Wer sollte das lesen: Risikomanager, Facilityteams, Sicherheitsteams und alle, die für ein umfassendes Risikomanagement verantwortlich sind, das über die Cybersicherheit hinausgeht.
Gemäß NIS2 Artikel 21 Absatz 2 müssen Risikomanagementmaßnahmen „auf einem Allgefahrenansatz beruhen, der darauf abzielt, Netzwerk- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen zu schützen“.
Dieser Ausdruck — „Allgefahren-Ansatz“ — ist von entscheidender Bedeutung. Das bedeutet, dass es bei NIS2 nicht nur um Cyberangriffe geht. Es geht darum, Informationssysteme und Infrastruktur vor allen Vorfällen zu schützen, die den Betrieb stören oder Schäden verursachen könnten. Dazu gehören physische Angriffe, Umweltkatastrophen, Unfälle und ja, Cyberangriffe.
Der All-Hazars-Ansatz spiegelt eine wichtige Erkenntnis wider: Ein raffinierter Angreifer greift nicht immer digital an. Ein Angreifer, der ein Kraftwerk zum Erliegen bringen will, hat das SCADA-System möglicherweise nicht ins Visier genommen. Stattdessen könnten sie die Stromkabel einfach mit einer Axt durchtrennen. Eine Katastrophe, die ein Rechenzentrum stört, ist möglicherweise kein Cyberangriff — es kann sich um einen Brand, eine Überschwemmung oder den Diebstahl kritischer Hardware handeln.
In diesem Leitfaden wird erklärt, was der Allgefahrenansatz bedeutet, warum er wichtig ist und wie er umgesetzt wird.
Das All-Hazards-Konzept
Ein Sicherheitsansatz, bei dem alle Gefahren berücksichtigt werden, bedeutet, alle Kategorien von Bedrohungen für Ihre Systeme und Dienste abzudecken, nicht nur Cyberangriffe.
Zu den Gefahrenkategorien gehören:
Cyber-Bedrohungen
Angriffe auf Informationssysteme:
Malware, Ransomware, Viren.
Phishing, Social Engineering.
Ausnutzung von Sicherheitslücken.
Distributed-Denial-of-Service (DDoS) -Angriffe.
Datendiebstahl, Spionage.
Insiderbedrohungen (verärgerte Mitarbeiter, Sabotage).
Kompromiss in der Lieferkette.
Körperliche Angriffe
Vorsätzlicher körperlicher Schaden:
Einbrechen und Betreten, um Hardware oder Daten zu stehlen.
Vandalismus kritischer Infrastrukturen.
Kabel abschneiden oder Geräte deaktivieren.
Manipulation von Systemen (Hinzufügen bösartiger Hardware, USB-Geräte).
Bombendrohungen oder Sprengstoffangriffe auf Einrichtungen.
Umwelt- und Naturkatastrophen
Natürlich vorkommende Gefahren:
Feuer (versehentlich oder absichtlich gesetzt).
Überschwemmungen (Rohrbruch, Starkregen, Sturmflut).
Erdbeben oder andere seismische Ereignisse.
Starke Winde, Stürme, Eis.
Extreme Temperaturen, die die Ausrüstung beeinträchtigen.
Ausfall der Versorgungsleistungen (Stromausfälle, Wasserverlust, Ausfall der Klimaanlage).
Unfälle
Unbeabsichtigte Zwischenfälle:
Überspannungen beschädigen Geräte.
Versehentliches Verschütten oder Wasserschaden.
Mitarbeiterfehler (Fehlkonfiguration, versehentliches Löschen von Daten).
Fahrzeugunfälle, die Einrichtungen betreffen.
Vorfälle in der Lieferkette
Vorfälle, die Lieferanten oder Abhängigkeiten betreffen:
Insolvenz oder Schließung des Lieferanten.
Datenschutzverletzung bei Lieferanten, die sich auf Ihre von ihnen gespeicherten Daten auswirkt.
Kompromittierung kritischer Komponenten in Zulieferprodukten.
Verlust von Lieferantendienstleistungen (Ausfall, Kündigung).
Betriebliche Vorfälle
Probleme in Ihrem eigenen Betrieb:
Schlüsselpersonal ist nicht mehr verfügbar (Krankheit, Abreise).
Unzureichende Backup-Systeme oder fehlgeschlagene Wiederherstellung.
Prozedurfehler (Fehlkonfiguration, falsche Updates).
Überwachungs- oder Erkennungsfehler.
Warum All-Hazards wichtig ist
Der All-Hazards-Ansatz berücksichtigt, dass Bedrohungen für Ihre Dienste nicht ausschließlich Cyberbedrohungen sind.
Ein ausgeklügelter Angreifer könnte alle verfügbaren Mittel einsetzen. Ein Nationalstaat, der kritische Infrastrukturen angreift, könnte Cyberangriffe mit physischer Sabotage kombinieren. Ein Krimineller, der ein Finanzinstitut ins Visier nimmt, könnte einen Cyberangriff mit physischem Diebstahl kombinieren. Ein verärgerter Mitarbeiter könnte sowohl Daten stehlen als auch Geräte beschädigen.
Umweltkatastrophen können genauso schädlich sein wie Cyberangriffe. Eine Flut in einem Rechenzentrum kann Hardware schneller zerstören als jede Ransomware. Ein Stromausfall kann Dienste genauso effektiv zum Erliegen bringen wie ein DDoS-Angriff.
Darüber hinaus hilft Ihnen der All-Hazars-Ansatz dabei, Risiken ganzheitlich zu betrachten. Wenn Sie sich nur auf Cybersicherheit konzentrieren, verfügen Sie möglicherweise über eine robuste Eindringungserkennung und ein zuverlässiges Patch-Management, aber über eine schreckliche physische Sicherheit. Ein Angreifer könnte einfach in Ihr Rechenzentrum eindringen und Server vom Stromnetz trennen oder bösartige Hardware in Ihr Netzwerk laden.
Der All-Hazars-Ansatz von NIS2 zwingt Sie dazu, über Sicherheit in allen Dimensionen nachzudenken.
Artikel 21 Maßnahmen im Zusammenhang mit allen Gefahren
Jede der zehn Maßnahmen nach Artikel 21 Absatz 2 sollte unter Berücksichtigung aller Gefahren umgesetzt werden.
Maßnahme 1 — Risikoanalyse und Sicherheitsrichtlinien
Ihre Risikobewertung muss alle Gefahrenkategorien berücksichtigen, nicht nur Cyberbedrohungen.
Identifizieren Sie für jedes kritische System oder jede kritische Anlage:
Cyberbedrohungen (welche Angriffe könnten sich darauf auswirken?).
Körperliche Bedrohungen (könnte jemand einbrechen und es beschädigen?).
Umweltbedrohungen (könnten Feuer, Überschwemmung oder Stromausfall das beeinträchtigen?).
Unfallrisiken (welche menschlichen Fehler könnten es beschädigen?).
Lieferanten-/Betriebsrisiken.
Priorisieren Sie Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkung. Ein kritisches Rechenzentrum sollte das Hochwasserrisiko geografisch bewerten. Befindet es sich in einem hochwassergefährdeten Gebiet? Wie hoch ist die Wahrscheinlichkeit? Wenn Überschwemmungen ein hohes Risiko darstellen, müssen Sie dies bei Ihren Maßnahmen zur Schadensbegrenzung (Errichtung von Anlagen, Hochwasserbarrieren, Stützpunkten außerhalb der Überschwemmungsgebiete) berücksichtigen.
Ihre Sicherheitsrichtlinien sollten alle Gefahrenrisiken berücksichtigen, nicht nur Cyberkontrollen.
Maßnahme 2 — Umgang mit Vorfällen
Die Behandlung von Vorfällen umfasst die Reaktion auf Cybervorfälle, aber auch auf physische und umweltbedingte Vorfälle.
Definieren Sie die Arten von Vorfällen:
Cybervorfall: Malware, Einbruch, Datendiebstahl.
Körperlicher Vorfall: Einbruch, Diebstahl, Vandalismus, Feuer.
Umweltvorfall: Überschwemmung, Stromausfall, Ausfall der Klimaanlage.
Betriebsvorfall: Ausfall der Lieferkette, Verlust wichtiger Mitarbeiter, Verfahrensfehler.
Definieren Sie für jeden Vorfalltyp Ihre Reaktion:
Erkennung: Wie erkennt man diese Art von Vorfall?
Untersuchung: Was tun Sie, um Nachforschungen anzustellen?
Eindämmung: Wie stoppt man das?
Wiederherstellung: Wie stellen Sie den Service wieder her?
Dokumentation: Was dokumentieren Sie für die Aufsichtsbehörden?
Ihre Reaktion auf Vorfälle sollte für alle Gefahrenarten, nicht nur für Cybergefahren, integriert sein.
Maßnahme 3 — Geschäftskontinuität und Disaster Recovery
Hier kommt es wirklich auf alle Gefahren an.
Bei der Planung der Geschäftskontinuität muss Folgendes berücksichtigt werden:
Cybervorfälle: Können Sie Daten aus Backups wiederherstellen, wenn Ihre Systeme durch Ransomware verschlüsselt sind?
Physische Vorfälle: Wenn Ihr Rechenzentrum abbrennt, können Sie dann einen Failover an einen anderen Standort durchführen?
Umweltvorfälle: Wenn eine Überschwemmung Ihren Hauptstandort zerstört, befindet sich Ihr Backup dann in einem anderen geografischen Gebiet?
Lieferantenausfälle: Wenn Ihr Cloud-Anbieter ausfällt, können Sie dann zu einem anderen migrieren?
Personalverlust: Kann jemand anderes wichtige Funktionen übernehmen, wenn wichtige technische Mitarbeiter nicht verfügbar sind?
Ihre Backups müssen extern oder in separaten Einrichtungen aufbewahrt werden, damit eine Katastrophe, die Ihren primären Standort betrifft, nicht auch Backups zerstört.
Ihr Notfallwiederherstellungsplan muss regelmäßig anhand verschiedener Szenarien (Cyberangriff, Feuer, Überschwemmung usw.) getestet werden. Gehen Sie nicht davon aus, dass Ihr Plan ohne Tests funktioniert.
Ihre Recovery Time Objectives (RTOs) müssen realistisch sein. Bei kritischen Diensten können RTOs Minuten oder Stunden betragen. Um strenge RTOs zu erreichen, benötigen Sie eine vorausschauende Planung, erprobte Verfahren und häufig mehrere Standorte.
Maßnahme 4 — Sicherheit der Lieferkette
Die Sicherheit der Lieferkette in einem Kontext mit allen Gefahren bedeutet:
Bewertung von Anbietern im Bereich Cybersicherheit (haben sie Sicherheitspraktiken?).
Bewertung der betrieblichen Widerstandsfähigkeit von Lieferanten (können sie eine physische Katastrophe überleben und Ihnen weiterhin dienen?).
Bewertung der Abhängigkeiten von Lieferanten (wenn der Lieferant eines Lieferanten ausfällt, hat er dann Eventualitäten?).
Alternative Lieferanten haben, damit der Ausfall eines einzelnen Lieferanten nicht zu Ihrem Ausfall führt.
Maßnahme 5 — Sichere Entwicklung
Dies ist in erster Linie eine Cybermaßnahme. Sie sollte sich jedoch mit folgenden Themen befassen:
Sichere Codierung zur Vermeidung von Sicherheitslücken, die Angreifer ausnutzen könnten.
Testen, um Fehler zu finden und zu beheben, die zu Ausfällen oder Datenverlust führen könnten.
Sichere Bereitstellungsverfahren zur Vermeidung von Fehlkonfigurationen.
Maßnahme 6 — Bewertung der Wirksamkeit
Beurteilen Sie Ihre Kontrollen gegen alle Gefahren:
Führen Sie Schwachstellen-Scans durch (Cyber).
Führen Sie physische Sicherheitsuntersuchungen durch (kann jemand einbrechen?).
Testen Sie die Notfallwiederherstellungsverfahren (können Sie eine Wiederherstellung durchführen, wenn Ihr primärer Standort ausfällt?).
Prüfen Sie die Widerstandsfähigkeit Ihrer Lieferkette (was passiert, wenn Lieferanten versagen?).
Maßnahme 7 — Cyberhygiene und Schulung
Die Schulung sollte das Bewusstsein für alle Gefahren berücksichtigen:
Cyberhygiene: Phishing, Passwörter, Datenschutz.
Körperliche Sicherheit: Lassen Sie keine Türen offen stehen, teilen Sie keine Zugangsausweise mit anderen, melden Sie verdächtige Personen.
Umweltbewusstsein: Kennen Sie die Evakuierungsverfahren, wissen Sie, wie man Umweltgefahren meldet.
Maßnahme 8 — Kryptographie
In erster Linie eine Cybermaßnahme.
Maßnahme 9 — Personalwesen und Zutrittskontrolle
Zugangskontrolle im Kontext aller Gefahren:
Cyber-Zugriffskontrolle: Authentifizierung, Autorisierung, geringste Privilegien.
Physische Zutrittskontrolle: Ausweise, Schlösser, Biometrie, Besucherprotokolle.
Aufgabentrennung: Verhindern Sie, dass eine einzelne Person zu viel Kontrolle hat (digital oder physisch).
Kündigungsverfahren: Sperren Sie den Zugang (digital und physisch) sofort, wenn Mitarbeiter das Unternehmen verlassen.
Zuverlässigkeitsüberprüfungen: Untersuchen Sie Personen mit Zugriff auf kritische Systeme auf Bedrohungen.
Maßnahme 10 — Multifaktor-Authentifizierung
Hauptsächlich Cyber, aber im Zusammenhang mit der Zugangskontrolle.
Implementierung der physischen Sicherheit
Angesichts des All-Hazars-Ansatzes muss Ihre physische Sicherheit stark sein.
Einrichtungen
Für Einrichtungen, in denen kritische Systeme untergebracht sind:
Zutrittskontrolle: Beschränken Sie den Zutritt nur für autorisiertes Personal.
Besuchermanagement: Besucher protokollieren, Begleitung verlangen, Zutritt einschränken.
Perimetersicherheit: Zäune, Tore, Kameras.
Umweltkontrollen: Brandbekämpfung (Sprinkler), HLK-Überwachung, Feuchtigkeitskontrolle.
Notstromversorgung: unterbrechungsfreie Stromversorgungen, Backup-Generatoren.
Netzwerksicherheit: Kabel sichern, Manipulationen verhindern.
Hardware-Sicherheit
Für Geräte und Hardware:
Sichere Aufbewahrung: Bewahren Sie Geräte in verschlossenen Bereichen auf.
Inventarverwaltung: Verfolgen Sie die gesamte Hardware, verhindern Sie Diebstahl.
Sichere Entsorgung: Geräte am Ende ihrer Lebensdauer vernichten, sodass Daten nicht wiederhergestellt werden können.
Firmware-Überprüfung: Stellen Sie sicher, dass die Firmware auf Geräten nicht manipuliert wurde.
Kabelsicherheit: verhindert das Durchschneiden oder Interferenzen mit Netzwerkkabeln.
Sicherheit des Personals
Für Personen mit Zugang zu Systemen:
Zuverlässigkeitsüberprüfungen vor der Einstellung.
Sicherheitsschulung und Sensibilisierung.
Kontinuierliche Überwachung (auf verdächtiges Verhalten achten).
Sichere Kündigung (allen Zugriff vor Abflug entziehen).
Vertraulichkeitsvereinbarungen.
Bewertung der Umweltrisiken
Führen Sie für jede kritische Einrichtung eine Umweltrisikobewertung durch.
Zu stellende Fragen:
Befindet sich die Anlage in einem hochwassergefährdeten Gebiet? Wie hoch ist das Hochwasserrisiko?
Befindet sich die Anlage in einem erdbebengefährdeten Gebiet?
Besteht die Gefahr extremer Wetterbedingungen (starke Winde, Eis, extreme Temperaturen)?
Wie hoch ist die Zuverlässigkeit des lokalen Stromnetzes? Häufigkeit von Ausfällen?
Wie hoch ist die Zuverlässigkeit der lokalen Wasserversorgung?
Wie hoch ist die Brandgefahr? Befindet sich die Anlage in der Nähe von waldbrandgefährdeten Gebieten oder in einem Gebäude mit Brandgefahr?
Ermitteln Sie für jedes identifizierte Risiko Ihre Risikominderung:
Reduzieren Sie die Wahrscheinlichkeit: Erhöhen Sie die Anlage über das Hochwasserniveau, entfernen Sie sich von brandgefährdeten Bereichen und verbessern Sie die Brandbekämpfungssysteme.
Reduzieren Sie die Auswirkungen: Wenn Sie Überschwemmungen nicht verhindern können, sollten Sie Reserveeinrichtungen außerhalb der Überschwemmungsgebiete einrichten; wenn Sie Stromausfälle nicht verhindern können, verfügen Sie über Notstromaggregate; wenn Sie Brände nicht verhindern können, sollten Sie automatische Sprinkleranlagen und Früherkennung einrichten.
Risiko akzeptieren: Wenn die Wahrscheinlichkeit des Risikos sehr gering ist und/oder Sie über eine gute Abschwächung verfügen, können Sie das Restrisiko akzeptieren.
Dokumentieren Sie Ihre Einschätzung und alle akzeptierten Risiken. Die Aufsichtsbehörden werden sehen wollen, dass Sie über Umweltgefahren nachgedacht haben.
Resilienz gegen Widerstand
Beim All-Hazars-Ansatz wird zwischen Resistenz und Resilienz unterschieden:
Widerstand bedeutet, einen Vorfall zu verhindern (eine starke Sperre verhindert einen Einbruch, eine Firewall verhindert einen Cyberangriff).
Resilienz bedeutet die Fähigkeit, sich schnell zu erholen, falls es trotzdem zu einem Vorfall kommt.
NIS2 erfordert beides:
Sie müssen Bedrohungen, wo immer möglich, widerstehen (starke Kontrollen, Abwehr).
Sie müssen dort widerstandsfähig sein, wo Widerstand unmöglich ist (Backup-Standorte, Redundanz, schnelle Wiederherstellung).
Bei einigen Gefahren ist Widerstand nicht praktikabel. Sie können Erdbeben oder Überschwemmungen nicht verhindern. Aber Sie können widerstandsfähig sein: indem Sie mehrere Einrichtungen in verschiedenen Bereichen haben, indem Sie Backups haben, indem Sie Versicherungen haben, indem Sie Pläne für die Reaktion auf Zwischenfälle haben.
Verhältnismäßigkeit beim All-Hazars-Ansatz
Der Allgefahrenansatz muss verhältnismäßig sein. Sie sind nicht verpflichtet, Kontrollen gegen Gefahren zu implementieren, die für Ihren Kontext nicht realistisch sind.
Beispiele:
Wenn sich Ihr Rechenzentrum in einer stabilen geologischen Region weit von Erdbebengebieten befindet, benötigen Sie keine seismische Verstärkung.
Wenn sich Ihre Anlage auf einem Hügel weit von Überschwemmungsgebieten befindet, ist der Hochwasserschutz weniger wichtig.
Wenn Ihr Betrieb nicht von externen Lieferanten abhängig ist, ist die Widerstandsfähigkeit der Lieferkette weniger wichtig.
Sie müssen jedoch eine Risikobewertung durchführen, um festzustellen, was realistisch ist und was nicht. Gehen Sie ohne Analyse nicht einfach von einem niedrigen Risiko aus.
Praktische Checkliste: Implementierung aller Gefahren
Für jedes kritische System oder jede kritische Einrichtung:
Identifizieren Sie alle potenziellen Gefahren (Cyber-, physische, Umwelt-, Betriebs- und Lieferkettengefahren).
Beurteilen Sie die Wahrscheinlichkeit und die Auswirkungen für jede Gefahr.
Ermitteln Sie das akzeptable Risiko (was werden Sie tolerieren?).
Führen Sie für jedes inakzeptable Risiko Kontrollen durch:
Um die Wahrscheinlichkeit zu verringern (die Gefahr zu verhindern).
Um die Auswirkungen zu reduzieren (abzumildern, falls es trotzdem passiert).
Testen Sie Ihre Kontrollen (Übungen, Übungen am Tisch, Sicherheitsbewertungen).
Dokumentieren Sie Ihren Ansatz (Risikobewertung, Kontrollen, Testergebnisse).
Für hochriskante Umweltgefahren:
Führen Sie eine geografische Risikobewertung und eine Risikobewertung der Anlage durch.
Implementieren Sie Umweltkontrollen (Brandbekämpfung, HLK-Überwachung usw.).
Suchen Sie Backup-Einrichtungen in verschiedenen geografischen Gebieten.
Testen Sie Disaster Recovery regelmäßig.
Für Gefahren in der Lieferkette:
Beurteilen Sie alle wichtigen Lieferanten.
Entwickeln Sie alternative Lieferantenbeziehungen.
Überwachen Sie den Betriebszustand und die Betriebssicherheit der Lieferanten.
Testen Sie die Fähigkeit, bei Bedarf den Lieferanten zu wechseln.
Für die physische Sicherheit:
Implementieren Sie Zugangskontrollen (Ausweise, Schlösser, Biometrie).
Überwachen Sie den Zugriff und erkennen Sie Anomalien.
Führen Sie regelmäßige physische Sicherheitsbewertungen durch.
Schulung des Personals in Bezug auf physische Sicherheit.
Für Personal-/Betriebsgefahren:
Dokumentieren Sie wichtige Funktionen und wer sie ausführt.
Schulen Sie Mitarbeiter übergreifend, sodass mehrere Personen wichtige Funktionen ausführen können.
Haben Sie Nachfolgeregelungen für Schlüsselpositionen.
Testen Sie Ihre Einsatzfähigkeit, wenn wichtige Personen nicht verfügbar sind.
Wichtige Erkenntnisse
-
Der All-Hazars-Ansatz erfordert den Schutz von Systemen und Infrastrukturen vor allen Kategorien von Bedrohungen: Cyberbedrohungen, physische Bedrohungen, Umweltbedrohungen, Unfälle und Lieferkette. Die Maßnahmen nach Artikel 21 müssen alle Gefahrenarten betreffen, nicht nur Cyberangriffe.
-
Physische Sicherheit ist ebenso wichtig wie Cybersicherheit. Die Implementierung umfasst Zugangskontrollen, Besuchermanagement, Perimetersicherheit, Umgebungskontrollen (Brandbekämpfung, HLK), Notstromversorgung und Hardwaresicherheit.
-
Geschäftskontinuität und Disaster Recovery müssen für alle Gefahren konzipiert sein: Backups müssen außerhalb des Standorts in verschiedenen geografischen Gebieten aufbewahrt werden; Disaster-Recovery-Verfahren müssen anhand verschiedener Szenarien (Cyber, Brand, Überschwemmung, Stromausfall) getestet werden; die Ziele für die Wiederherstellungszeit müssen erreichbar sein.
-
Bei der Bewertung der Umweltrisiken sollten lokale Gefahren (Hochwasserrisiko, Erdbebenrisiko, extreme Witterungsbedingungen, Zuverlässigkeit des Stromnetzes) identifiziert und angemessene Maßnahmen zur Minderung festgelegt werden (Erhebungseinrichtungen, Notstromaggregate, Brandbekämpfung).
-
Die Widerstandsfähigkeit der Lieferkette ist von entscheidender Bedeutung: Beurteilen Sie Lieferanten auf ihre betriebliche Belastbarkeit, entwickeln Sie alternative Lieferanten, überwachen Sie den Zustand der Lieferanten und testen Sie die Fähigkeit, Lieferanten zu wechseln, wenn ein kritischer Lieferant ausfällt.
-
Es gilt die Verhältnismäßigkeit: Sie sind nicht verpflichtet, Maßnahmen gegen unrealistische Gefahren zu ergreifen. Sie müssen jedoch eine Risikobewertung durchführen, um festzustellen, was für Ihren Kontext realistisch ist, und Ihre Schlussfolgerungen dokumentieren.
-
Resilienz und Resistenz ergänzen sich: Widerstehen Sie Bedrohungen, wo immer möglich (starke Kontrollen, Abwehrmaßnahmen), und seien Sie widerstandsfähig, wenn Widerstand unmöglich ist (Backups, Redundanz, schnelle Wiederherstellung).
