Flexible Security for Your Peace of Mind

NIS2, Passwortsicherheit und MFA: Das gilt es zu beachten!

Die europäische NIS2-Richtlinie und die lokalen Gesetze zur Umsetzung der Richtlinie sind für alle, die in den betroffenen Branchen im Bereich Cybersicherheit tätig sind, von großer Bedeutung. Als Weiterentwicklung der ursprünglichen Richtlinie über Netz- und Informationssysteme (NIS) erweitert NIS2 ihren Geltungsbereich und verschärft ihre Anforderungen, um der zunehmenden Komplexität und Frequenz von Cyberbedrohungen Rechnung zu tragen. Im Folgenden gehen wir darauf ein, was NIS2 für Themen wie Passwortsicherheit und Multi-Factor-Authentication (MFA) bedeutet.

Was ist die NIS2-Richtlinie

Die NIS2-Richtlinie legt eine Reihe von Cybersecurity-Standards innerhalb der Europäischen Union fest, um die IT-Sicherheit in bestimmten Branchen der Mitgliedsstaaten zu verbessern. Sie enthält unter anderem Bestimmungen für die Meldung wichtiger Vorfälle, den Informationsaustausch, dem Cyber-Risikomanagement und die Zusammenarbeit zwischen nationalen Behörden. Sie legt auch eine Reihe von Sanktionen und Bußgeldern für die Nichteinhaltung fest, um sicherzustellen, dass sowohl Organisationen als auch Führungskräfte dieser Organisationen ihre Pflichten in Sachen IT-Sicherheit ernst nehmen. Ziel der NIS2 ist es, EU-weit eine Verbesserung und Vereinheitlichung der Anforderungen zum Schutz von kritischen und essentiellen Organisationen gegen Cyberangriffe zu erreichen.

Was ist der Unterschied zwischen NIS und NIS2?

Die ursprüngliche NIS-Richtlinie war die erste EU-weite Rechtsvorschrift zur Cybersicherheit aus dem Jahr 2016. Mit der NIS2 sollen die in der ursprünglichen Richtlinie festgestellten Mängel und Lücken behoben werden, indem der Anwendungsbereich auf weitere Sektoren und Kategorien von Organisationen ausgeweitet wird, strengere Sicherheitsmaßnahmen durchgesetzt werden und Anforderungen zum Management von Cybersicherheitsrisiken verbessert wird. Der Hauptgrund für die Verschärfung der Richtlinie ist die erheblich bedrohlichere Cybersicherheitslage. Noch vor weniger als zehn Jahren, im Jahr 2016, waren beispielsweise Ransomware-Angriffe seltener und für Unternehmen deutlich weniger kostspielig. Zum Vergleich: Der weltweite Schaden durch Cyberkriminalität wurde 2015 auf 3 Billionen US-Dollar geschätzt, wird aber bis 2025 voraussichtlich 10,5 Billionen US-Dollar erreichen.

Die drei wichtigsten Änderungen zwischen NIS und NIS2 sind die folgenden:

  • NIS2 erweitert ihren Anwendungsbereich auf neue Branchen, die in modernen digitalen Ökosystemen eine wichtige Rolle spielen.
  • Sie beseitigt Unstimmigkeiten bei der Umsetzung, indem sie die Sicherheits-, Melde- und Kontrollanforderungen klarstellt, die für die betroffenen Organisationen gelten.
  • Planung, Krisenmanagement und verstärkte Zusammenarbeit zwischen den Mitgliedstaaten im Falle groß angelegter Cybersicherheitsvorfälle

Wann ist NIS2 in Kraft getreten?

Die NIS2-Richtlinie wurde im November 2022 offiziell vom Europäischen Parlament und vom Rat verabschiedet. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen, d. h. in der Regel 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union. Dieser Zeitplan deutet darauf hin, dass die Richtlinie wahrscheinlich Mitte 2024 in der gesamten EU in Kraft getreten sein wird. Mit anderen Worten: Die Unternehmen müssen bald darauf vorbereitet sein. Den aktuellen Stand der Umsetzung in Form des NIS2-Umsetzungsgesetzes finden Sie in diesem Blogbeitrag.

Was bedeuten die NIS2-Richtlinie für die Passwortsicherheit?

Die NIS2-Richtlinie, deren Schwerpunkt auf der Stärkung der IT-Sicherheit im Allgemeinen liegt, unterstreicht implizit die Bedeutung solider Maßnahmen zur Stärkung der Passwortsicherheit als Teil essentieller Cybersecurity-Maßnahmen einer Organisation. Auch wenn die Richtlinie keine detaillierten Anforderungen an die Sicherheit von Passwörtern enthält, schreibt sie doch vor, dass Unternehmen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit von Netzwerken und Informationssystemen zu managen.

Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Dazu gehören auch Maßnahmen zur Authentifizierung von Zugriffen, die direkt mit dem Thema Passwörter und Passwortsicherheit zusammenhängen. Generell bedeutet die NIS2-Richtlinie Folgendes für Passwörter:

  • Passwortrichtlinien für starke Passwörter: Von Unternehmen wird erwartet, dass sie strenge Passwortrichtlinien einführen, die die Verwendung von komplexen und schwer zu erratenden Passwörtern fördern. Dies sollte Richtlinien für die Länge, Komplexität und Gültigkeit von Passwörtern beinhalten. Tools wie Specops Password Policy können verwendet werden, um sowohl strenge als auch benutzerfreundliche Kennwortrichtlinien durchzusetzen und die Kennwörter im Netzwerk auf bereits kompromittierte Kennwörter zu kontrollieren.
  • Schulung und Training der Nutzer: Ein Teil des Managements von Cybersecurity-Risiken ist die Schulung der Benutzer über die Bedeutung starker Passwörter und sicherer Authentifizierungspraktiken. Dazu gehört auch, dass sie über die Risiken der Wiederverwendung von Passwörtern für mehrere Logins und die Vorteile von Passwortmanagern aufgeklärt werden. Beispielsweise sollten Passphrasen gefördert werden, damit die Endbenutzer längere und, einfacher zu merkende Passwörter erstellen können, um dadurch weniger Passwörter zu recyclen.
  • Audits und Compliance-Kontrollen: Regelmäßige Audits und Compliance-Checks helfen dabei, sicherzustellen, dass die Passwortrichtlinien eingehalten und die Sicherheitsziele der NIS2-Richtlinie erfüllt werden. Mit unserem Specops Password Auditor können Sie Ihr Active Directory kostenlos auf eine Reihe von Kennwortbezogene Schwachstellen überprüfen.
  • Sichere Kennwortresets: Einer der häufigsten Gründe, warum Endbenutzer Ihren IT-Helpdesk kontaktieren, ist das Zurücksetzen von Passwörtern. Specops uReset bietet Endbenutzern die NIS2-konforme Möglichkeit, ihre Passwörter selbst zurückzusetzen – egal von wo und wann. Mit einer Reihe von flexiblen MFA-Optionen können Benutzer beim Reset ihre Identität nachweisen, darunter: Duo Security, Google Authenticator, Microsoft Authenticator, Okta, PingID, Symantec VIP und Yubikey. Verschiedene Authentifizierungsoptionen garantieren, dass Nutzer ihre Kennwörter zurücksetzen können, selbst wenn ein Identitätsanbieter nicht verfügbar ist.
  • Multi-Faktor-Authentifizierung (MFA): MFA spielt bei der IT-Sicherheit eine wichtige Rolle. Sie stellt eine zusätzliche Sicherheitsebene dar, die aber von Angreifern überwunden werden kann, wenn bereits ein Passwort kompromittiert wurde. Das Thema MFA ist im Zusammenhang mit NIS2 von großer Bedeutung und es lohnt sich, näher darauf einzugehen.

Was bedeutet NIS2 für MFA?

In der NIS2-Richtlinie wird MFA als eine grundlegende Sicherheitsmaßnahme aufgeführt, die Organisationen implementieren sollten, um ihre Cyber Resilienz zu verstärken. MFA ist von entscheidender Bedeutung für den Aufbau einer mehrstufigen Verteidigung gegen Bedrohungen wie Phishing- und Social-Engineering-Angriffe, mit denen häufig Zugangsdaten von Benutzern gestohlen werden. Um wichtige Daten und Systeme zu schützen, die für das Funktionieren der Gesellschaft und der Wirtschaft unerlässlich sind, ist es wichtig, dass Organisationen, die in den betreffenden Sektoren tätig sind, über robuste Schutzmechanismen gegen unbefugten Zugriff verfügen, um das Ziel der NIS2-Richtlinie zu erreichen.

Der Fokus der NIS2-Richtlinie auf MFA kommt nicht von ungefähr, denn MFA wird auch in anderen Cybersecurity-Vorschriften und -Richtlinien als Best Practice aufgeführt. Organisationen, die der NIS2-Richtlinie unterliegen, sollten unbedingt die Integration von MFA in ihre Cybersecurity-Strategie aufnehmen, sofern sie dies nicht bereits getan haben. Dies hilft nicht nur bei der Einhaltung der Vorschriften, sondern stärkt auch ihre Sicherheitsposition gegenüber immer raffinierteren Cyberangriffen erheblich.

Wie bereits erwähnt, ist MFA nicht unfehlbar, und es gibt mehrere Möglichkeiten auch diesen Sicherheitsmechanismus zu überwinden. Zudem sind nicht alle MFA-Systeme gleich. Einige stellen den Komfort für den Anwender in den Vordergrund, sind aber je nach Gefahrenlage für Ihre Organisation möglicherweise nicht die sichersten. Daher haben wir auch bei der Absicherung unserer Self-Service-Passwort-Reset-Lösung “uReset” ein Punktesystem eingeführt, mit dem Admins selbst entscheiden können, welchen Faktoren wie sehr vertraut wird.

Einstellungsmöglichkeit für die Gewichtung von ID-Services in Specops uReset

Gerne beraten wir Sie auch zu Themen rund um Passwortsicherheit außerhalb der NIS2-Vorgaben. Vereinbaren Sie noch heute einen ersten Termin!

Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 17/06/2024)

Zurück zum Blog