Durchblick bei Asset Management sorgt für Durchblick bei NIS-2
Übersicht zu Hard- und Software-Assets schafft die Grundlage für das laufende IT-Management und hilft Unternehmensumgebungen NIS-2-konform abzusichern.
Wie gut wissen Sie Bescheid darüber, was sich in Ihrem Unternehmensnetzwerk befindet? In der Regel haben IT-Teams ihre Windows-Server und -Clients voll im Griff. Aber wenn es um iPhones, Linux- und Android-Geräte geht, wird die Informationslage oft schon dünner. Aber wie sieht es mit der Produktionshalle aus, in denen völlig veraltete Windows-Systeme als Steuerungsrechner stehen? Da fehlt oft jeglicher Überblick.
Fehlender Überblick verstärkt Cyberrisiken
Ein so lückenhaftes Bild der IT- und OT-Landschaft kann sich für Unternehmen zukünftig als überaus problematisch erweisen: Denn ab März 2025 soll NIS-2 – das deutsche Umsetzungsgesetz für die erweiterte EU-Richtlinie für Netz- und Informationssicherheit in Kraft treten.
In Deutschland erweitert die Richtlinie den Einzugsbereich von KRITIS-Betreibern auf Unternehmen in essentiellen oder zumindest wichtigen Branchen mit mindestens 250 bzw. 50 Beschäftigten oder mindestens 50 bzw. 10 Mio. Euro Jahresumsatz. Die Branchen, die in NIS-2 aufgeführt werden, reichen von der Abfallwirtschaft über die chemische Industrie bis zu den Anbietern digitaler Dienste.
Auf einen Punkt gebracht: NIS-2 verlangt von betroffenen Organisationen konsequentes Cyberrisikomanagement. Gerne wird dabei übersehen, dass dies auch die Absicherung der Lieferketten beinhaltet. Unternehmen mit NIS-2-relevanten Kunden müssen ebenfalls nachweisen, NIS-2-konform zu agieren. Dadurch betrifft NIS-2 auch zahlreiche Unternehmen außerhalb der Branchen, die in der Richtlinie genannt werden.
Step One: Status quo ermitteln
Schritt 1 auf dem Weg zu NIS-2-konformem Risikomanagement ist, den Status quo zu ermitteln. Denn es muss zunächst einmal geklärt werden, welche Hard- und Software ein Unternehmen überhaupt einsetzt. Erst danach kann entschieden werden, wie hoch das Risiko für diese Assets ist und wie dieses sich vermeiden oder zumindest minimieren lässt.
Das muss prinzipiell nicht kompliziert sein: Unternehmen, die eine UEM-Lösung (Unified Endpoint Management) im Einsatz haben, sind hier schon gerüstet. Denn ein vernünftiges UEM-Tool enthält eine Hardware-Inventarisierung wie auch ein Software-Asset- und Lizenzmanagement. Eine solche Lösung erfasst zudem Peripherie- und Mobilgeräte, industrielle Automatisierungstechnik sowie – per Netzwerkscan – weitere Netzwerk-Gerätschaften, wie z.B. Linux-Devices.
Über Asset-Management zu NIS-2-Konformität
Ein umfassendes IT- und OT-Asset-Management ebnet so den Weg zu NIS-2. Aber auch darüber hinaus ist UEM eine gute Investition: Es ermöglicht zentrales Update und Patch Management, wie auch die Deinstallation unerwünschter Software und hilft nach einem Vorfall dabei, Endgeräte automatisiert neu aufzusetzen und schnell wieder in Betrieb zu nehmen. So wird auch die von NIS-2 geforderte Business Continuity gefördert, also den möglichst unterbrechungsfreien Geschäftsbetrieb.
IT-Teams sollten sich nicht mehr allzu viel Zeit lassen – nicht nur in Bezug auf NIS-2, sondern auch, weil mehr Cybersicherheit angesichts immer neuer Gefahren dringend geboten ist. Im schlimmsten Fall gerät ein Unternehmen ins Visier von Cyberangreifern, weil es erforderliche Sicherheitsmaßnahmen noch nicht umgesetzt hat. Neben dem eigentlichen Daten- und Imageverlust Verlust durch den Vorfall drohen dann künftig auch Bußgelder – im Extremfall kann das BSI sogar die Absetzung der Unternehmensleitung anordnen.
Weitere Informationen werden im Whitepaper "Schritt für Schritt die NIS-2-Vorgaben verstehen und umsetzen" vermittelt.
