Die NIS-Direktive war die erste EU-weite Regulierung zur Cybersecurity, umgesetzt in Deutschland im Juli 2015. Am 16. Januar 2023 ist die Nachfolgerichtlinie NIS 2 in Kraft getreten, die bis Oktober 2024 in nationales Recht überführt werden muss.
Als Folge ist mit einer Überarbeitung des IT-Sicherheitsgesetzes, sowie der KRITIS-Verordnung zu rechnen. So ist die weitere Anhebung der Mindeststandards beim Risikomanagement der IT-Sicherheit oder bei Meldepflichten nur eine Frage der Zeit. Insbesondere erfasst NIS 2 zusätzliche Branchen, deren Zulieferer und kleinere Unternehmen ab einem Umsatz über 10 Millionen Euro und mehr als 50 Mitarbeitern.
Schätzungen gehen davon aus, dass bis zu 40.000 Unternehmen den sogenannten „Stand-der-Technik“ in der Cybersecurity nun umsetzen müssen. Dieser wird über branchenspezifische Sicherheitsstandards (B3S) definiert, die im Energiesektor vom BSI und von der Bundesnetzagentur festgelegt werden und auf dem Anforderungskatalog der ISO 27001 basieren. Unternehmen sollten daher rechtzeitig Cybersecurity-Strategien entwickeln und umsetzen.
Zertifikate gewinnen an Bedeutung
Für den Einstieg bietet sich die PKI an. Zertifikate können beispielsweise für Virtual Private Networks (VPNs) zur Absicherung der Kommunikation genutzt werden. So ist der Austausch von Daten und Dateien zwischen Webservern und Anwendern oder zwischen zwei Anwendern durch gesicherte Identitäten geschützt.
Mit der Entscheidung pro PKI sind jedoch zentrale Fragen und Probleme verbunden, die vorab Beachtung finden sollten. Einführung und Betrieb einer PKI stellt eine anspruchsvolle und komplexe Aufgabe dar. Insbesondere kleine Anwender stehen bei einem selbst betriebenen System vor Hindernissen. Es mangelt an der Infrastruktur oder dem erforderlichen Fachpersonal für den PKI-Betrieb.
Doch bereits bei 200 Mitarbeitern drängt die Frage nach einer dedizierten Unternehmens-PKI inklusive Zertifikatsverwaltung, dem sogenannten Certificate Lifecycle Management (CLM). Denn ab dieser Kennziffer sind so viele Zertifikate im Einsatz, dass die manuelle Verwaltung an Grenzen stößt, kritische Prozesse durch unbeabsichtigt ausgelaufene Zertifikate gefährdet sein könnten. Damit wächst jedoch der Druck auf kleinere KRITIS-Betreiber, sich nach einer kostengünstigen und effektiven Lösung umzusehen.
Zeit und Kostenaspekte bei PKIs
Alternative zur selbst gehosteten Lösung ist die dedizierte Managed PKI mit deutlich geringerem Aufwand und kürzerer Vorbereitungszeit. Authentifizierung, Verifizierung, Integrität und Verschlüsselung für kritische und sensible Unternehmensprozesse und -anwendungen stehen sofort bereit und EVUs oder ihre Partner verfügen von diesem Zeitpunkt an über abgesicherte Prozesse.
Eine Managed PKI entlässt sie zudem aus der Verantwortung, die sichere Konfiguration, Backupkonzepte, Ausfallsicherheit, Zugangskontrollen und Zugriffsrechte zu regeln und zu gewährleisten. Der Dienstleister stellt die Infrastruktur bereit und bietet Flexibilität bei geänderten Anforderungen, ein Aufbau notwendigen Know-hows zu PKI und IT-Security inklusive des Fachpersonals entfällt.
Zudem übernimmt er Software- und Security-Updates, sowie Anpassungen an wachsende Verschlüsselungsvorgaben und garantiert die geschützte Umgebung. Den Umgang mit Hardware Security Modulen (HSM) und das erforderliche Spezialwissen, um die sensiblen Schlüssel zu schützen, fällt ebenfalls in seinen Verantwortungsbereich.
Anforderungen an ein Managed-PKI-Angebot
Eine qualifizierte Managed PKI wird exklusiv für den Nutzer eingerichtet und bildet die komplette Vertrauenskette von Root-CA (Certificate Authority) über die ausstellende Sub-CA bis zu den Anwenderzertifikaten ab. Skalierbarkeit und Schutz der Schlüssel nach dem Stand der Technik sind ebenfalls empfehlenswert.
Idealerweise sollte man öffentliche Zertifikate über eine oder mehrere angebundene Public-CAs einbeziehen können, etwa für öffentliche E-Mail-Zertifikate, so dass diese von Beteiligten außerhalb der eigenen Organisation überprüfbar sind. Der Einsatz von öffentlichen und privaten Zertifikaten ist keine Entweder-oder-Entscheidung. Die Ansätze ergänzen sich, dienen sie doch unterschiedlichen Zwecken.
Die Vielzahl der Zertifikate erfordert Überblick beim Handling: Wo wurden sie gespeichert? Wer hat Zugriffsrechte? Wann laufen einzelne Zertifikate ab und wie können sie möglichst automatisiert verlängert werden? Wie werden sie fehlerfrei und gemäß den vorgegebenen Regularien ausgestellt?
Diese PKI bezogenen Zertifikatsprozesse vereinfacht ein CLM erheblich, Ausfallzeiten durch abgelaufene Zertifikate werden ebenso vermieden wie die Unterbrechung der Verbindung zwischen EVU und dem Mitarbeiter im Homeoffice oder im Außendienst. Ein definierter Automatisierungsprozess ist darüber hinaus essenziell für die Überwachung und Verlängerung der Zertifikate, senkt er doch den manuellen Aufwand und die damit verbundenen Kosten signifikant.
Unterstützung des Vier-Augen-Prinzips, granulares Rechtemanagement, sowie die einfache Verwaltung beliebiger Unternehmensbereiche mit individuellen Security Policies erleichtern darüber hinaus die datenschutzkonforme Umsetzung von Compliance Richtlinien im Unternehmen.
Rechtzeitiges Handeln für mehr Sicherheit
KRITIS-Betreibern ist es daher zu empfehlen, sich umfassend zur Auswahl der Instrumente nach dem Stand der Technik zu informieren und beraten zu lassen. Mit Zertifikaten zur Absicherung digitaler Identitäten können bereits diverse Anforderungen abgedeckt werden. Es lassen sich Zugangsrechte für Benutzer durchsetzen, etwa der Zugriff via VPN auf das Firmennetz, in das Firmen-WLAN oder auf Drucker im Netzwerk. Zudem dienen Zertifikate dem Schutz von Vertraulichkeit oder Integrität und Authentizität von Informationen.
Eine PKI sichert die dabei verwendeten kryptografischen Schlüssel, idealerweise in Kombination mit einem HSM. Werden eingesetzte Software und Updates signiert (Code Signing), ist deren Authentizität gewährleistet. Schließlich sollten Vertraulichkeit und Integrität der Daten während der Übertragung, etwa beim administrativen Zugriff auf Systeme über den Einsatz von Zertifikaten abgesichert werden.
EVU stehen sowohl bei den Behörden als auch bei potenziellen Angreifern besonders im Fokus und NIS 2 wirft bereits jetzt ihre Schatten voraus. Eine PKI, ob Managed oder im Eigenbetrieb, kann in allen Szenarien einen zentralen Beitrag für ein optimiertes Sicherheitsniveau leisten, Unternehmensprozesse vereinfachen und sich zu einem wesentlichen Kriterium eines sicheren Anbieters und Marktteilnehmers entwickeln.
