Unabhängiges Magazin für Wirtschaft und Bildung

29. März 2024

Search form

Search form

Der ganzheitliche Schutz der Existenz

Der ganzheitliche Schutz der Existenz © TSA

Neue Gesetze und steigende Bedrohungen unterstreichen die Notwendigkeit einer umfassenden Sicherheits-Architektur. T-Systems erweitert die Security-Dienste für Unternehmen und inkludiert dabei auch die neuen NIS-Richtlinien.

(Christian Czaak) Jede Minute sind weltweit vier Unternehmen von einer Ransomware Attacke betroffen. Jeden Tag werden rund 560.000 neue Malware-Bedrohungen entdeckt. Diese Entwicklungen stellen eine immense Gefahr für Unternehmen, Organisationen und kritische Infrastrukturversorger dar, deren Prozesse und Produkte immer umfassender auf digitalen Technologien beruhen. Cyber Security betrifft uns alle und darüber sind auch Regulierungsbehörden und Gesetzgeber im Klaren.

Von den gesetzlichen NIS-Richtlinien für Netz- und Informationssysteme in Europa und Österreich bis zum internationalen Cyber Resilience Act – viele Regularien befassen sich mit IT-Sicherheit und laufend ziehen weitere Länder und Regionen nach. Die Anforderungen betreffen Betreiber wesentlicher IKT-Dienste und beinhalten die Implementierung von Sicherheitsmaßnahmen und die unverzügliche Meldung von Sicherheitsvorfällen. Betroffene Einrichtungen müssen zudem alle drei Jahre ihre Sicherheitsmaßnahmen nachweisen.

Sicherheitsrisiko Produktion
Während sich in der ersten NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen verantworten mussten, so erweitern die neuen NIS-Regularien ihren Umfang um eine Vielzahl weiterer Unternehmen. Ziel des seit heurigem Jänner geltenden Gesetzes ist, die Cyber-Resilienz EU-weit auf ein höheres Niveau anzuheben und Unternehmen gegenüber Cyberangriffen zu stärken.

Viele Institutionen und Unternehmen haben zumindest schon rudimentäre Security-Lösungen implementiert, die Sicherheit von Produktionsanlagen und Maschinen wird aber oft vernachlässigt. Schafft es jedoch ein Angreifer in Produktionsumgebungen vorzudringen, kann dies fatale Folgen haben: hohe Erpressungssummen, Imageschäden, Diebstahl von sensiblen Daten und geistigem Eigentum oder gar die Gefährdung von Menschenleben. Unternehmen stehen nun vor der Herausforderung die vorgegebenen gesetzlichen Maßnahmen in kurzer Zeit umzusetzen - sonst drohen hohe Geldstrafen.

NIS-Gesetzeslage
Der Kern der neuen NIS 2-Regelung basiert auf der Durchführung eines Risikomanagements zur Ermittlung und Bewertung von möglichen IT-Sicherheitsrisiken und Cyberangriffen. Zudem sind Unternehmen dazu verpflichtet, kritische Sicherheitsvorfälle an die Behörden und an die Empfänger der betroffenen Dienstleistung zu melden. Auch die Sicherheit der Lieferkette findet erstmalig Berücksichtigung in der Richtlinie.

Organisationen müssen nun auch Risiken direkter Zulieferbetriebe beachten und damit rückt auch die Sicherheit von Produktionsanlagen in den Fokus. Die Einführung digitaler Fertigungsprozesse und Lieferketten macht Unternehmen unweigerlich von externen Abläufen und vom dynamischen Management der (laufend steigenden) Daten abhängig.

NIS-Competence Center
T-Systems ist seit 2020 qualifizierte Prüfstelle nach dem NIS-Gesetz und kann alle adressierten Unternehmensbereiche abdecken. Ein zentrales Element sind dabei umfassende Beratungen, und das inkludiert alle Kategorien der NIS-Verordnung wie proaktive Sicherheitsarchitektur, Krisenmanagement, Government-, Risk-, Compliance- & Identity-Management oder die Systemverantwortung.

„Wir beschäftigen uns aufgrund unserer eigenen Verpflichtung als Tochter der Deutschen Telekom und durch unseren breiten Kundenstamm im Bereich kritischer Systemversorger bereits seit der Entwicklung der NIS-Richtlinie mit den Sicherheitsstandards von Netz- und Informationssicherheitssystemen“, sagt Thomas Masicek, SVP Cyber Security T-Systems International.

Langjährige Expertise
T-Systems ist als IT-Anbieter auch selbst im Fokus der NIS-Anforderungen. Ein eigenes NIS Competence Center begleitet die Umsetzung innerhalb des Konzerns und daraus sind umfassende Consulting Services entstanden, die auch den Kunden zugute kommen. Betreut werden Unternehmen in den Branchen Lebensmittel und Ernährung sowie Energie, Gesundheitswesen oder Infrastruktur. Der IT-Dienstleister hat zudem langjährige Erfahrung in der Umsetzung verwandter Zertifizierungen und kennt deren Prüfprozesse und Überschneidungen mit den NIS-Anforderungen.

Diese Unterstützung reicht von fachlicher Expertise durch zertifizierte Security ExpertInnen, sogenannte Gap-Analysen anhand von Best-Practices und Standards bis hin zu toolgestützten Lösungen zur Steuerung von Unternehmensprozessen. „Das langjährige Know-how von über 100 Security-ExpertInnen in Österreich zur Bewältigung von Sicherheitsvorfällen und Implementierung von Governance, Risk & Compliance-Prozessen (GRC) machen T-Systems und unser Schwesterunternehmen Deutsche Telekom Cyber Security Austria zum idealen Begleiter für Unternehmen auf dem Weg zur NIS-Konformität“, unterstreicht Peter Lenz, Vorsitzender der Geschäftsführung von T-Systems Austria.

Standardisiertes Vorgehen
Erster Schritt in der Kundenbetreuung ist die Erstellung eines Risikoregisters im Hinblick auf die Komponenten der wesentlichen/kritischen Dienstleistung, inklusive eines risikobasierten Maßnahmenplans zur Schließung etwaiger identifizierter Abweichungen. Eine digitale Assessment-Plattform gewährleistet hier eine standardisierte Umsetzung und diese Dokumentation bildet dann die Grundlage für alle weiteren Schritte.

Anhand der standardisierten Methodik werden die entsprechenden Assets für die Bereitstellung der nötigen Dienstleistung exakt definiert und die beinhalten dann auch die dazugehörigen NIS-Anforderungen. Um ein möglichst detailliertes Bild der Bedrohungslage zu erhalten, werden alle relevanten Fachbereiche miteinbezogen. Dann erfolgt für den Kunden ein individueller Maßnahmenplan mit genauen Priorisierungen zur Schließung von identifizierten Gaps. T-Systems verantwortet auch die Umsetzung der konkreten Maßnahmen.

Der erfahrene IT-Dienstleister unterstützt je nach Kundenwunsch beratend oder implementierend. „Bei allen Jobs werden vereinbarte Lieferzeiten und Ergebnisse exakt dokumentiert und nach erfolgreicher Projektdurchführung und Umsetzung der NIS-Anforderungen ziehen wir ein gemeinsames Resümee“, ergänzt Security-Experte Thomas Masicek von T-Systems International.

Links

red/czaak, Economy Ausgabe Webartikel, 23.05.2023