Ein kleiner Einstieg für Cloud-Nutzer, MSPs oder CSSPs
Die NIS-2 fordert von den betroffenen Organisationen eine ganze Menge an Vorkehrungen und Maßnahmen (eine allgemeine Einschätzung dazu findet sich hier: https://cloudauditor.de/alles/kernforderungen-des-nis2umsucg/ ).
Was bedeutet all das im Cloud-Kontext?
Anforderungen der NIS-2 durch die „Cloud“-Brille gesehen
Was die Deutsche NIS-2 Umsetzung fordert – und was es für Cloud-Nutzer bedeutet:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bei der Nutzung von Cloud-Diensten geht diese Anforderung dahin, die damit verbundenen spezifischen Risiken wie Vendor Lock-In sowie die Absicherung der Dienste, soweit möglich, gesamtheitlich zu betrachten. Es hängt von der Art des Dienstes ab, was für Ansätze möglich sind – am geringsten ist der Spielraum meist bei SaaS.
- Bewältigung von Sicherheitsvorfällen,
- Der Cloud-spezifische Aspekt dieser Anforderung besteht darin, Meldung über Vorfälle bei Providern zu erhalten und mögliche Maßnahmen vorzubereiten, sei es durch Ausbildung von Redundanzen oder den Umzug von Diensten (was aufgrund vendor Lock-In manchmal sehr schwierig ist)
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Bei Auslagerung (und nichts anderes ist Cloud) geht es primär darum, deren Backup-Mechanismen und die eigenen Anforderungen abzugleichen und die Provider in die eigenen Notfall-Vorbereitungen einzubeziehen (wie erhält man die Meldung, wie stellt man einen Notbetrieb sicher).
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
- Speziell bei Cloud und MSPs ist des Aufgabe des Dienste-Konsumenten (also des Cloud-Kunden), so gut als möglich zu verstehen, wie der Anbieter arbeitet: welche Maßnhamen zur Informationssicherheit wurden ergriffen? Wie geht er z.B. mit seinen Vorlieferanten um? Hyperscaler stellen gewöhnlich eine ganze Reihe von Dokumenten zur Verfügung, die ihre Prozesse erläutern.
Unvermeidlich ist dann die Frage: kann er all das nachweisen? Falls Zertifizierungen vorgelegt werden, sind deren Scope und die Aktualität prüfen. Falls nicht, wären Selbstauskünfte oder gar Audits eine Option.
- Speziell bei Cloud und MSPs ist des Aufgabe des Dienste-Konsumenten (also des Cloud-Kunden), so gut als möglich zu verstehen, wie der Anbieter arbeitet: welche Maßnhamen zur Informationssicherheit wurden ergriffen? Wie geht er z.B. mit seinen Vorlieferanten um? Hyperscaler stellen gewöhnlich eine ganze Reihe von Dokumenten zur Verfügung, die ihre Prozesse erläutern.
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Der „Erwerb“ von Cloud-Diensten sollte mit derselben Sorgfalt die bei onPrem-Diensten einhergehen: zuerst kommt die Definition der Anforderungen, auch im Hinblick auf die Informationssicherheit. Bei der „Entwicklung“ ist es ähnlich, nur die Technologien unterscheiden sich von onPrem-Landschaften. Die „Wartung“ ist je nach Dienst verschieden. Im IaaS-Bereich kommt sie den onPrem-Praktiken am nächsten – wer SaaS bucht, ist hier „fein raus“.
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- Hier macht es keinen Unterschied, ob man direkt oder via MSP Cloud-Dienste bezieht, hybrid oder rein onPrem arbeitet – das Problem ist immer, die geeigneten Messgrößen (KPIs) und Wirksamkeitsprüfungen (interne/externe Audits) zu definieren, zu erheben und auszuwerten, um sinnvolle Aussagen zu treffen.
- grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Cybersicherheit,
- Wie schon beim vorherigen Punkt: im Kern sind die Anforderungen der NIS-2 dieselben, egal wie man IT-Dienste umsetzt bzw. bezieht: Nutzer müssen die Dienste richtig und sicher nutzen können, müssen also wissen wie man sie richtig bedient, wo Gefahren drohen, was erlaubt und was verboten ist, wie man im Notfall meldet – und Nutzer mit besonderen Aufgaben im Rahmen der Informationssicherheit (wie Admins oder Führungskräfte) müssen besonders geschult werden.
- Konzepte und Prozesse für den Einsatz von Kryptografischen Verfahren,
- Auch bei der Cloud-Nutzung ist es wichtig sich klarzumachen, wo man Kryptografie einsetzen will, welche Techniken (wie Protokolle, Algorithmen, Schlüssellängen) den Risiken der Organisation angemessen sind und wie Schlüssel verwaltet werden.
- Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen (…),
- Im Cloud-Kontext sind bei Personal und Zugriffskontrolle ganz ähnliche Maßnahmen zu ergreifen wie bei Hybrid- oder OnPrem-Modellen. Bei der Verwaltung den IKT-Systemen ist wiederum die Frage, welche Art von Dienst man bezieht – so ist z.B. die Härtung von Betriebssystemen möglicherwiese bei IaaS durchaus ein Thema, bei SaaS sicher nicht.
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
- Die Anforderung nach MFA ist im Cloud-Kontext meist gut gelöst. Die „kontinuierliche Authentifizierung“ kann als SSO verstanden werden – hier sind bei Cloud-Diensten dieselben Techniken „Stand der Technik“ wie onPrem auch. Die Umsetzung der „gesicherten…Kommunikation“ (aka Netzwerksicherheit) ist wiederum onPrem anders ausgestaltet als in einem IaaS-Dienst – aber meist sind die zugrundeliegenden Techniken dieselben, nur Namen, Bedienung und Integration der Dienste sind anders gelöst – SaaS-Nutzer können sich zurücklehnen, sie haben damit nichts zu tun.
Fazit
Es sind eher naheliegende Maßnahmen, die die NIS-2 fordert – trotzdem stehen ihnen viele Organisationen mit leeren Händen gegenüber, die eine onPrem-Strategie fahren. Andere Budget-Prioritäten, Personalknappheit, dringende Ausgaben im Tagesgeschäft… irgendetwas verdrängt oft wichtige Maßnahmen in den Hintegrund.
Hier zeigen IaaS Cloud-Dienste eine große Stärke, weil nicht erst Hard- und Software beschafft und integriert werden muss – einfach buchen und los geht’s (aber vorsicht mit den Kosten!). Noch einfacher geht’s sogar, wenn man einen fähigen MSP zu Rate zieht – oder einfach SaaS bucht.
Viele NIS-2 Anforderungen sind bei Cloud-Nutzung einfacher umzusetzen oder fallen je nach Service-Modell einfach „über den Zaun“ zum Anbieter – aber vorischt: so ist es durchaus nicht mit allen Anforderungen, und auch wenn die Betriebsverantwortung beim Cloud-Anbieter liegen mag: die geschäftliche und rechtliche Verantwortung bleibt beim Nutzer.