB-Geräte haben das Potenzial, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen!

Für auf Wechselmedien – wie USB-Laufwerke – angewiesene Betriebe besteht weiter Grund zur Wachsamkeit

Das BSI – als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung der einschlägigen Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind z.B. verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus wurde in Deutschland die Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Fischer gibt in seinem Kommentar zu bedenken: „In einer Zeit, in der die Risiken von KI-gestützten und fortschrittlichen, per E-Mail übertragenen Sicherheitsbedrohungen die Nachrichten dominieren, könnte man leicht die Gefahren einiger der uralten Angriffsvektoren übersehen, die von Cyber-Kriminellen weiterhin ausgenutzt werden.“ Er warnt eindringlich: „Für Branchen, die auf Wechselmedien – wie USB-Laufwerke – angewiesen sind, besteht weiterhin Grund zur Wachsamkeit, da diese Geräte das Potenzial haben, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen.“

Revival USB-basierter Angriffe

USB-Geräte würden häufig in einer Reihe von KRITIS-Sektoren wie bei Infrastrukturbetreibern, Versorgungsunternehmen und im Gesundheitswesen eingesetzt. „Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, wie z.B. in Air-Gapped-Systemen, die Kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren.“

In Umgebungen der Betriebstechnik (OT) seien USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten würden, was sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration mache. „Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyber-Angriffe“, unterstreicht Fischer. Ein prominentes Beispiel sei die „Sogu“-Malware, welche von der Hacker-Gruppe „UNC53“ eingesetzt worden sei und mit der im vergangenen Jahr, 2023, mehrere Unternehmen infiltriert worden seien. „Diese Kampagne richtete sich gegen Branchen in Ländern wie Ägypten und Simbabwe, in denen USB-Laufwerke ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs sind.“

Neueste USB-basierte Angriffstechniken immer ausgefeilter

Die neuesten USB-basierten Angriffstechniken seien immer ausgefeilter und umgingen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzten. „Langjährige Techniken wie ,Rubber Ducky’-Tastatureingabe-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Host-System des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt.“

Beispielsweise könne die Firmware einiger „Human Interface Devices“ (HIDs) wie Mäuse und Tastaturen so verändert werden, dass die Tastenanschläge zur Installation verdeckter Malware genutzt würden. Dies sei ein beliebtes Mittel für Penetrationstester und „Social Engineers“, welche unachtsame Mitarbeiter oder Partner dazu verleiten wollten, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.

Sicherheit der USB-Wechselmedien eine besondere Herausforderung

Die Verwaltung von Wechselmedien stelle insbesondere in OT-lastigen Umgebungen eine Herausforderung dar: „USB-basierte Angriffe umgehen die herkömmliche Netzwerksicherheit und ermöglichen es Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen.“ Diese Angriffe seien besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögerten und die Verweildauer der Angreifer verlängern könne.

Dies mache sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke könnten leicht schädliche Software in Systeme einschleusen, „die nicht regelmäßig überwacht werden, was zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen kann“. Ohne strenge Geräte- und Datenkontrollen könnten USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.

Jeder USB-Stick sollte vorab auf Malware und verdächtige Aktivitäten gescannt werden

Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken bestehe darin, dass sie oft nicht genau wüssten, „welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert“. Nicht nur die Sicherheitsrisiken durch Malware stellten ein Problem dar, auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stelle ein erhebliches Risiko dar, insbesondere in sogenannten hochsicheren Umgebungen.

Um diese Risiken zu minimieren, sei ein mehrschichtiger Sicherheitsansatz erforderlich, welcher sowohl technische als auch richtlinienbasierte Lösungen kombiniere. Die Echtzeitüberwachung von Geräten sei unerlässlich. Fischer rät: „Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden!“ Die Datenbereinigung spiele in diesem Prozess eine Schlüsselrolle. „Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen und so sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.“

Unternehmen sollten strenge Kontrollen darüber einführen, welche USB-Geräte auf Kritische Systeme zugreifen können

Für Unternehmen im KRITIS-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem sogenannten Cyber-Sicherheits-Kiosk bestehen, welcher „alle ein- und ausgehenden Medien scannt und bereinigt“. Alle Dateien würden mithilfe von CDR-Techniken (Content Disarm and Reconstruction) von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürften auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellten sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit werde, was eine zusätzliche Schutzebene biete. Zusätzlich zu diesen technischen Kontrollen seien Richtlinienmaßnahmen, welche die Verwendung von Wechselmedien regelten, ein wesentlicher Bestandteil einer starken Verteidigung.

Unternehmen sollten strenge Kontrollen darüber einführen, „welche USB-Geräte auf Kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen“. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten könnten Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, „dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen“. Dies könne in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.

Faktor Mensch: Ursache USB-basierter Angriffen oft auf menschliches Versagen zurückzuführen

Die Schulung von Mitarbeitern und Partnern in der Lieferkette sei ebenfalls von entscheidender Bedeutung. Die Ursache von USB-basierten Angriffen lasse sich oft auf menschliches Versagen zurückführen – wie die Verwendung ungesicherter oder nicht autorisierter Geräte – und umfassende Schulungen könnten dazu beitragen, diese Risiken zu minimieren. Benutzer sollten über Verschlüsselung, die Gefahren der Verwendung unbekannter USB-Geräte und bewährte Verfahren zum sicheren Entfernen von Geräten aufgeklärt werden, um Datenbeschädigungen oder Malware zu verhindern. In Sektoren mit hohem Risiko könnten regelmäßige Audits darüber, „wie USB-Laufwerke verwendet werden und wie Sicherheitsprotokolle befolgt werden“, die Abwehrkräfte eines Unternehmens weiter stärken.

USB-Geräte stellten nach wie vor eine erhebliche Sicherheitsbedrohung dar, „insbesondere in Sektoren, in denen sie für die Datenübertragung unerlässlich sind“. Selbst Unternehmen, welche in ihren Arbeitsabläufen nicht routinemäßig Wechselmedien verwenden, sollten sich der von ihnen ausgehenden Bedrohung bewusst sein. „Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätesteuerung und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Grundlagen ab und minimiert das Risiko, Opfer von USB-Bedrohungen zu werden“, führt Fischer abschließend aus.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) / Neues IT-Sicherheitsgesetz für eine moderne Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
Was sind Kritische Infrastrukturen? / Definition KRITIS

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner / „Tick“-Gruppe nutzt vermeintliche Secure-USB-Laufwerke für Angriffe auf kritische Systeme ohne Internetverbindung

[datensicherheit.de, 30.09.2024] Ein erstes Gesetz zur CyberSecurity innerhalb der Europäischen Union (EU), die sogenannte NIS Directive, wurde im Jahr 2016 in Kraft gesetzt und sollte für ein höheres und ausgeweitetes Niveau von Cyber-Sicherheit in Netzwerken und Informationssystemen sorgen. „Die NIS-Direktive sollte zunächst für die Bereiche Gesundheitssystem, Transport, Banken und Finanzmarkt, digitale Infrastruktur, Wasserversorgung, Energie sowie Anbieter von digitalen Dienstleistungen gelten“, erläutert Holger Fischer, „Director EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme und beschreibt die oft noch „holprige Realisierung der NIS2-Vorgaben“ und die dahinterstehenden Ziele. Diese NIS-Direktive habe insbesondere darauf abgezielt, ein hohes gemeinsames Niveau an CyberSecurity in allen Mitgliedstaaten der EU zu erreichen. Während sie zunächst die Fähigkeiten der Mitgliedsstaaten in Fragen der Cyber-Sicherheit habe verbessern können, habe sich jedoch ihre Umsetzung „insgesamt als schwierig“ erwiesen. Anstatt zu der angestrebten Vereinheitlichung sei es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes gekommen.

Foto: OPSWAT

Holger Fischer: NIS-2 soll Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern

Ersatz der alten NIS-Richtlinie, um damit Cyber-Sicherheitsanforderungen zu verstärken

Fischer führt weiter aus: „Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur NIS-2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte.“

NIS-2 ziele insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Der erweiterte Geltungsbereichs von NIS-2, durch welchen nun mehr Unternehmen und Sektoren effektiv verpflichtet würden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der CyberSecurity im europäischen Geltungsbereich effektiv zu erhöhen.

Mit NIS-2 seien folgende Geltungsbereiche hinzugekommen: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung.

NIS-2-Richtlinie: Aspekte der praktischen Umsetzung

Mit ihren ausgeweiteten und strengeren Anforderungen verfolge die NIS-2-Richtlinie einen besonderen Ansatz zum Risikomanagement. Unternehmen müssten nun Kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten könnten. „Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen“, so Fischer.

Die NIS-2-Richtlinie betone ferner die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der gesamten Lieferkette von Unternehmen: „Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle erforderlichen Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet.“

Zu den Maßnahmen, auf die größeres Gewicht gelegt werden sollte, gehörten zum Beispiel strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA) und ausgeweitete Richtlinien für Passwörter. Organisationen müssten außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, „dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden“.

OT-Betreiber durch NIS-2 besonders herausgefordert

Betreiber von Infrastrukturen für sogenannte Operational Technology (OT), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollten sicherstellen, „dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind“. Darüber hinaus müssten sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, welche zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen könnte.

Fischer betont: „Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen. Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um.“

Das Scannen der zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragenen Dateien könne dann versteckte bösartige Nutzlasten aufdecken. Techniken wie „Content Disarm and Reconstruction“ (CDR) seien in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssten untersucht und bereinigt werden, „bevor sie verarbeitet und gespeichert werden“.

NIS-2 verfolgt drei prinzipielle Ziele:

• 1. NIS-2-Ziel: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, welche in der EU in allen relevanten Sektoren tätig sind
  „Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur CyberSecurity ergreifen.“
  Dies geschiehe auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert werde. So werde festgelegt, dass alle mittleren und großen in den von NIS-2 abgedeckten Sektoren tätigen Unternehmen die Sicherheitsvorschriften einhalten müssten. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, werde abgeschafft. „Dies hatte bei der Umsetzung von NIS-1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt.“

• 2. NIS-2-Ziel: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten EU-Binnenmarkt wird stärker betont
  „Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen.“ Außerdem seien die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht worden. NIS-2 enthalte eine Liste von sieben Schlüsselelementen, welche alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssten:
  Dazu gehörten zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus sei eine Mindestliste von Verwaltungssanktionen festgelegt worden, welche immer dann verhängt werden sollten, „wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der CyberSecurity oder gegen ihre in der NIS-2-Richtlinie festgelegten Meldepflichten verstoßen“.

• 3. NIS-2-Ziel: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden
  Außerdem solle der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollten die Art und Weise, „wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert“, verbessern.
  Dazu sollten klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur