19 Jan 2024 | Cybersicherheit, Gesetzgebung und Compliance
Die Sicherheitszertifizierung für digitale Produkte und Lösungen weist die Vertrauenswürdigkeit nach. Was beinhaltet diese Zertifizierung und wie garantiert sie ein hohes Maß an Cybersicherheit?
Definition einer Sicherheitszertifizierung
Bei der Sicherheitszertifizierung für IT-Lösungen und -Softwares wird ein Produkt nach bestimmten Standards für die Cybersicherheit bewertet. Dieser Prozess ist heute ausschlaggebend. Er gewährleistet, dass Daten und Systeme trotz der zunehmenden Cyberbedrohungen geschützt sind. Die Sicherheitszertifizierung unterstützt Unternehmen auch dabei, sichere digitale Lösungen für ihre strategischen und sensiblen Anwendungen zu finden. Außerdem ermöglicht sie, die Sicherheitsniveaus der Lösungen zu harmonisieren und trägt zur Schaffung eines vertrauenswürdigen digitalen Systems bei.
Arten von Sicherheitszertifizierungen:
Produktzertifizierungen: Sie konzentrieren sich auf die Sicherheitsaspekte eines bestimmten Produkts. Durch diese Zertifizierungen wird beurteilt, ob das Produkt die erforderlichen Sicherheitsstandards erfüllt und potenziellen Cyberangriffen standhalten kann.
Systemzertifizierungen: Durch sie wird die Sicherheit eines ganzen Systems bewertet, einschließlich der Produkte, Abläufe und beteiligten Personen. Diese Art der Zertifizierung ist breiter angelegt und berücksichtigt die systemischen Aspekte der Cybersicherheit.
Es gibt verschiedene Sicherheitszertifizierungen auf internationaler und europäischer Ebene. Hier ein Überblick:
Internationale Cybersicherheitszertifizierungen
Common Criteria (CC)
Common Criteria ist der internationale Standard für die Zertifizierung von Cybersicherheit in der Informationstechnologie. Diese internationale Norm (ISO/IEC 15408) wird auch als „Common Criteria for Information Technology Security Evaluation“ bezeichnet. Sie ermöglicht es, die Sicherheit von IT-Produkten durch zugelassene und unabhängige Prüfstellen nach anspruchsvollen technischen und organisatorischen Kriterien zu bewerten. Die Zertifikate werden international von den Unterzeichnern des Common Criteria Recognition Agreement (CCRA) anerkannt, zu denen in Frankreich auch die ANSSI gehört.
FIPS 140-3
Der Standard FIPS 140-3 wurde vom National Institute of Standards and Technology (NIST) in den USA ausgearbeitet. Er betrifft insbesondere die Prüfung der Sicherheit von Kryptomodulen. Diese Norm ist wichtig für Produkte, die in staatlichen und sensiblen Umgebungen eingesetzt werden. Durch sie werden unter anderem folgende Punkte analysiert:
- Funktionen und Leistungen des Kryptomoduls
- Interaktionen mit anderen Systemen
- Verwaltung von Zugriffen und erlaubten Vorgängen
- Sicherheit von Softwarekomponenten
- sichere Wartung und Aktualisierungen
- Maßnahmen gegen verschiedene Formen potenzieller Angriffe
Dieser Standard unterscheidet vier Stufen an Sicherheitsanforderungen (grundsätzlich bis sehr hoch), die für verschiedene IT-Anwendungen und -Umgebungen geeignet sind.
Europäische Cybersicherheitszertifizierungen
Europäisches Cybersicherheitszertifizierungs-Projekt
Das Zertifizierungsschema EUCC beruht auf dem internationalen Schema „Common Criteria“ für die Zertifizierung von IKT-Produkten sowie ihrer Hardware und Software (Firewalls, Systeme für Verschlüsselung und elektronische Signaturen, Router, Smartphones, Bankkarten usw.). Im Oktober 2023 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Durchführungsrechtsakts für das EUCC und gab diesen zur Stellungnahme frei.
EUCS (System der Europäischen Union für die Cybersicherheitszertifizierung für Cloud-Dienste) in der Diskussion
Ähnlich wie das EUCC zielt die EUCS-Zertifizierung insbesondere darauf ab, die Sicherheit von Produkten und Dienstleistungen zu bewerten, die in der Cloud gehostet werden. Der Textvorschlag wird nun von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) geprüft und soll die Sicherheit des Cloud-Computing in Europa erhöhen.
Im Rahmen der NIS2-Richtlinie und des Cyber Resilience Acts zielen diese europäischen Zertifizierungsprojekte darauf ab, das Sicherheitsniveau von IT-Lösungen zu harmonisieren.
In Frankreich: Sicherheitssiegel der ANSSI
Die von der ANSSI (französische Agentur für die Sicherheit von Informationssystemen) ausgestellte Sicherheitszertifizierung gilt in Frankreich und auch in Europa als Referenz. Sie bewertet die Widerstandsfähigkeit einer bestimmten Produktversion zu einem gegebenen Zeitpunkt. Dabei wird der Stand der Technik bei Cyberangriffen zugrunde gelegt. Um sie auszustellen, prüfen die zugelassenen Prüfstellen und Experten mehrere Sicherheitskriterien, wie:
- Einhaltung der geltenden nationalen und internationalen Standards und Vorschriften für die Sicherheit von Informationssystemen (wie z. B. der Common Criteria)
- Technische und organisatorische Sicherheitsmaßnahmen
- Widerstandskraft gegen Angriffe, einschließlich Eindringversuchen, Hacking und Ausnutzung von Schwachstellen
- Zugriffsverwaltung und Authentifizierung, um den Zugriff auf Daten und Ressourcen zu kontrollieren
- Verschlüsselung und Datenschutz
- Resilienz und Vorfallsmanagement
- Wartungen und Sicherheitsupdates, um auf neue Bedrohungen und Schwachstellen zu reagieren
Darüber hinaus bietet die ANSSI auch eine Sicherheitsqualifikation für digitale Produkte und Dienstleistungen an, die für kritische und strategische Branchen (Betreiber wesentlicher Dienste) bestimmt sind. Diese erfüllt so spezifische regulatorische Anforderungen, wie beispielsweise das Militärprogrammierungsgesetz. Die Sicherheitsqualifikation der ANSSI bestätigt damit, dass die Lösungen den ermittelten sensiblen Bedürfnissen der Unternehmen entsprechen. Der Herausgeber muss also beweisen, dass er seine Verpflichtungen langfristig einhalten kann.
An welche Produkte richten sich die Sicherheitszertifizierungen?
In der Regel sind viele IT-Produkte und -Lösungen für eine Sicherheitszertifizierung geeignet, sobald diese Daten offenlegen und/oder sie von sensiblen Organisationen genutzt werden. Im Folgenden sind einige Produktarten aufgeführt, die von Sicherheitszertifizierungen betroffen sind:
- Computerhardware: Server, Router, Firewalls, andere Netzwerkgeräte usw.
- Software: Betriebssysteme, Anwendungen, Datenbanken usw.
- Cloud-Lösungen: Cloud-Computing-Dienste, Speicher, cloudbasierte Anwendungen usw.
- Verschlüsselungsprodukte: Verschlüsselungsmodule, Tools zur Schlüsselverwaltung usw.
- Mobile Security-Lösungen: Sicherheitsanwendungen und -infrastrukturen für mobile Geräte usw.
- Industrielle Steuerungssysteme (ICS) und Internet der Dinge (IoT): vernetzte Geräte in verschiedenen Industriezweigen usw.
Tixeo ist seit über 5 Jahren von der ANSSI zertifiziert und qualifiziert
Die sichere Videokonferenz-Software von Tixeo verfügt seit mehr als 5 Jahren über eine Zertifizierung und Qualifikation durch die ANSSI. Mit ihrer Ende-zu-Ende-Verschlüsselung und der On-Premise-Version bietet sie Unternehmen in kritischen Branchen absolute Vertraulichkeit für ihren Datenaustausch. Vor allem aber gewährleistet sie eine hohe betriebliche Resilienz. Durch ihre Zertifizierung und Qualifikation empfiehlt der französische Staat ihre Verwendung für sensible Anwendungsbereiche. Auch andere europäische Gütesiegel bestätigen die Sicherheit dieser Lösung.
28 Nov 2023 | Cybersicherheit, Gesetzgebung und Compliance
Tausende Unternehmen müssen die Cybersicherheit ihrer Kommunikation erhöhen
Die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2) wird bis Ende 2024 tausende Unternehmen innerhalb Deutschlands betreffen. Angesichts zunehmender Cyberbedrohungen will die europäische Kommission mit NIS2 das Cybersicherheits-Niveau im europäischen Raum erhöhen. Die Richtlinie wirkt sich auch auf die Video-Kommunikation betroffener Unternehmen aus. Bei vielen Unternehmen kann ein Umstieg nötig sein – Ratsam ist er sowieso.
Die Unternehmen, die NIS2 unterliegen, sind künftig verpflichtet, ihre Video- und Textkommunikation durch technische Maßnahmen vor Cyberangriffen zu schützen. Für Unternehmen aus hoch kritischen Sektoren gilt weiterhin, dass sie Videokonferenz-Lösungen einsetzen müssen, die von der jeweiligen nationalen Sicherheitsbehörde zertifiziert sind. Mit Blick auf jährliche Schäden in Milliardenhöhe durch Industriespionage und Cyberangriffe ist dies nicht nur für Unternehmen, die unter NIS2 fallen, ein empfehlenswerter Schritt.
NIS2 betrifft tausende Unternehmen mit sensiblen Daten
NIS2 verschärft die Anforderungen der Richtlinie NIS1 aus dem Jahr 2016 an Cyber-Security deutlich und weitet die Anwendung auf weitere Sektoren aus. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro in 18 Sektoren. Diese werden in zwei Kategorien unterteilt: Zum einen „hoch kritische Sektoren“ wie Energie und öffentliche Verwaltungen, die für das Funktionieren von Gesellschaften unentbehrlich sind. Und weiterhin „kritische Sektoren“ wie Postdienste und Forschung, deren Ausfallen ernste, aber weniger gravierende Folgen verglichen mit dem Ausfallen der hoch kritischen Sektoren hätte. NIS2 fordert von Unternehmen in allen 18 Sektoren erhöhten Schutz vor Cyber-Angriffen in ihren Netzwerken und Informationssystemen.
Weitere Verpflichtungen aus der Richtlinie sind unter anderem die interne Schulung von Führungskräften, Managern und Mitarbeitern zum Thema Cybersicherheit sowie die unverzügliche Meldung von Sicherheitsvorfällen an die jeweilige nationale Cybersicherheitsbehörde.
Ende-zu-Ende-Verschlüsselung erhöht die Sicherheit der Online-Kommunikation signifikant
NIS2 wird viele Unternehmen zu neuen Tools für ihre Kommunikation und Kollaboration zwingen. Gerade bei Videokonferenzen gibt es bei zahlreichen Anbietern Ungewissheiten hinsichtlich Datenschutz und Sicherheitslevel. Für letzteres essenziell ist eine echte Ende-zu-Ende-Verschlüsselung, auch bei Konferenzen mit mehreren Teilnehmern. Die einzige Videokonferenz-Technologie, die gegenwärtig für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist, ist die von Tixeo. Die CSPN-Zertifizierung wird von der französischen ANSSI vergeben und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Merkmal der Verschlüsselung von Tixeo ist, dass die Verschlüsselungsschlüssel des Gesprächs einzig auf den Geräten der Nutzer gespeichert werden. Es findet kein Entschlüsseln der Kommunikation beim Passieren der in Europa gehosteten Sever statt. Somit sind Gespräche in dem Ausmaß geschützt, das NIS2 verlangt.
3 Okt 2023 | Cybersicherheit, Gesetzgebung und Compliance
Zusätzlich zur NIS-2-Richtlinie verschärft die DORA-Verordnung (Digital operationnal resilience act) die Anforderungen an die Cybersicherheit im Finanzsektor. Um ihre Assets und die wirtschaftlichen Interessen der europäischen Länder zu schützen, müssen die Finanzunternehmen ihre digitale operative Widerstandsfähigkeit stärken.
Finanzsektor stark von Cyberbedrohungen betroffen
Zunehmende Anzahl von Cyberangriffen
Cyberangriffe zielen massiv auf die Infrastruktur des Finanzsektors ab. Außerdem stellt das Cyberrisiko heute ein großes Risiko für die Finanzstabilität dar. In ihrem im Juni 2023 erschienenen Bericht über die Risikobewertung des Finanzsystems stellt die französische Zentralbank fest, dass „das Finanzsystem weiterhin einem sehr hohen Risiko von Cyberangriffen ausgesetzt ist“. Gründe dafür sind sowohl der geopolitische Kontext als auch künstliche Intelligenz, die den Weg für sehr ausgeklügelte und daher schwer zu bekämpfende Angriffe ebnet.
Ein weiterer Grund für die massive Gefährdung durch Cyberrisiken ist die extrem schnelle Digitalisierung der Finanzunternehmen. Denn während die Digitalisierung der Bankdienstleistungen schon sehr früh begann, hinkte die Sicherung der Informationssysteme hinterher. Zudem nutzen Mitarbeiterinnen und Mitarbeiter von Bankinstituten zunehmend mobile Geräte und sind stärker dem Risiko von Cyberangriffen ausgesetzt.
https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/
DORA als Ergänzung zu NIS 2 für mehr Cybersicherheit
Aufgrund dieser zahlreichen Risiken und Herausforderungen hat die Europäische Union den Bankensektor im Rahmen der NIS-2-Richtlinie als hoch kritisch eingestuft. Daher werden Organisationen ihre Cybersicherheit erhöhen und ihre Entscheidungsträger dementsprechend schulen. Ergänzend dazu stellt die DORA-Verordnung erhöhte Anforderungen an die Finanzinstitute, um ihr Cyberrisiko besser zu managen und an Agilität zu gewinnen.
Die wichtigsten Punkte der DORA-Verordnung
Welche Organisationen sind betroffen?
DORA betrifft die meisten Organisationen, die im Finanzsektor tätig sind. Das sind beispielsweise:
- Kreditinstitute,
- Investment-, Zahlungs- oder E-Geld-Unternehmen,
- Verwaltungsgesellschaften,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungs- und Rückversicherungsvermittler.
Ziel: Stärkung der digitalen operativen Resilienz
Bessere Erfassung und Verwaltung von Cyberrisiken
Nach dem Vorbild des ganzheitlichen, gefahrenübergreifenden Ansatzes der NIS-2-Richtlinie möchte die DORA-Verordnung die Kenntnis der Risiken im Finanzsektor verbessern. Die Finanzinstitute müssen die mit ihren Geschäften verbundenen Risiken berücksichtigen. Die Verordnung fordert dazu auf, diese Risiken zu identifizieren und zu quantifizieren, in welchem Ausmaß sie sich aus interner und externer Sicht auf die Organisation auswirken. Auf diese Weise haben sie einen genaueren Überblick über die zu ergreifenden Maßnahmen und sind agiler.
Dieses Risikomanagement dient ferner der Beruhigung des Ökosystem des Unternehmens. Dazu gehören auch die Kunden, deren Vermögenswerte und personenbezogenen Daten umfassend geschützt werden müssen.
Von der Verordnung betroffene IKT-Dienstleister
Banken und Finanzinstitute sind heute von Informations- und Kommunikationstechnologien abhängig. Wenn diese Technologien nicht ausreichend gesichert sind, gefährden sie die sensiblen Daten, die damit übertragen werden.
Daher muss sich der Finanzsektor im Rahmen der DORA-Verordnung als widerstandsfähig gegenüber den mit diesen Technologien verbundenen operativen Störungen erweisen. Die Organisationen werden die Aufgabe haben, die IKT-Risiken zu identifizieren und zu klassifizieren und Prozesse für Störungsvorfälle zu erarbeiten.
Darüber hinaus werden Aufsichtsbehörden prüfen, ob das Management der IKT-Risiken den Vorgaben bezüglich der Risikomanagementmaßnahmen entspricht. Bei Nichteinhaltung können Sanktionen verhängt werden.
Auswahl von Anbietern mit dem Sicherheitssiegel der ANSSI
Die französischen Behörde für IT-Sicherheit (ANSSI) empfiehlt hochsichere Produkte und Dienstleister, die sie mit ihrem Sicherheitssiegel ausgezeichnet hat. Damit hilft sie Organisationen, die in sensiblen Bereichen wie dem Finanzwesen tätig sind, die Zuverlässigkeit von Kommunikationslösungen zu bewerten.
Bei einem Cybersicherheitsvorfall müssen die Teams ihren Informationsaustausch in einem hochsicheren Rahmen fortsetzen können. Dadurch werden die Geschäftskontinuität und die Widerstandsfähigkeit des Unternehmens sichergestellt.
Wann tritt die DORA-Verordnung in Kraft?
Die DORA-Verordnung ist am 16. Januar 2023 in der Europäischen Union in Kraft getreten. Die Verordnung ist daher ab jetzt umzusetzen. Die Frist für die Umsetzung in das Recht aller EU-Staaten endet am 17. Januar 2025.
„Cyber-Stresstest“-Kampagnen in Planung
Das Bankensystem führt regelmäßig Stresstests durch, die an gesellschaftliche und wirtschaftliche Konjunkturen gekoppelt sind. Bald können auch „Cyber-Stresstests“ gefordert werden. Tatsächlich hat die EZB (Europäische Zentralbank) angekündigt, dass sie plant, ab 2024 die Cyber-Resilienz von Finanzinstituten zu testen. Dies soll durch Cyber-Stresstests geschehen. Die Zunahme von Cyberbedrohungen, Home Office und die Nutzung der Cloud erhöhen die Schwere von Cyberangriffen und waren daher Anlass für diese Initiative.
Eine gute Möglichkeit für Organisationen aus dem Finanzsektor, ihre Vorbereitung auf DORA unter realen Bedingungen zu testen.
https://www.tixeo.com/de/betreiber-wesentlicher-dienste-und-betreiber-vitaler-bedeutung-welche-auswirkungen-hat-die-nis2-richtlinie/
22 Sep 2023 | Cybersicherheit, Gesetzgebung und Compliance
Mit der bevorstehenden Anwendung der NIS2-Richtlinie in Europa bereiten sich die Betreiber wesentlicher Dienste und die Betreiber vitaler Bedeutung auf neue Verpflichtungen zur Verbesserung ihrer Cybersicherheit vor.
Eine neue Bezeichnung für die Betreiber wesentlicher Dienste
Die Schaffung von wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities)
Ziel dieser Weiterentwicklung der NIS1-Richtlinie ist es, die Sicherheit der Netze und Informationssysteme sensibler europäischer Organisationen zu erhöhen. Zu den Änderungen gehört das Ende der Bezeichnung „Betreiber wesentlicher Dienste“. Darin wurden bisher die wesentlichen Dienstleistungen genannt, deren Stillstand sich stark auf das Funktionieren der französischen Wirtschaft oder Gesellschaft auswirken würde.
Die NIS2-Richtlinie streicht die Bezeichnung „Betreiber wesentlicher Dienste“ und führt an ihrer Stelle zwei Kategorien von Unternehmen ein:
- Wesentliche Einrichtungen, zu denen vor allem große Unternehmen in den als hoch kritisch eingestuften Sektoren zählen würden.
- Wichtige Einrichtungen, zu denen vor allem mittlere Organisationen in den als hoch kritisch eingestuften Sektoren und Organisationen in kritischen Sektoren zählen würden.
Die „Anbieter digitaler Dienste“ werden ebenfalls in diese Kategorien eingestuft. Es sei darauf hingewiesen, dass die Bezeichnung „Betreiber von vitaler Bedeutung nicht geändert wird. Letztere sind von NIS2 betroffen.
Mehr über hoch kritische und kritische Sektoren erfahren
Verpflichtungen für wesentliche Einrichtungen, wichtige Einrichtungen und Betreiber von vitaler Bedeutung
Anwendung von ANSSI-zertifizierten Sicherheitslösungen
Zu den von NIS2 empfohlenen Sicherheitsmaßnahmen gehören „der Einsatz sicherer Sprach-, Video- und Text-Kommunikation sowie der Einsatz gesicherter Notfall-Kommunikations-Systeme innerhalb der Einrichtung bei Bedarf.“ Für Betreiber von vitaler Bedeutung wird der Einsatz von Sicherheitslösungen, die von der ANSSI mit dem Sicherheitsvisum zertifiziert sind, sogar obligatorisch. Denn im Krisenfall müssen diese Betreiber schnell reagieren und widerstandsfähig sein. Gesicherte Kommunikationslösungen sind daher unerlässlich, damit die Mitarbeiter ihre Tätigkeit fortsetzen können. Dabei werden verschiedene Technologien wie die Ende-zu-Ende-Verschlüsselung empfohlen.
Schutz der Netzarchitektur
In der NIS2-Richtlinie wird die Trennung von Netzen und Fernzugängen gefordert, insbesondere bei der Verwendung von On-Premise-Sicherheitslösungen. Diese müssen in einem isolierten Netz funktionsfähig sein und die Organisation muss alle ihre Auswirkungen auf ihre Netzarchitektur kennen.
Beauftragung von sicheren Zulieferern und Dienstleistern
Besondere Aufmerksamkeit wird auch den Akteuren der Lieferkette gewidmet, unabhängig davon, ob sie Zulieferer oder Dienstleister sind. Diese erhalten in der Regel Zugang zur Infrastruktur ihres Kunden und stellen damit ein Sicherheitsrisiko dar. Und aus gutem Grund kann dies bei Sicherheitslücken in ihrer Infrastruktur Auswirkungen auf die Netzsicherheit der mehr oder weniger kritischen Unternehmen haben, für die sie arbeiten. Aus diesem Grund fallen auch sie unter die NIS2-Richtlinie.
Alles über die NIS2-Richtlinie:
https://www.tixeo.com/de/neue-nis2-richtlinie-was-wird-sich-fuer-die-europaeischen-unternehmen-und-behoerden-aendern/