NIS2 adressiert vorrangig Prozesse, die ohne Technik jedoch nicht funktionieren
Streng genommen adressiert die NIS2-Richtlinie vorrangig Prozesse, die in enger Verbindung zu eingesetzten Netzwerk- und Informationssystemen stehen (bezeichnet als „Cybersicherheitspraxis“). Dabei sind diese Systeme, deren Nutzer und andere von Cyberbedrohungen betroffene Personen durch angemessene Maßnahmen (bezeichnet als „Cybersicherheitshygiene“) zu schützen. Für einen solchen Schutz wiederum ist auf den aktuellen Stand der Technik und dabei wiederum insbesondere auf einschlägige Normen (wie ISO/IEC 27001) sowie einem gefahrenübergreifenden Ansatz abzustellen.
In NIS2 werden vier Sicherheitsziele verfolgt:
Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten oder Services der eingesetzten Netzwerk- und Informationssysteme. Notwendig sind daher Maßnahmen, die in der Lage sind, relevante Angriffsvektoren zu identifizieren, Data Leakage möglichst zu vermeiden und Sicherheitslücken in den etablierten Vorgehensweisen zuverlässig zu erkennen. Das naheliegende Instrument hierfür sind Penetrationstests.
Technisches Schwachstellenmanagement auf Basis von Penetrationstests
Die ISO/IEC 27001:2022 verlangt neu, dass zu erfüllende Informationssicherheitsziele überwacht (Abschnitt 6.2 lit. d i.V.m. Abschnitt 9.1) und ISMS-relevante Prozesse in Übereinstimmung mit festgelegten Kriterien durchgeführt werden (Abschnitt 8.1).
Hierzu sind
- die vorhandene Bedrohungslage zu erheben als auch zu analysieren (A.5.7),
- regelmäßig unabhängige Überprüfungen durchzuführen (A.5.35),
- Vorgehensweisen zum technischen Schwachstellenmanagement zu betreiben (A.8.8),
- Datenlecks auf Systemen, Netzwerken sowie anderen relevanten Geräten zu verhindern (A.8.12)
- und unübliches Verhalten in Netzwerken, Systemen und Anwendungen festzustellen sowie darauf geeignet zu reagieren (A.8.16).
Der überwiegende Teil der hier aufgelisteten Controls ist neu bzw. in stark veränderter Form in der Neufassung des internationalen Standards aufgenommen worden und zielt im Kern auf die Durchführung von Penetrationstests ab.
Ganz im Sinne von Erwägungsgrund 49 der NIS2-Richtlinie werden durch Penetrationstests fehlende Updates und unzureichend vergebene Passwörter identifiziert. Nach Erwägungsgrund 58 der NIS2-Richtlinie ist wiederum die rasche Erkennung und Behebung ausnutzbarer Schwachstellen in Netzwerk- und Informationssystemen ein zentraler Faktor für das Risikomanagement.
Die regelmäßige Durchführung von Penetrationstests ist daher von entscheidender Bedeutung für ein NIS2-konform betriebenes und effektives Risikomanagement.
Regelmäßig sind Penetrationstests in diesem Zusammenhang nur, wenn mindestens einmal pro Jahr zumindest für besonders schützenswerte Systeme ein Penetrationstest durch eine unabhängige Stelle durchgeführt wird. Unabhängig bedeutet hierbei, dass es nicht durch die das System betreuende und administrierende Stelle, sondern eine andere fachkundige und testerfahrene Stelle erfolgt; oftmals durch einen externen Dienstleister.
Nach NIS2-Richtlinie handelt es sich hierbei um einen Anbieter verwalteter Sicherheitsdienste, der damit wiederum selbst zur NIS2 Compliance verpflichtet ist und selbst über eine ausreichende Cybersicherheitspraxis verfügt.
Was sind Penetrationstests denn überhaupt?
Bei einem Penetrationstest schlüpfen beauftragte Tester in die Rolle der Angreifer, um dem Auftraggeber bestehende und von Dritten ausnutzbare Schwachstellen aufzuzeigen. Dabei gehen die Tester so vor, wie es Angreifer machen würden, jedoch ohne eine identifizierte Schwachstelle tatsächlich und unabgestimmt auszunutzen.
Das beinhaltet ein stufenweises Vorgehen: Nach dem Sammeln wertvoller Information zur Optimierung des geplanten Angriffs, wird durch intelligentes Vorgehen versucht, ein lohnenswertes Ziel zu erreichen und angestrebte Effekte zu erzielen, indem z.B. unzureichend geschützte Daten abgerufen, Authentisierungsmechanismen umgangen, relevante Datensätze verändert oder IT-Services gestört werden.
Dies greift folglich jeweils unmittelbar die vier Sicherheitsziele aus der NIS2-Richtlinie an. Die Tester jedoch bewertet die festgestellten Schwachstellen gemäß weltweit einheitlich geltendem Schema und geben konkrete Handlungsempfehlungen ab, wie diese wirksam geschlossen werden können und damit realen Angreifern nicht mehr zur Verfügung stehen.
Der Auftraggeber kann bei der Beauftragung eines Penetrationstests wählen, wieviel der zu simulierende Angreifer über das gefährdete Ziel vorab wissen darf (um z.B. auch Binnentäter adressieren zu können), wie „aggressiv“ und zielorientiert der Tester vorgehen soll (um z.B. verdeckt operierende oder auf rasche Sabotage getrimmte Täter zu simulieren) und welche Methoden bzw. technischen Mittel dem zu simulierenden Angreifer zur Verfügung stehen sollen.
Zudem wird bei den Penetrationstest unterschieden, ob infrastrukturelle Komponenten oder bestimmte Applikationen (Anwendungen, Webservices, mobile Apps, …) untersucht und ob ggf. spezifische Angriffstechniken simuliert werden sollen (z.B. bedrohungsorientierte Penetrationstests nach DORA-Richtlinie, sog. Red Teaming).
Weitere Informationen zum Pentesting finden Sie auf unserer Website.