Realistische SLAs zu Verfügbarkeit und Leistung bei Wiederherstellung im Disaster-Recovery-Fall; sichere Backups neben unveränderlichen Daten im Mittelpunkt…
Zum Hintergrund des Blogposts
Die 2016 eingeführten Cybersicherheits-Vorschriften der EU wurde durch die 2023 veröffentlichte NIS2-Richtlinie weiter aktualisiert.* Der bestehenden Rechtsrahmen wird laut EU danach primär erweitert, um mit der (Zitat) „zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten.“ (1)
Daraus leiten sich für alle im KRITIS-Umfeld inkl. HealthCare tätigen Unternehmen-/Organisationen - aber auch in Bereichen wie Verkehr, Energie und digitale Infrastruktur verschiedene Aktionen auf der IT-Seite ab, um bei der Umsetzung der neuen rechtlichen Sicherheits-Rahmenbedingungen und Security-Regeln zu unterstützen. Anmerkung: siehe dazu auch DORA = digitale operationale Resilienz im Finanzsektor / ext. link > https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html)
Unter NIS2 fallen laut EU alle Unternehmen mit über 50 Mitarbeitern oder mehr als 10 Mio. Jahresumsatz, sowie die sogenannten "kritischen Sektoren", wobei laut NIS-2 nach Wesentlich (Essentials) und Wichtig (Important) unterschieden wird. Die Kommission arbeitet mit der EU-Agentur für Netz- und Informationssicherheit mit den Mitgliedstaaten zusammen, um die Umsetzung der NIS-Richtlinie in nationales Recht sicherzustellen. Für Deutschland ist die Organisation das BSI.
*Update: Die NIS2-Richtlinie wird nach aktuellem Kenntnisstand jetzt voraussichtlich Ende 2025 oder Anfang 2026 in Deutschland in Kraft treten, da sich die Umsetzung der EU-Vorgaben durch das NIS-2-Umsetzungsgesetz verzögert und derzeit im parlamentarischen Verfahren ist.
Davon unabhängig sollten betroffene Organisationen-/Firmen so rasch wie möglich mit der Umsetzung der Vorgaben starten. Diese können von Behörden nach dem finalen Inkrafttreten jederzeit kontrolliert werden. Im Gegensatz zur DSGVO gibt es beispielweise keine Übergangszeiten. Somit ist weiterhin direkter Handlungsbedarf gegeben.
Weitere externe Links zum Thema:
https://www.csoonline.com/de/a/6-tipps-zur-nis2-umsetzung,3681239
https://www.openkritis.de/eu/eu-nis-2-direktive-kritis.html
Was bedeutet NIS-2 für Speichersysteme, Datensicherung und Disaster Recovery?
Ein cyberresilienter Speicher gehört generell zu den wichtigsten Anforderungen an Unternehmen, um die Sicherheit von kritischen Daten zu gewährleisten und böswillige Angriffe auf die Speicher- und Dateninfrastruktur abwehren zu können. Gesucht sind Lösungen und Services (extern / intern), die helfen, schädliche Auswirkungen eines Cyberangriffs oder andere Katastrophen so weit wie möglich zu minimieren.
Mit Einführung der NIS-2-Richtlinie der EU gewinnen Unternehmens-Backups- und Verfahren noch mehr an Bedeutung. Dazu gehören Funktionen wie Immutable Backups, S3 Object Lock und unveränderlichen Snapshots, um die Einhaltung der NIS-2-Vorschriften zu gewährleisten. Die Ziele: Betriebskontinuität sicherstellen, Datenverluste bei Angriffen verhindern-/minimieren und die Wiederherstellung kritischer Daten im Falle eines erfolgreichen Angriffs zu beschleunigen, um so schnell wie möglich wieder produktiv und handlungsfähig zu sein. Beispiel: sobald Daten in den Immutable Storage geschrieben werden, können sie dort weder gelöscht noch verändert werden. So sind Unternehmen dann der Lage, ihre Daten zu 100% korrekt zurückzusichern.
- Erschwert können diese Vorgaben und Anforderungen aktuell durch die zunehmende Komplexität der Dateninfrastruktur werden (on-premise, Cloud, hybride Deployments, Datenwachstum, rasche Bereitstellung neuer Anwendungen, KI etc.), inkl. der damit einhergehenden organisatorischen Herausforderungen.
- Fragmentierte Datenstrukturen erweisen sich immer mehr als Problem für die Cyber-Resilienz und betroffene Organisationen haben es nach wie vor mit fragmentierten Lösungen und Ansätzen zur Datensicherung zu tun. Die Folgen sind eine komplexe Administration mit unterschiedlichen Verantwortlichkeiten, hohe Kosten (OPEX) sowie ungenügender Cyber-Resilienz.
- Die Modernisierung sowie Konsolidierung von Silo-Architekturen und eine engere Zusammenarbeit von unterschiedlichen Verantwortlichkeiten, die bislang of eher getrennt agierten (Backup / Storage / ITOps mit CSOs / CISOs), ist daher kurz- und mittelfristig anzustreben. Stichwort: End-to-End-Sicherheit / NIST-Framework.
Abb.: Cloud cybersecurity skills are needed most (Bildquelle: Fortinet, 2023 Cybersecurity Skills Gap Global Research Report).
Cloud und Datensicherheit
Je mehr Unternehmen von der lokalen Bereitstellung auf hybride- oder vollständig cloudbasierte Umgebungen umstellen, desto häufiger treten im Betrieb Fehlkonfigurationen, Bedienungsfehler, schlecht gesicherte oder ungenügende Zugriffskontrollen, ungesicherte Anmeldedaten oder nicht funktionierende PoLP-Modellen (Principle of Least Privilege) auf. Querverweis / externer Link > https://csrc.nist.gov/glossary/term/least_privilege
KI, AIOps und Cybersecurity
KI-Lösungen sind zunehmend in der Lage, den Zeitaufwand für die Untersuchung und Festlegung von Reaktionen auf Cyber-Ereignisse zu verkürzen und die Cyber-Resilienz insgesamt zu steigern. Künstliche Intelligenz kann gezielt bei der Einhaltung von Datenschutz- und Sicherheitsbestimmungen helfen, indem es die Herkunft von Anwendungsdaten nachverfolgt. Datenklassifizierung stellt im Sinne der NIS-2 Regeln dazu ein wichtiges Werkzeug dar. Damit lassen sich auch z.B. Probleme mit sog. "ROT"-Daten (Redundant-Obsolet-Trivial) sowie indifferente Zugriffsrechte sowie eine mangelnde Datentransparenz vermeiden.
Wege zu einer beschleunigten Automatisierung der Datenverwaltung und -verschiebung zwischen Edge-, Core- und Cloud-Umgebungen zu finden, ist in Sinne dieser Anforderungen von zentraler Bedeutung für die IT- und somit für die gesamte Unternehmensstrategie. Weiteres Beispiel: Richtlinienbasierte und automatisierte Aktionen zum Kopieren, Archivieren oder Löschen von Daten gemäß den jeweiligen Datenaufbewahrungs-Richtlinien, oder der kontrollierte Zugriff auf Inhalte nur durch autorisierte User / Anwendungen vor Ort oder in der Cloud.
Fazit: Mit Hilfe von SecOps und automatisierter AIOps kann die IT-Infrastruktur und damit auch Storage im Sinne der genannten NIS-2 Anforderungen eine widerstandsfähigere Plattform zur Verwaltung von kritischen Datendiensten bieten.
N.Deuschle / Starnberg, März 2024 mit Update: im Sept. 2025.
(1) Quelle / externer Link > https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
Diesen Beitrag (Originalversion noch ohne Update vom 19.9.) bei Apple Podcasts hören (7min.). Externer Link > https://podcasts.apple.com/de/podcast/nis-2-richtlinie-und-datenspeicher/id81294878?i=1000653593314
Weitere Querverweise zum Themenkomplex:
Unser Beitrag > Effektiver Cyberschutz mit KI: Prognosen und Handlungsempfehlungen für (IT-)Verantwortliche
Unser Beitrag > EU-Projekt Nostradamus zum Aufbau einer hochsicheren Quantenkommunikations-Infrastruktur
Unser Beitrag > Verschlüsselung und die Grundsätze für Datensicherheit in der Produktion
Unser Beitrag > Cyberattacken auf NAS-Systeme: zur Rolle von Storage Administratoren für die IT-Sicherheit