DSGVO & NIS-Richtlinie: Doppelte Aufsicht, einfache Sicherheitslösung

Beim Stichwort Compliance fällt sofort die DSGVO ein, die auf europäischer Ebene den Umgang mit persönlichen Daten regelt. Für viele Unternehmen ist die NIS-Richtlinie, welche die Cybersicherheit für kritische Infrastrukturen vereinheitlicht, ebenso wichtig. Diese greift auch für Finanz- und Versicherungsdienstleister, bei denen gleich zwei Behörden genau hinschauen, ob sie die Vorgaben erfüllen. Dies lässt sich mit Public Key Infrastructure, dem „Klassiker der Netzwerkabsicherung“, gut bewerkstelligen.

von Andreas Philipp, PrimeKey

Gegen die Bedrohungen aus dem Netz setzt die EU auf Prävention. Aus dem Grund hat das Europäische Parlament die Richtlinie über die Sicherheit von Netz- und Informationssystemen, kurz NIS-Richtlinie, am 6. Juli 2016 verabschiedet. In Kraft trat die Verordnung im August 2016. Die Vorgaben gelten für zwei Gruppen: Provider von digitalen Diensten, zum Beispiel Cloud Services oder Online-Marktplätze, und sogenannte „Operators of Essential Services“ (OES). Zu denen zählen die, deren Leistungen für das Gemeinwohl unverzichtbar sind. Die Mitgliedstaaten mussten die Richtlinie bis zum 9. Mai 2018 in nationales Recht umsetzen, wozu sie bis zum 9. November 2018 die OES zu ermitteln hatten.

Deutschland war in der Hinsicht bereits vorbereitet. Seit Juli 2015 regelt das die Zusammenarbeit von Staat und Unternehmen zur Cyber-Sicherheit für Kritische Infrastrukturen (KRITIS). Demnach sind KRITIS-Betreiber verpflichtet, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Darunter fallen neue, bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme, Spear-Phishing sowie außergewöhnliche und unerwartete IT-Störungen, die beispielsweise nach einem Software-Update auftreten.

Wer der Meldepflicht nicht nachkommt, für den sieht die NIS-Richtlinie eine Geldstrafe von bis zu 50.000 Euro vor. Die EU-Vorgaben erweitern die Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber KRITIS-Betreibern.”

Das sind in Deutschland Unternehmen, Organisationen und Einrichtungen aus den Sektoren Energieversorgung, Informationstechnik und Telekommunikation, im Transport und Verkehr, Gesundheit, Wasser, Ernährung, Staat und Verwaltung, Medien und Kultur sowie Finanz- und Versicherungswesen.

BSI und BaFin machen die Audits für Banken, Versicherer und IT-Dienstleister

Banken und Versicherer müssen wie alle KRITIS-Betreiber alle zwei Jahre nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen gegen IT-Störungen treffen. Unter dem Ansatz prüfen Audits die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse. Das BSI definiert die Audits, die sie für den Finanzsektor mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) abstimmt. Finanz- und Versicherungsdienstleister unterliegen für die NIS-Umsetzung also einer dualen Aufsicht – von BSI und BaFin. Das schließt IT-Firmen ein, an die der Finanzsektor kritische Dienstleistungen auslagert. Diese werden dann selbst zum KRITIS-Betreiber, was insbesondere im Bankgeschäft vorkommt.

Nur eine Kombination aus Administration und Technik versetzt Unternehmen aus dem Finanzsektor in die Lage, die NIS-Anforderungen zu erfüllen.

Als administrative Maßnahmen sollten sie das “Information Security Management System (ISMS)” aufsetzen, um Sicherheitsstandards wie ISO/IEC 27001 einzuhalten.”

Risikomanagement, Benutzerschulungen und interne Sicherheitsaudits gehören genauso zur organisatorischen Prävention. Auf der technischen Ebene steht auf der Agenda das Implementieren eines SIEM (Security Information and Event Management)-Systems, das verdächtige Ereignisse oder gefährliche Trends in Echtzeit erkennt. Für das nötige Sicherheitsniveau sorgen daneben eine verschlüsselte Datenkommunikation sowie digitale Identitäten und Zertifikate. Denn Nutzer, Geräte und Systeme müssen angemessen authentisiert und autorisiert werden. Dies erfolgt über Zertifikate, bevor sie auf Daten oder Services zugreifen.

Wie eine Public Key Infrastructure Vertrauen und Sicherheit herstellt

Eine Public Key Infrastructure (PKI), der Klassiker für Netzwerkabsicherung, stellt Zertifikate entweder für Benutzer, Geräte, Webserver, Pässe, Smartcards und IoT-Geräte oder für Token bereit, was zwei Vorteile für den Finanzsektor bietet. Erstens gibt eine PKI einem Gerät oder einem Token eine Identität. Zweitens kann sie einen sicheren, verschlüsselten Kommunikationskanal einrichten. Mit einer PKI-Lösung lässt sich jede Einheit in der Organisation, bei Partnern und Kunden identifizieren, man kann dieser vertrauen und mit ihr sicher kommunizieren. Auf die Weise erfüllen Unternehmen die Forderungen der NIS-Richtlinie.

Oberste Instanz in der PKI ist die Root CA (Certificate Authority), der Vertrauensanker (Trust Anchor). Die Root CA autorisiert untergeordnete Sub CAs, die wiederum Zertifikate für Geräte oder Personen ausstellen.

Wenn eine Sub CA gehackt wird, lässt sich die Identität eines Teilnehmers immer noch anhand der Root CA verifizieren. Daher ist es entscheidend für die Sicherheit, dass die Root CA unter Kontrolle des Netzbetreibers bleibt.”

In Puncto Sicherheit ist PKI eine Bank

Mit einer Investition in eine ausgereifte, nach ISO 27001, ISO 27002, ISO 9001 und Common Criteria zertifizierte, leicht zu implementierende und zu managende PKI-Lösung senken Finanz- und Versicherungsdienstleister ihre Sicherheitsrisiken. Die Unternehmen reduzieren außerdem ihre Betriebs- und Wartungskosten im Vergleich zu anderen Lösungen.

Zudem sichert eine PKI Geschäftsmodelle ab und macht die eigene Organisation so auch zukunftsfähig. Zuletzt stellt so ein Sicherheitssystem die nötige NIS-Compliance her, was dann auch die doppelte Aufsicht aus BSI und BaFin feststellen wird.”Andreas Philipp, PrimeKey