Grundsätzlich muss heute jeder die Cyber- und Informationssicherheit im Fokus behalten. Nur ist es zeitweise nicht immer einfach, diese Punkte auch in Ausschreibungen so zu formulieren, dass zum Beispiel die Videosicherheitsanlage diese Vorgaben über ihre Betriebszeit hinaus erfüllen kann.
Für die Bereiche der kritischen Infrastrukturen in der Europäischen Union gibt es daher hierzu wesentliche Verbesserungen. NIS wurde am 14.12.22 novelliert. NIS2 betroffene Unternehmen werden in 2 Bereiche unterteilt: HOHE KRITIKALITÄT und KRITISCHE SEKTOREN. In Summe sind es 18 unterschiedliche Sektoren, die wiederum in Teilsektoren aufgelistet werden. Eine Übersicht und Beschreibung erhalten Sie über den Link ab Seite 64.
1. SEKTOREN MIT HOHER KRITIKALITÄT:
(1) Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
(2) Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
(3) Bankwesen
(4) Finanzmarktinfrastrukturen
(5) Gesundheitswesen
(6) Trinkwasser
(7) Abwasser
(8) Digitale Infrastruktur
(9) Verwaltung von Informations- und Kommunikationstechnologie
(10) Öffentliche Verwaltung
(11) Weltraum
2. SONSTIGE KRITISCHE SEKTOREN
(12) Post und Kurier
(13) Abfallwirtschaft
(14) Produktion, Herstellung und Handel mit chemischen Stoffen
(15) Produktion, Verarbeitung und Vertrieb von Lebensmitteln
(16) Verarbeitendes Gewerbe/Herstellung von Waren
(17) Anbieter digitaler Dienste
(18) Forschung
In Österreich sind all jene Unternehmen von der NIS-Richtlinie bzw. dem NIS-Gesetz betroffen, die als sogenannte Betreiber wesentlicher Dienste in den folgenden Sektoren identifiziert wurden: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Digitale Infrastrukturen, Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing-Dienste). Die Ermittlung dieser Unternehmen erfolgt durch das Bundeskanzleramt (BKA).
Mit einer nationalen Umsetzung ist innerhalb der kommenden 17 Monaten ist zu rechnen. Es ist aber bereits jetzt zu empfehlen, Ihren Auftraggeber auf NIS2 hinzuweisen und zu klären, ob er bereits als kritische Einrichtung eingestuft wurde oder aufgrund der neuen Sektoren eingestuft werden kann.
Zum Thema der Haftung sollen die Leitungsorgane der Betreiber persönlich haftbar gemacht werden.
Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Um beim Beispiel der Videosicherheitsanlage die kritischen Punkte bei NIS2 zu berücksichtigen und auf dem Stand der Technik ein System zu betreiben, müssen folgende Aufgaben erfüllt werden.
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Grundlegende Verfahren und Schulungen im Bereich der Cyberhygiene und Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Diese Auflistung ist ein Auszug und kann vollständig im Artikel 21 der o.g. Richtline (EU) 2022/2555 D eingesehen werden.
Bei Ausschreibungen, insbesondere im öffentlichen Sektor, ist es heute nicht üblich, die Anforderungen an IP-Kameras nach Kriterien der Cyber- und Informationssicherheit zu formulieren. Folgende Best Practices ermöglichen Ihnen aber die Spreu vom Weizen zu trennen:
- Die spezifizierte Einheit ist in ihrer Gesamtheit vom Hersteller zu entwickeln und für dessen alleinigen Gebrauch herzustellen.
- Die Einheit unterstützt die Verwendung von HTTPS und SSL/TLS und bietet die Möglichkeit, signierte Zertifikate zur Verschlüsselung und sichere Authentifizierung und Kommunikation sowohl von der Administration als auch vom Videostream zu nutzen.
- Die Einheit muss ein zentralisiertes Zertifikatsmanagement bereitstellen, das sowohl vorinstallierte als auch zusätzliche CA-Zertifikate hochladen kann. Diese sind von einem Unternehmen zu unterzeichnen, das digitale Treuhanddienste anbietet.
- Die Einheit muss die IEEE 802.1X-Authentifizierung unterstützen.
- Die Einheit wird vollständig durch eine offene und veröffentlichte API (Anwendungsprogrammierschnittstelle) unterstützt, die notwendige Informationen für die Integration der Funktionalität in Drittanwendungen bereitstellt.
- Alle Geräte, die eine Anmeldung mit einem Passwort erfordern, müssen mit einem benutzer-/standortspezifischen Passwort konfiguriert werden. Es dürfen keine Standardpasswörter für Systeme/Produkte verwendet werden.
- Um den lebenslangen Cybersicherheitsprozess für diese Spezifikation zu unterstützen, sind nur Kamera- und Encoder-Hardware vom Original-Hersteller mit der Original-Firmware erlaubt. Daher müssen alle notwendigen Informationen über den Original-Hersteller bereitgestellt werden. Transparenz über die gesamte Lieferkette vom Gerätehersteller bis zum Installateur ist für diesen Prozess unerlässlich.
- Der Hersteller des/der Geräte/s muss einen so genannten „Hardening Guide“ anbieten, der detailliert beschreibt, wie ein Produkt verwaltet und installiert werden sollte, um das Risiko von Hacking oder Missbrauch zu minimieren. Dieser Härtungsleitfaden muss mindestens 3 verschiedene Stufen von empfohlenen Sicherheitsmaßnahmen anbieten, je nach Risikostufe des Endverbrauchers, Branche oder ähnlichen Faktoren.
- Der Hersteller muss eine bewährte Schwachstellenrichtlinie nachweisen, die einen vordefinierten und bewährten Prozess zur transparenten Verwaltung von Schwachstellen umfasst.
- Um eine transparente Kommunikation in Bezug auf potenzielle Schwachstellen nachzuweisen, stellt der Hersteller einen so genannten Security Advisory Notification Service zur Verfügung, bei dem sich der Endbenutzer anmelden kann, um Informationen über identifizierte Schwachstellen direkt vom Hersteller zu erhalten.
- Der Hersteller der Vorrichtung(en) muss ein Softwaretool für eine effiziente Handhabung im Hinblick auf die Cybersicherheit der zu verwendenden Produkte anbieten, wobei die folgenden Funktionalitäten in das Tool aufgenommen werden müssen:
- Benutzer- und Passwortverwaltung
- Einstellung des Gerätepassworts für mehrere Geräte gleichzeitig
- Bereitstellen von HTTPS- und 802.1x Zertifikaten
- Zertifikate erneuern und verwalten
- Konfiguration zwischen Geräten kopieren
- Firmware aktualisieren
- Kameraaktualisierung(en) mit der verfügbaren LTS-Firmware
- Ein Kamera-Hersteller muss eine Funktion für die LTS-Firmware (Long Term Support) anbieten, die sicherstellt, dass die Produkte gewartet und mit Firmware-Updates und Patches unterstützt werden, die sich auf Bugfixes und Schwachstellen-Patches konzentrieren.
- Secure Boot und signierte Firmware sind verpflichtend.
Axis Communications hat einen langfristig und strategischen Ansatz für die Cybersicherheit. Als europäischer Hersteller sind unsere Produkte und Unternehmensprozesse bereits NIS-konform (seit 2016) und mit NIS2 wird es auch Ihre sicherste Wahl sein.
Lesen Sie wertvolle Informationen zu kritischen Infrastrukturen und einem industriellen Umfeld im Blogartikel von Andrea Monteleone.
Behalten Sie die Cyber- und Informationssicherheit stets im Fokus. Ich wünsche Ihnen allseits nachhaltige Planungen von maßgeschneiderten intelligente Lösungen.
Ihr Dominique Morel
Architect & Engineering Manager Österreich, Schweiz
E-Mail: Dominique.Morel@axis.com | Tel.: +41 79 780 72 37