Unternehmenskritische Daten wurden zu SaaS migriert, und Angreifer nutzen diesen neuen Weg zur Ausbeutung aus – monatliche SaaS-Datenverletzungen sind im Jahresvergleich um 300% gestiegen. Aufgrund der entscheidenden Rolle, die SaaS-Anwendungen bei der Bereitstellung wesentlicher Dienste spielen, kann jede Stunde Ausfallzeit einen erheblichen Schaden bedeuten. Neue Sicherheitsrichtlinien und Maßnahmen sind erforderlich, um diese blinde Stelle zu adressieren.
Zwei kürzlich eingeführte europäische Vorschriften, die zweite Richtlinie über die Netz- und Informationssicherheit (NIS2) und das Gesetz über die Digitale Betriebsausfallsicherheit (DORA), erhöhen die SaaS-Cybersicherheitsanforderungen, indem sie die betroffenen Unternehmen für die Sicherheit ihrer Anwendungen, SaaS-Identitäten und Daten verantwortlich machen.
Die Anpassung an diese neue Realität erfordert ein umfassendes Verständnis Ihres SaaS-Ökosystems. Jede Schatten-SaaS-Anwendung oder unbekannte Integration erhöht das Risiko und beeinflusst die Compliance. Dieser Blog fasst die wichtigsten Prinzipien zusammen, die für SaaS im Rahmen von NIS2 und DORA relevant sind, und gibt Hinweise darauf, wie sich Organisationen vorbereiten sollten.
Was ist neu in NIS2?
NIS2 gilt für öffentliche und private Unternehmen, die kritische Dienste oder Infrastrukturen innerhalb der EU bereitstellen. Die aktualisierte Richtlinie definiert nun zwei neue Klassifikationen, „Wesentliche Einheiten“ und „Wichtige Einheiten“, jeweils mit geänderten Cybersicherheitsverpflichtungen. Die betroffenen Unternehmen müssen Kontrollen in Bezug auf Risikomanagement, Meldung von Cybervorfällen und Informationsaustausch einhalten. Betroffene Unternehmen müssen bis Oktober 2024 neue Prozesse und Richtlinien implementieren, um konform zu sein.
Wesentliche Einheiten
Schwellenwerte können variieren, aber generell:
- – 250+ Mitarbeiter oder
- – Jahresumsatz übersteigt 50 Mio. € oder
- – Bilanzsumme übersteigt 43 Mio. €
Industrien:
- – Energie
- – Banken- und Finanzmärkte
- – Transport
- – Gesundheit
- – Wasser (Trink- und Abwasser)
- – Öffentliche Verwaltung
- – Digitale Infrastruktur (einschließlich Cloud-Computing-Dienstleister)
- – Informations- und Kommunikationstechnologie (IKT) Service Management
- – Raumfahrt
Bußgelder:
- – 10 Millionen € oder 2% des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)
Wichtige Einheiten
Schwellenwerte können variieren, aber generell:
- – 50+ Mitarbeiter oder
- – Jahresumsatz übersteigt 10 Mio. € oder
- – Bilanzsumme übersteigt 10 Mio. €
Industrien:
- – Lebensmittelproduktion, -verarbeitung und -vertrieb
- – Abfallwirtschaft
- – Chemische Herstellung, Verarbeitung und Vertrieb
- – Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstung, Kraftfahrzeugen und Transportausrüstung
- – Post- und Kurierdienste
- – Digitale Anbieter wie Suchmaschinen, soziale Netzwerke und digitale Marktplätze
- – Forschung
Bußgelder:
- – 7 Millionen € oder 1,4% des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)
Mittlere Unternehmen (unterhalb der Schwellenwerte für wesentliche Einheiten) innerhalb der wesentlichen Branchen werden als wichtig klassifiziert, es sei denn, der Mitgliedstaat gibt etwas anderes an; einige Ausnahmen stellen sicher, dass bestimmte Branchen immer als wesentlich klassifiziert werden, wie z.B. DNS-Dienstleister, unabhängig von der Größe.
Zusätzlich führt NIS2 persönliche Haftung für das Management ein. Strafen könnten ein Verbot zur Übernahme von Managementpositionen bei wiederholten Verstößen sein.
NIS2 zu ignorieren ist keine Option – zwischen den Millionen an Bußgeldern und der persönlichen Haftung steht zu viel auf dem Spiel.
Was ist DORA und wie unterscheidet es sich von NIS2?
Mit DORA, welcher 2025 in Kraft tritt, wird ein strenges Cybersicherheitsmandat für europäische Finanzunternehmen sowie für kritische IKT-Dienstleister, die sie unterstützen, eingeführt. Wenn ein Unternehmen sowohl unter NIS2 als auch unter DORA fällt, hat DORA Vorrang; die beiden Rechtsvorschriften sind jedoch so konzipiert, dass sie sich ergänzen und nicht gegenseitig aufheben. Während NIS2 spezifische Bußgelder vorsieht, überlässt DORA die Festlegung von Sanktionen den Mitgliedstaaten und den zuständigen Behörden.
Ähnlich wie NIS2 führt DORA strenge Richtlinien für die Meldung von Vorfällen, das Testen der IT Widerstandsfähigkeit, das Risiko von Drittanbietern und das Risikomanagement ein. DORA verlangt von Unternehmen auch, Mechanismen zur Erkennung von Bedrohungen verursacht durch Probleme mit der Leistung von IKT-Netzwerken und IKT-bezogenen Vorfällen einzurichten und potenzielle kritische Schwachstellen (Single Points of Failure) zu identifizieren.
Speziell für das Vereinigte Königreich: Aufgrund des Brexits gelten NIS2 und DORA nicht automatisch für das Vereinigte Königreich, jedoch wird jedes Unternehmen, das relevante Dienste für betroffene Unternehmen anbietet, indirekt betroffen sein und muss bestimmte Compliance-Vorschriften erfüllen.
NIS2 und DORA technische und organisatorische Maßnahmen
NIS2
- Risikomanagement: Organisationen müssen Maßnahmen ergreifen, um Cybersicherheitsrisiken zu minimieren, einschließlich der Implementierung von gehärteten Posture-Elementen wie Verschlüsselung und Multi-Faktor-Authentifizierung, verbesserter Netzwerksicherheit und Zugangskontrolle sowie stärkerer Lieferkettensicherheit.
- Meldepflichten: Organisationen müssen Prozesse haben, um Sicherheitsvorfälle mit signifikanten Auswirkungen auf den Betrieb ihrer Dienste oder die Kunden ihrer Dienste schnell zu melden.
- Geschäftskontinuität: Unternehmen müssen für die Kontinuität ihrer Dienste im Falle eines größeren Cybervorfalls planen, einschließlich Krisenreaktionsteams, Systemwiederherstellung und Notfallverfahren.
- Unternehmensverantwortung: Managementteams müssen die Cybersicherheitsmaßnahmen einer Organisation überwachen, genehmigen und geschult werden und müssen Cybersicherheitsrisiken ansprechen.
DORA
- IKT-Risikomanagement: Unternehmen müssen ihre IKT-Systeme kartieren, kritische Vermögenswerte und Funktionen identifizieren und klassifizieren sowie Abhängigkeiten zwischen Vermögenswerten, Systemen, Prozessen und Anbietern dokumentieren.
- Vorfallreaktion und -bericht: Unternehmen müssen ein System zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen einrichten.
- Digitale betriebliche Resilienztests: Unternehmen müssen jährlich Schwachstellenbewertungen und szenariobasierte Tests durchführen. Kritische Unternehmen werden auch alle drei Jahre Bedrohungs-basierte Penetrationstests durchführen.
- Drittparteirisikomanagement: Beim Outsourcing kritischer und wichtiger Funktionen müssen Finanzunternehmen spezifische vertragliche Vereinbarungen in Bezug auf Ausstiegsstrategien, Audits und Leistungsziele für Zugänglichkeit, Integrität und Sicherheit aushandeln, unter anderem.
Für eine gründlichere Überprüfung der relevanten Richtlinien und wie man die neuen Compliance-Anforderungen erfüllt, laden Sie unser Whitepaper herunter.
SaaS-Compliance mit Obsidian Security vereinfachen
NIS2 und DORA führen eine robuste Reihe von Kontrollen ein, die Unternehmen speziell für ihre Anwendungen, SaaS-Identitäten und Daten übernehmen müssen. Die Herausforderung besteht darin, dass Unternehmen oft Hunderte von Apps haben; und kritische SaaS, wie Salesforce, könnten Dutzende von einzelnen Instanzen umfassen.
Sich auf einen manuellen Ansatz zu verlassen, um die Anforderungen von NIS2 und DORA zu erfüllen, ist nicht skalierbar. Die Erstellung eines Mapping-Frameworks mit einer SaaS-Sicherheitslösung automatisiert den Prozess, um eine kontinuierliche Compliance sicherzustellen.
Applikationskonfigurationen im Kontext von NIS2 und DORA
Sicherzustellen, dass jede App ordnungsgemäß zu Kontrollen wie MFA und Verschlüsselung konfiguriert ist, ist schwierig – es dauert durchschnittlich 28 Tage, um eine einzelne SaaS-App zu prüfen. Außerdem müssen die Anwendungs Eigner SaaS Applikationen kontinuierlich überwachen, um Konfigurationsabweichungen zu erkennen.
Die Obsidian-Plattform identifiziert automatisch und kontinuierlich alle SaaS Apps und deren Einstellungen in Ihrer Umgebung und vergleicht sie automatisch mit internen oder externen Compliance-Standards, die Sie befolgen. Die Überwachung Ihrer Posture mit Obsidian gibt Sicherheitsteams die Fähigkeit, App-Konfigurationen schnell zu bewerten und Risiken zu beheben.
Wiederstandsfähigkeit sicherstellen
Neben der Posture ist die betriebliche Resilienz gemäß NIS2 und DORA ein zentraler Bestandteil. Der beste Weg, dieser Compliance-Anforderung voraus zu sein, besteht darin, robuste Identitätssicherheitsmaßnahmen zu implementieren, um Kompromittierungen zu verhindern – 82% der Cyberangriffe zielen auf Identitäten innerhalb von SaaS ab. Der Schutz Ihrer SaaS-Identitäten ist ein kritischer Bestandteil der Compliance für NIS2 und DORA.
Die Plattform von Obsidian setzt ML-basierte Algorithmen ein, um anomales Benutzerverhalten zu identifizieren und Bedrohungen in Minuten zu stoppen.
DORA spezifiziert die Notwendigkeit Anomalien zeitnah zu erkennen – welches auch in NIS2 verankert ist.
Diese Erkennung trägt dazu bei die Wiederstandsfähigkeit gegen Angriffe zu erhöhen und Datenabfluss zu verhindern.
Obsidian Security nutzt ML-basierte Algorithmen sowie vorgefertigte Erkennungsregeln, welche auf den gewonnen Erkenntnissen des größten Bestandes an SaaS-Angriffsdetails basieren. Anomalien und Angreiferverhalten wie zum Beispiel AiTM, SIM-Swapping und Social Engineering des Helpdeskes können gestoppt werden, bevor es zu Datenverlusten kommt.
Datenverwaltung
Schließlich ist die Datenverwaltung über SaaS hinweg besonders herausfordernd. Sicherzustellen, dass richtige Berechtigungen, Zugriffe und Integrationen allein bei bekannten Anwendungen vorhanden sind, ist kompliziert, aber jede Schatten-SaaS-App oder versteckte Integration beeinflusst Ihr Risikoprofil.
Mit Obsidian können Sicherheitsteams Datenflüsse zwischen Apps verstehen, um zu wissen, wie Daten zugegriffen werden und sie sicher zu halten. Die Zusammenarbeit mit Plattformen wie Snowflake und Databricks stellt sicher, dass Ihre Daten auf ihrem Weg von Anwendung zu Anwendung ordnungsgemäß kontrolliert werden.
Fazit
Obsidian Security automatisiert Complianceanforderungen für NIS2 und DORA, indem die Konfigurationsüberprüfung, Identitätssicherheit und Datensicherheit kombiniert werden, um SaaS-Angriffe zu erkennen und zu verhindern. Um ein detaillierteres Verständnis darüber zu erhalten, wie die Obsidian Security-Plattform Ihre SaaS-Compliance für NIS2 und DORA automatisieren kann, lesen Sie unser Whitepaper.