NIS2 Risikobewertung: Ein strukturierter Rahmen zur Identifizierung und Priorisierung Ihrer Cyberlücken

Artikel 21 der NIS2 schreibt vor, dass wesentliche und wichtige Einrichtungen einen risikobasierten Ansatz für die Cybersicherheit verfolgen müssen. Die Richtlinie schreibt jedoch keine bestimmte Methodik vor. Organisationen müssen ein Rahmenwerk auswählen und umsetzen, das ihrer Größe, ihrer Gefährdung und ihrem Sektor angemessen ist. Dieser Leitfaden stellt eine strukturierte sechsstufige Methodik vor, die sich an der ISO 27005:2022 (Information Security Risk Management) und den ENISA-Richtlinien orientiert und auf Organisationen zugeschnitten ist, die der NIS2 unterliegen.

Warum ein strukturierter Rahmen wichtig ist

Ad-hoc-Sicherheitsmaßnahmen, auch wenn sie noch so gut gemeint sind, entsprechen nicht dem NIS2-Standard. Artikel 21 verlangt Maßnahmen, die angemessen und verhältnismäßig sind, was eine dokumentierte Begründung für jede Sicherheitsentscheidung voraussetzt. Ein strukturierter Rahmen zur Risikobewertung liefert diese Begründung. Er stellt sicher, dass die Ressourcen für die Risiken mit den größten Auswirkungen eingesetzt werden, dass die Restrisiken von der Geschäftsleitung bewusst in Kauf genommen werden und dass die Einhaltung der Vorschriften gegenüber den Aufsichtsbehörden nachgewiesen werden kann.

Der hier vorgestellte Rahmen folgt sechs aufeinanderfolgenden Schritten. Jeder Schritt führt zu dokumentierten Ergebnissen, die in den nächsten einfließen und so einen umfassenden und überprüfbaren Risikomanagementprozess schaffen.

Schritt 1: Identifizierung und Bewertung von Vermögenswerten

Bevor Sie das Risiko einschätzen können, müssen Sie wissen, was Sie schützen wollen. Die Asset-Identifizierung erstellt ein umfassendes Inventar der Informationsressourcen, Netzwerk- und Informationssysteme sowie der unterstützenden Infrastruktur in Ihrem NIS2-Bereich.

Kategorien der zu inventarisierenden Vermögenswerte:

• Informationswerte: Kundendatenbanken, geistiges Eigentum, Mitarbeiterdaten, Finanzdaten, Betriebsdaten
• Hardware-Assets: Server, Workstations, Netzwerkgeräte, IoT-Geräte, mobile Geräte
• Software-Assets: Betriebssysteme, Anwendungen, Middleware, Firmware
• Netzwerk-Assets: LAN/WAN-Infrastruktur, Firewalls, VPNs, Cloud-Konnektivität
• Service-Assets: Cloud-Dienste, SaaS-Plattformen, verwaltete Dienste, APIs von Drittanbietern
• Personal: Schlüsselrollen und ihre Zugriffsebenen

Jedes Asset sollte auf der Grundlage seiner Wichtigkeit für Ihren Betrieb und der Sensibilität der darin enthaltenen Daten bewertet werden. ISO 27005 empfiehlt die Zuweisung eines Wertes für die Auswirkungen auf das Geschäft (z.B. niedrig, mittel, hoch, kritisch), basierend auf den potenziellen Folgen einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit.

Schritt 2: Analyse der Bedrohung

Die Bedrohungsanalyse identifiziert die potenziellen Quellen und Ereignisse, die Ihre Vermögenswerte gefährden könnten. Bedrohungen können in folgende Kategorien eingeteilt werden:

• Vorsätzlich: gezielte Cyberangriffe, Ransomware, Insider-Bedrohungen, Spionage, Hacktivismus
• Unbeabsichtigt: menschliches Versagen, Fehlkonfigurationen, Software-Bugs, Hardware-Ausfälle
• Umwelt: Naturkatastrophen, Stromausfälle, Unterbrechungen der Lieferkette

Nutzen Sie Quellen für Bedrohungsdaten, um Ihre Analyse zu kalibrieren. Die ENISA veröffentlicht jährlich einen Bericht über die Bedrohungslandschaft, in dem die wichtigsten Bedrohungen für europäische Organisationen aufgeführt sind. Branchenspezifische ISACs (Information Sharing and Analysis Centres) liefern branchenrelevante Informationen. Ihre Analyse sollte sowohl die Wahrscheinlichkeit der einzelnen Bedrohungen als auch die Fähigkeiten der jeweiligen Akteure berücksichtigen.

Schritt 3: Bewertung der Anfälligkeit

Die Schwachstellenbewertung identifiziert die Schwachstellen in Ihren Systemen, Prozessen und Kontrollen, die von den in Schritt 2 identifizierten Bedrohungen ausgenutzt werden könnten. Dies beinhaltet:

• Technische Schwachstellen: ungepatchte Software, schwache Konfigurationen, offene Ports, fehlende Verschlüsselung
• Organisatorische Schwachstellen: unzureichende Sicherheitsrichtlinien, unzureichende Schulung, unklare Verantwortlichkeiten
• Physische Schwachstellen: unzureichende Zugangskontrollen, mangelnder Schutz der Umwelt
• Schwachstellen in der Lieferkette: nicht überprüfte Software von Drittanbietern, unsichere APIs, schwache Sicherheitspraktiken der Anbieter

Automatisierte Tools zum Scannen von Schwachstellen bieten eine Grundlage, aber sie müssen durch manuelle Tests (Penetrationstests) und Prozessüberprüfungen ergänzt werden. In Artikel 21 Absatz 2 Buchstabe e) der NIS2 werden ausdrücklich Fähigkeiten zur Behandlung und Offenlegung von Schwachstellen gefordert.

Schritt 4: Analyse der Auswirkungen

Bewerten Sie für jedes plausible Bedrohungs-Schwachstellen-Paar die potenziellen Auswirkungen, wenn sich das Risiko verwirklicht. Die Auswirkungen sollten über mehrere Dimensionen hinweg bewertet werden:

• Betriebliche Auswirkungen: Serviceunterbrechung, Wiederherstellungszeit, Verlust kritischer Funktionen
• Finanzielle Auswirkungen: direkte Kosten (Reaktion auf den Vorfall, Abhilfemaßnahmen), indirekte Kosten (Umsatzeinbußen, Vertragsstrafen)
• Regulatorische Auswirkungen: NIS2-Strafen (bis zu EUR 10 Mio. oder 2% des Umsatzes für wichtige Unternehmen), GDPR-Strafen, wenn personenbezogene Daten betroffen sind
• Auswirkungen auf die Reputation: Kundenvertrauen, Medienpräsenz, Wettbewerbspositionierung
• Auswirkungen auf die Sicherheit: körperliche Schäden (relevant für die Bereiche Gesundheit, Energie und Verkehr)

Verwenden Sie eine einheitliche Auswirkungsskala (z.B. vernachlässigbar, gering, moderat, groß, katastrophal) mit definierten Kriterien für jede Stufe. Dies gewährleistet die Vergleichbarkeit aller Risiken und unterstützt die Priorisierung.

Schritt 5: Risikobewertung und Prioritätensetzung

Das Risiko ist die Kombination aus der Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, und den Auswirkungen, wenn dies geschieht. Verwenden Sie eine Risikomatrix, um jedes identifizierte Risiko darzustellen:

Risikostufe = Wahrscheinlichkeit x Auswirkung. Kategorisieren Sie Risiken als: Kritisch (sofortige Maßnahmen erforderlich), Hoch (Maßnahmen innerhalb eines bestimmten Zeitrahmens erforderlich), Mittel (überwachen und Abhilfe planen), Gering (akzeptieren oder überwachen).

Der Schritt der Risikobewertung ist der Punkt, an dem die Verantwortlichkeit des Managements gemäß Artikel 20 der NIS2 konkret wird. Das Leitungsorgan muss die Risikobewertung überprüfen und formell genehmigen, wobei es die Restrisiken in vollem Bewusstsein ihrer möglichen Folgen akzeptiert.

Schritt 6: Planung der Risikobehandlung

Wählen Sie für jedes Risiko, das die von Ihrem Unternehmen definierte Risikobereitschaft übersteigt, eine Behandlungsoption:

• Abschwächen: Implementierung von Kontrollen zur Verringerung der Wahrscheinlichkeit oder der Auswirkungen (die häufigste Maßnahme)
• Übertragen: Verlagerung des Risikos auf einen Dritten, typischerweise durch eine Cyber-Versicherung oder Auslagerung an einen spezialisierten Anbieter
• Vermeiden: Eliminieren Sie das Risiko, indem Sie die Aktivität, die es verursacht, einstellen.
• Akzeptieren: Nehmen Sie das Risiko bewusst in Kauf, wenn die Behandlungskosten die potenziellen Auswirkungen übersteigen (muss dokumentiert und vom Management genehmigt werden).

Dokumentieren Sie für jede Maßnahme zur Risikominderung die erwartete Risikominderung, den Zeitplan für die Umsetzung, den verantwortlichen Eigentümer und den Ressourcenbedarf. Dies wird zu Ihrem Risikobehandlungsplan, einem lebenden Dokument, das Ihre Investitionen in die Cybersicherheit und die Festlegung von Prioritäten bestimmt.

Struktur des Risikoregisters

Das Risikoregister ist das zentrale Artefakt Ihrer Risikobewertung. Es sollte die folgenden Felder für jedes identifizierte Risiko enthalten:

• Risiko ID: Eindeutiger Bezeichner
• Vermögenswert: Der/die gefährdete(n) Vermögenswert(e)
• Bedrohung: Die Quelle der Bedrohung und das Ereignis
• Schwachstelle: Die Schwachstelle, die ausgenutzt wird
• Vorhandene Kontrollen: Aktuelle Maßnahmen, die bereits vorhanden sind
• Eintrittswahrscheinlichkeit: Bewertete Wahrscheinlichkeit (z.B. Skala 1-5)
• Auswirkung: Bewertete Konsequenz (z.B. 1-5 Skala)
• Inhärentes Risikoniveau: Vor zusätzlicher Behandlung
• Behandlungsoption: Abschwächen, übertragen, vermeiden oder akzeptieren
• Geplante Kontrollen: Zusätzliche Maßnahmen, die umgesetzt werden sollen
• Höhe des Restrisikos: Nach geplanter Behandlung
• Risikoeigner: Person, die für die Verwaltung dieses Risikos verantwortlich ist
• Datum der Überprüfung: Nächste geplante Neubewertung

Angleichung an ISO 27005 und ENISA-Richtlinien

Diese sechsstufige Methodik ist eng an die ISO 27005:2022 angelehnt, die den Referenzrahmen für das Risikomanagement im Bereich der Informationssicherheit innerhalb eines ISO 27001-Managementsystems darstellt. Organisationen, die eine ISO 27001-Zertifizierung anstreben, werden feststellen, dass eine gut durchgeführte Risikobewertung nach dieser Methodik die Anforderungen der ISO 27001-Klausel 6.1.2 erfüllt.

Die ENISA hat mehrere unterstützende Ressourcen veröffentlicht, darunter die NIS2 Implementing Guidance und das Interoperable Risk Management Framework. Diese Ressourcen bieten sektorspezifische Risikoszenarien, Bedrohungskataloge und Kontrollzuordnungen, die Sie zur Beschleunigung Ihrer Risikobewertung nutzen können.

Kontinuierliche Verbesserung

Eine Risikobewertung ist kein punktuelles Verfahren. NIS2 Artikel 21(2)(f) verlangt Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken. Dies bedeutet:

• Bewerten Sie die Risiken mindestens einmal jährlich und nach jeder bedeutenden Änderung (neue Systeme, organisatorische Änderungen, neue Bedrohungen) neu.
• Überwachen Sie die Wirksamkeit der implementierten Kontrollen anhand von KPIs und Sicherheitsmetriken
• Führen Sie Tabletop-Übungen und Simulationen durch, um Ihre Risikoszenarien zu testen.
• Aktualisieren Sie regelmäßig Ihre Bedrohungsdaten
• Berichterstattung der Ergebnisse der Risikobewertung an das Management als Teil des NIS2-Governance-Zyklus

Eine strukturierte, dokumentierte und regelmäßig aktualisierte Risikobewertung ist nicht nur eine Übung zur Einhaltung von Vorschriften. Sie ist die Grundlage für ein effektives Cybersicherheitsprogramm, das Ihr Unternehmen, Ihre Kunden und Ihre Wettbewerbsposition in einer zunehmend feindlichen Bedrohungslandschaft schützt.