NIS2 ist die neue Cybersecurity Richtlinie, die zukünftig von vielen Unternehmen eingehalten werden muss. Gemäß NIS2 müssen Unternehmen in spezifischen Sektoren mit mindestens 50 Mitarbeitern und einem Umsatz von mindestens 10 Millionen Euro bestimmte Informationssicherheitsstandards einhalten.
Welche Unternehmen darunter fallen, kann hier in diesem Artikel nicht genannt werden, betroffene Unternehmen sollten darüber jedoch Bescheid wissen.
Hintergrund ist, dass EU weit kritische Infrastruktur geschützt werden soll und die bisherigen Maßnahmen nicht ausreichend waren.
NIS2 umfasst alle IT-Systeme, Komponenten und und Prozesse des Unternehmens:
- Risikomanagement
- Informationsstandards in Lieferketten sicherstellen
- Sicherheitsvorfälle melden
- Busines Continuity etc.
Dazu kommen auch Anforderungen an Kryptografie, Authentifizierung, Kommunikation und Notfallkommunikation.
Gerade die letztgenannten Anforderungen betreffen auch die Nutzung von (Cloud) Collaborationplattformen.
Bei Nichteinhaltung drohen empfindliche Bußgelder.
Im derzeitigen Entwurf §30 Absatz 2 steht:
Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes
umfassen:…
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
Das Problem dabei ist die Antwort zur Frage: „Was ist Stand der Technik im Bereich Kryptografie und Verschlüsselung?“
Stand der Technik im Bereich Kryptografie und Verschlüsselung
Eine Antwort zu der Frage was Stand der Technik ist, gibt unter anderem folgende Seite vom Bundesverband IT-Sicherheit e.V.: https://www.teletrust.de/fileadmin/user_upload/2023-05_TeleTrusT-Handreichung_Stand_der_Technik_in_der_IT-Sicherheit_DE.pdf
Dort ist beschrieben, welche Verschlüsselungsarten derzeit noch in Forschung sind, wie z.B. Quantenverschlüsselung und, dass Ende-zu-Ende Verschlüsselung Stand der Technik ist.
Die Ende-zu-Ende Verschlüsselung wird mindestens gefordert für:
3.2.1 Cloudbasierter Datenaustausch
3.2.13 Nutzung von mobilen Sprach- und Datendiensten
3.2.14 Nutzung mittels Instant-Messenger
Diese Anforderungen betreffen vor allem die Nutzung von cloudbasierten Collaboration Plattformen wie Microsoft Teams und Cisco Webex.
Microsoft Teams und NIS2
In Microsoft Teams können durch Lizenzierung der teuren Teams Premium Lizenz Ende-zu-Ende verschlüsselte Meetings genutzt und auch 1:1 Calls können Ende-zu-Ende verschlüsselt werden.
Chats sind jedoch NICHT Ende-zu-Ende verschlüsselt, sondern nur „In Bewegung und in Ruhe“ verschlüsselt.
Somit ist es fahrlässig Microsoft Teams zu nutzen, wenn NIS2 eingehalten werden muss, und auch sonst, wenn einem das Firmen Know-How etwas wert ist.
Lösung
Die weltweit derzeit am weitesten verbreiteten Collaboration Plattformen sind Microsoft Teams und Cisco Webex.
Cisco Webex bietet alles was Microsoft Teams bietet, ist um einiges günstiger und dazu noch einfacher zu verwalten. Zudem können ohne Aufpreis Meetings, 1:1 Calls und Chats, Gruppenchats und Teams Ende-zu-Ende verschlüsselt werden!
Somit ist die Empfehlung Cisco Webex zu nutzen. Sie bekommen eine technische weitaus ausgereiftere Plattform mit höherer Sicherheit, einfacherer Administration zu einem niedrigeren Preis. Auch eine Integration in Microsoft Office, Sharepoint, Onedrive, Outlook etc. funktioniert. Eine eingebaute KI steht dem Microsoft Copilot in nichts nach und kostet auch keinen Aufpreis.
Weitere Informtionen unter: https://www.webex.com/de/index.html
Photo by Shopify Photos from Burst