NEU im #ConfareBlog
Mohamed Ibbich (BeyondTrust) – Identität im Visier – Warum NIS2 den Blick auf digitale Zugriffe verändert
Digitale Identitäten: Die EU verschärft die Regeln in Sachen Cybersicherheit: Mit der NIS2-Richtlinie werden Unternehmen verpflichtet, umfassende Sicherheitsmaßnahmen umzusetzen – und bei Verstößen drohen hohe Strafen, bis hin zur persönlichen Haftung von Führungskräften.
Mohamed Ibbich, Senior Director Solutions Engineering bei BeyondTrust, berät Unternehmen im privaten wie öffentlichen Sektor rund um IT-Sicherheit, Identitätsmanagement und Verschlüsselung. Im Gespräch erklärt er, worauf IT-Entscheider jetzt besonders achten müssen, welche technischen und organisatorischen Maßnahmen Priorität haben und warum das Thema digitale Identitäten dabei in den Mittelpunkt rückt.
Das Team von BeyondTrust trifft man persönlich beim wichtigsten IT-Management-Treffpunkt Österreichs – dem Confare #CIOSUMMIT. Auch hier wird das Thema Digitale Identitäten näher beleuchtet.
Wie groß sind die Veränderungen, die NIS2 mit sich bringt, in der Praxis?
Mit der Novellierung der EU-Cybersicherheitsvorschriften wird der Rechtsrahmen grundlegend modernisiert. Sie berücksichtigt aktuelle Entwicklungen, wie den Digitalisierungsschub und die daraus resultierenden Bedrohungen für die Cybersicherheit. Der Geltungsbereich dieser Vorschriften wurde um neue Sektoren und Einrichtungen erweitert. Das betrifft insbesondere das verarbeitende Gewerbe und andere OT-Branchen. Wichtige Kriterien sind die Größe eines Unternehmens und die Einstufung, ob Firmen zu den Betreibern kritischer Infrastrukturen (KRITIS) zählen.
Unmittelbare Folge der NIS2-Vorschriften ist, dass der Aufwand steigt, wie auf Sicherheitsvorfälle zu reagieren ist — von erweiterten Meldepflichten und präziseren Meldeprozessen bis zu vorgeschriebenen Zeitplänen. Insgesamt steigen die Sicherheitsanforderungen, wobei der Fokus auf einer gezielten Behandlung und Offenlegung von Schwachstellen sowie auf Richtlinien und Verfahren wirksamer Risikomanagement-Sicherheitsmaßnahmen liegt. Das Maßnahmenpaket fordert zudem grundlegende IT-Hygiene und Cybersicherheitsschulungen sowie den effektiven Einsatz von Kryptografie, Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management ein.
Bei Compliance-Verstößen gegen NIS2 drohen höhere Bußgelder, die nach Status und Größe der Unternehmen gestaffelt sind. Die Geldbußen für Anbieter „wesentlicher“ Dienste können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Für „wichtige“ Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Führungskräfte können für Sicherheitsverstöße persönlich haftbar gemacht und ihrer Posten enthoben werden.
Beim CIOSUMMIT Frankfurt 2025 erwarten sie jede Menge Beiträge zum Thema Digitale Identitäten!
Welche technischen und organisatorischen Maßnahmen müssen IT-Entscheider jetzt priorisieren?
Unternehmen stehen vor der Herausforderung, die aktualisierten Anforderungen der EU-Direktive vollständig erfüllen zu müssen, wenn sie nicht schwerwiegende Sanktionen riskieren wollen. Besonders wichtig ist zum Beispiel die Kontrolle des Zugriffs von Drittanbietern auf interne Systeme. Viele Organisationen setzen veraltete Remote-Access-Technologien ein, die nicht die geforderten Kontrollmöglichkeiten für sichere Fernzugriffe bieten.
Schon ein kurzer Blick in die CVE-Datenbanken zeigt beispielsweise, wie anfällig VPNs für Schwachstellen sind. So versäumte die britische Devisengesellschaft Travelex das rechtzeitige Patchen ihres VPNs und wurde gehackt. Das Unternehmen musste Insolvenz anmelden, nachdem Hacker 2,3 Millionen US-Dollar an Lösegeld einforderten. Auch der Automobilkonzern Toyota musste Fabriken wegen einer Cyberattacke schließen, was zu einem Schaden von 375 Millionen US-Dollar führte.
Welche kritischen Schwellenwerte und Kriterien sollten CIOs und CISOs besonders beachten?
Digitale Identitäten sind mittlerweile das Hauptziel von Angreifern, um sensible Systeme kompromittieren und Informationen abgreifen zu können. Identitätsbezogene Attacken entziehen sich oft der Erkennung, da die Identitätsinfrastruktur im Regelfall nur begrenzt überwacht wird. Mit höheren Zugriffsrechten können sich Hacker seitwärts im Unternehmensnetz bewegen — die Missbrauchsmöglichkeiten mit geraubten digitalen Identitäten wurden bei den koordinierten Angriffen auf Okta-Kunden oder den Midnight-Blizzard-Angriffen auf E-Mail-Systeme von Microsoft sichtbar.
Regulatorische Anforderungen wie NIS2 verstärken die Suche nach ausgereiften Technologien zur Gewährleistung einer hohen Cybersicherheit, die Unternehmen und Organisationen insgesamt einhalten müssen. Deshalb hält BeyondTrusts native Cloud-Lösung „Identity Security Insights“ höchste EU-Datensicherheitsstandards über ein deutsches Rechenzentrum ein. So lassen sich umfassende Identitätssicherheit und höchste IT-Compliance-Anforderungen erfüllen. Digitale Informationen werden gemäß strengster Vorgaben, wie der Datenschutz-Grundverordnung (DSGVO), behandelt und gelagert.
Gibt es branchenspezifische Besonderheiten, die IT- und Sicherheitsverantwortliche berücksichtigen müssen?
Das Thema OT-Sicherheit ist nach einer Flut von Angriffen zentraler Bestandteil der NIS2-Regularien. In IT-Netzwerken wurden grundlegende Sicherheitsmaßnahmen zumeist umgesetzt, aber in OT-Umgebungen gibt es bei Aufgaben wie Change Management, Zugriffskontrolle oder Schwachstellenmanagement immer noch Nachholbedarf.
Handelt es sich bei der OT-Umgebung um eine Produktionsanlage oder Fabrik, ist Verfügbarkeit das oberste Kriterium. Jeder Produktionsausfall hat kostspielige Folgen und kann sich nachteilig auf nachgelagerte Sparten auswirken. Erschwerend kommt hinzu, dass in der OT veraltete oder nicht mehr unterstützte Geräte eingesetzt werden. Sind die Aktualisierungszyklen zu lang, gefährdet das den Betrieb technischer Systeme, die gegen neue Cyberbedrohungen nicht gehärtet werden.
IT- und OT-Umgebungen sollten getrennt werden, um die Auswirkungen einer Sicherheitsverletzung begrenzen zu können. Viele IT-Verantwortliche setzen jedoch die gleichen Authentifizierungs- und Sicherheitsdienste in der IT-Welt und ihrer OT-Umgebung ein. Ein anschauliches Beispiel ist die Verwendung von Active Directory, um die Kontenauthentifizierung und -autorisierung für OT-Benutzer zu verwalten.
Was ist denn aus Sicht von internationalen Unternehmen und Konzernen zu beachten?
Die EU-Direktive richtet sich an Unternehmen, die von den Mitgliedstaaten als „Betreiber wesentlicher Dienste“ eingestuft werden. Die meisten Organisationen, die unter die schärferen Vorgaben von NIS2 fallen, betreiben kritische nationale Infrastrukturen (CNI), Netzwerke für Operational Technology (OT) und industrielle Systeme. Die NIS2-Vorschriften gelten nicht nur für „wesentliche und wichtige Einrichtungen“, sondern auch für Verstöße in der Lieferkette.
Drittanbieter und IT-Dienstleister können das schwächste Glied einer Cyberabwehrkette sein. Jedes Unternehmen verlässt sich beim Betrieb geschäftlicher Dienste auf externe Anbieter, aber die Unternehmenssicherheit insgesamt ist nur so gut wie die Sicherheit des anfälligsten Drittanbieters.
Auch Subunternehmer und Lieferanten müssen sich also an den NIS2-Anforderungen orientieren — wo auch immer sie ansässig sind. Mit den Aktualisierungen in NIS2 ist die Einbeziehung von Drittanbietern in die Sicherheitsstrategie von zentraler Bedeutung. Unternehmen müssen ihren Lieferanten einen Mindestreifegrad für die Cybersicherheit auferlegen. Und sie sind für die Prüfung der Lieferantensicherheit verantwortlich.
Wie können CIOs und CISOs sicherstellen, dass sie globale Compliance-Vorgaben mit den neuen EU-Anforderungen in Einklang bringen?
Angesichts der zunehmenden Komplexität von Cyberbedrohungen benötigen Unternehmen robuste Identitätssicherheitsmaßnahmen und Kontrollmöglichkeiten, um sich proaktiv gegen ausgeklügelte Angriffe verteidigen und prüfen zu können, ob Daten in den USA oder in der EU lagern. Dann erst können sie versteckte Schwachstellen aufdecken, Compliance-Bemühungen zusammenfassen und ihre wichtigsten Assets präzise, nachweisbar und EU-gesetzeskonform schützen. Mit kontextbezogenen, bedrohungsrelevanten und präskriptiven Empfehlungen sowie Berichten und Visualisierungen können Unternehmen kritische Identitätsschwachstellen proaktiv identifizieren und beheben, bevor sie ausgenutzt werden.
Als Cloud-native Lösung bietet Identity Security Insights eine einheitliche Sicht auf die gesamte Identitätslandschaft einer Organisation. Die Enterprise-Lösung verschafft Unternehmen einen umfassenden Überblick über ihren Bestand: digitale Identitäten, Konten, Cloud-Berechtigungen und privilegierten Zugriffswegen. Mit fortschrittlichen KI-Technologien und Machine Learning vereinfacht Identity Security Insights die Bedrohungserkennung, verbessert die Transparenz, sorgt für nahtlose Integration und hilft Anwendern durch Innovationen, den sich verändernden Bedrohungen immer einen Schritt voraus zu sein.
Wie kann man mit der ungeheuren Vielfalt an Regulierungen und der steigenden Komplexität richtig umgehen?
Die realen Chancen, dass alles glatt läuft, werden meistens überschätzt, während andererseits die Wahrscheinlichkeit unterschätzt wird, dass es zu negativen Folgen kommt. Häufig ist der Unternehmensleitung gar nicht bewusst, wie leicht ihr Betrieb ins Visier von Bedrohungsakteuren geraten kann. Das wirkt sich fatal für die betroffenen Unternehmen aus.
Gutes Risikomanagement besteht darin, Gefahren so weit wie möglich zu minimieren. Die bereits erwähnten Attacken dokumentieren anschaulich, welche Kosten eine Sicherheitsverletzung nach sich ziehen kann. Behördliche Strafgelder kommen unter NIS2 noch dazu. Auch der Reputationsschaden für betroffene Organisationen kann im wahrsten Sinne des Wortes teuer werden. Außerdem können Führungskräfte, die für Governance, Risk & Compliance (GRC) verantwortlich sind, aufgrund von NIS2 sanktioniert und möglicherweise sogar aus ihren Positionen entfernt werden. In Zeiten eines allgemeinen Fachkräftemangels ist dies ein nicht zu unterschätzendes Zusatzrisiko.
Welche Rolle spielen Automatisierung und KI-gestützte Security-Ansätze für CIOs und CISOs?
In modernen Unternehmensumgebungen kommen immer mehr vernetzte IT-Systeme mit menschlichen, maschinellen und Workload-Identitäten zum Einsatz. Viele Organisationen können indirekte Zugriffsmöglichkeiten von Angreifern auf Privilegien nicht einsehen. Die steigende Komplexität führt dazu, dass immer mehr Zielsysteme kompromittiert werden.
Notwendig ist, dass alle Berechtigungen digitaler Identitäten geprüft und komplexe Interaktionen, Konfigurationen oder aktuelle Zustände berücksichtigt werden. Durch eine kontinuierliche Bewertung von Risiken und durch Mapping von Vernetzungen in der gesamten Identitätslandschaft lassen sich kritische Sicherheitsprobleme proaktiv identifizieren und beheben. Eine ganzheitliche Sicht ermöglicht auch kontextbezogene Empfehlungen, damit Unternehmen ihre Sicherheitslage stärken und potenzielle Angriffe rechtzeitig unterbinden können.
Fortschrittliche KI- und Machine-Learning-Technologien analysieren große Bestände an Identitätsdaten aus verschiedenen Quellen – von Active Directory, Entra ID oder Ping bis zu Okta, Atlassian, GitHub und AWS. Solche Analysen gehen dabei weit über eine oberflächliche Erfassung von Berechtigungen oder die bloße Nutzung von Daten aus Passwort-Tresoren hinaus. Die auf dieser Datenbasis beruhende Erkennung anomalen Verhaltens ermöglicht es, potenzielle Sicherheitsverletzungen frühzeitig zu erkennen.
Wie lässt sich Cybersecurity strategisch in die Unternehmensführung integrieren, um nicht nur Compliance, sondern auch Resilienz zu gewährleisten?
In den vergangenen Jahren haben europäische Länder einen starken Anstieg von Ransomware- und Malware-Angriffen erlebt. Viele dieser Cyber-Angriffe basieren auf dem Missbrauch von Administratorrechten und gestohlenen Passwörtern. Kompromittiert ein Angreifer im schlimmsten Fall sogar einen Account mit privilegierten Zugriffsrechten, kann er auf diese Weise erheblichen Schaden anrichten.
Die praktikable Umsetzung hängt vom Governance, Risk & Compliance (GRC)-Team eines Unternehmens ab. Verantwortliche müssen die neuen Anforderungen studieren und prüfen, ob ihre bestehenden Kontrollen ausreichen oder ob es Nachholbedarf gibt. Sie müssen auch bedenken, ob unabhängige Experten zur Einhaltung der gesetzlichen Anforderungen hinzugezogen werden sollten.
NIS2 fördert „die Verwendung europäischer und internationaler Normen und technischer Spezifikationen, die für die Sicherheit von Netz- und Informationssystemen relevant sind“. Die grundlegenden Anforderungen, wie Endpunktsicherheit oder Antivirenschutz, sollten über NIS oder andere Sicherheits-Frameworks bereits abgedeckt sein. Den größten Nachholbedarf gibt es erfahrungsgemäß bei der Abwehr von Phishing-Angriffen, bei der Durchsetzung einer Least-Privilege-Strategie und beim Identitätsmanagement insgesamt.