Verschlüsselung in den Griff bekommen
Blog

NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen

Die NIS2-Richtlinie der EU zielt auf eine gesteigerte Cybersicherheit der eingesetzten Netzwerk- und Informationssysteme ab. Um diese wirksam absichern zu können, bedarf es eines planvollen Schwachstellenmanagements, der Prävention vor Data Leakage und einer spürbaren Reduzierung bestehender Angriffsvektoren. Um dies erreichen zu können, sind Penetrationstests unerlässlich.
4 Minuten
04. November 2024

NIS2 adressiert vorrangig Prozesse, die ohne Technik jedoch nicht funktionieren

Streng genommen adressiert die NIS2-Richtlinie vorrangig Prozesse, die in enger Verbindung zu eingesetzten Netzwerk- und Informationssystemen stehen (bezeichnet als „Cybersicherheitspraxis“). Dabei sind diese Systeme, deren Nutzer und andere von Cyberbedrohungen betroffene Personen durch angemessene Maßnahmen (bezeichnet als „Cybersicherheitshygiene“) zu schützen. Für einen solchen Schutz wiederum ist auf den aktuellen Stand der Technik und dabei wiederum insbesondere auf einschlägige Normen (wie ISO/IEC 27001) sowie einem gefahrenübergreifenden Ansatz abzustellen.

In NIS2 werden vier Sicherheitsziele verfolgt:

Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten oder Services der eingesetzten Netzwerk- und Informationssysteme. Notwendig sind daher Maßnahmen, die in der Lage sind, relevante Angriffsvektoren zu identifizieren, Data Leakage möglichst zu vermeiden und Sicherheitslücken in den etablierten Vorgehensweisen zuverlässig zu erkennen. Das naheliegende Instrument hierfür sind Penetrationstests.

Technisches Schwachstellenmanagement auf Basis von Penetrationstests

Die ISO/IEC 27001:2022 verlangt neu, dass zu erfüllende Informationssicherheitsziele überwacht (Abschnitt 6.2 lit. d i.V.m. Abschnitt 9.1) und ISMS-relevante Prozesse in Übereinstimmung mit festgelegten Kriterien durchgeführt werden (Abschnitt 8.1).

Hierzu sind

  • die vorhandene Bedrohungslage zu erheben als auch zu analysieren (A.5.7),
  • regelmäßig unabhängige Überprüfungen durchzuführen (A.5.35),
  • Vorgehensweisen zum technischen Schwachstellenmanagement zu betreiben (A.8.8),
  • Datenlecks auf Systemen, Netzwerken sowie anderen relevanten Geräten zu verhindern (A.8.12)
  • und unübliches Verhalten in Netzwerken, Systemen und Anwendungen festzustellen sowie darauf geeignet zu reagieren (A.8.16).

Der überwiegende Teil der hier aufgelisteten Controls ist neu bzw. in stark veränderter Form in der Neufassung des internationalen Standards aufgenommen worden und zielt im Kern auf die Durchführung von Penetrationstests ab.

Ganz im Sinne von Erwägungsgrund 49 der NIS2-Richtlinie werden durch Penetrationstests fehlende Updates und unzureichend vergebene Passwörter identifiziert. Nach Erwägungsgrund 58 der NIS2-Richtlinie ist wiederum die rasche Erkennung und Behebung ausnutzbarer Schwachstellen in Netzwerk- und Informationssystemen ein zentraler Faktor für das Risikomanagement.

Die regelmäßige Durchführung von Penetrationstests ist daher von entscheidender Bedeutung für ein NIS2-konform betriebenes und effektives Risikomanagement.

Regelmäßig sind Penetrationstests in diesem Zusammenhang nur, wenn mindestens einmal pro Jahr zumindest für besonders schützenswerte Systeme ein Penetrationstest durch eine unabhängige Stelle durchgeführt wird. Unabhängig bedeutet hierbei, dass es nicht durch die das System betreuende und administrierende Stelle, sondern eine andere fachkundige und testerfahrene Stelle erfolgt; oftmals durch einen externen Dienstleister.

Nach NIS2-Richtlinie handelt es sich hierbei um einen Anbieter verwalteter Sicherheitsdienste, der damit wiederum selbst zur NIS2 Compliance verpflichtet ist und selbst über eine ausreichende Cybersicherheitspraxis verfügt.

Was sind Penetrationstests denn überhaupt?

Bei einem Penetrationstest schlüpfen beauftragte Tester in die Rolle der Angreifer, um dem Auftraggeber bestehende und von Dritten ausnutzbare Schwachstellen aufzuzeigen. Dabei gehen die Tester so vor, wie es Angreifer machen würden, jedoch ohne eine identifizierte Schwachstelle tatsächlich und unabgestimmt auszunutzen.

Das beinhaltet ein stufenweises Vorgehen: Nach dem Sammeln wertvoller Information zur Optimierung des geplanten Angriffs, wird durch intelligentes Vorgehen versucht, ein lohnenswertes Ziel zu erreichen und angestrebte Effekte zu erzielen, indem z.B. unzureichend geschützte Daten abgerufen, Authentisierungsmechanismen umgangen, relevante Datensätze verändert oder IT-Services gestört werden.

Dies greift folglich jeweils unmittelbar die vier Sicherheitsziele aus der NIS2-Richtlinie an. Die Tester jedoch bewertet die festgestellten Schwachstellen gemäß weltweit einheitlich geltendem Schema und geben konkrete Handlungsempfehlungen ab, wie diese wirksam geschlossen werden können und damit realen Angreifern nicht mehr zur Verfügung stehen.

Der Auftraggeber kann bei der Beauftragung eines Penetrationstests wählen, wieviel der zu simulierende Angreifer über das gefährdete Ziel vorab wissen darf (um z.B. auch Binnentäter adressieren zu können), wie „aggressiv“ und zielorientiert der Tester vorgehen soll (um z.B. verdeckt operierende oder auf rasche Sabotage getrimmte Täter zu simulieren) und welche Methoden bzw. technischen Mittel dem zu simulierenden Angreifer zur Verfügung stehen sollen.

Zudem wird bei den Penetrationstest unterschieden, ob infrastrukturelle Komponenten oder bestimmte Applikationen (Anwendungen, Webservices, mobile Apps, …) untersucht und ob ggf. spezifische Angriffstechniken simuliert werden sollen (z.B. bedrohungsorientierte Penetrationstests nach DORA-Richtlinie, sog. Red Teaming).

Weitere Informationen zum Pentesting finden Sie auf unserer Website.

Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen