Asset Management: Mehr Durchblick für die Reise zu NIS2
Ein klares Bild der Hardware- und Software-Assets schafft nicht nur die Grundlage für das laufende IT-Management. Zudem gilt: Ich kann nicht schützen, wovon ich nichts weiß. Deshalb leistet das Asset Management einen wichtigen Beitrag zu dem Vorhaben, Unternehmensumgebungen abzusichern – erst recht mit Blick auf die kommende NIS2-Richtlinie.
Kurz & knapp
- Ein klares Bild der Hardware- und Software-Assets ist entscheidend für das IT-Management, insbesondere im Hinblick auf die kommende NIS2-Richtlinie.
- NIS2 betrifft viele Unternehmen und fordert unter anderem ein umfassendes Cyberrisikomanagement.
- Der erste Schritt zur NIS2-Compliance ist daher das Ermitteln des Status quo, zum Beispiel durch eine UEM-Lösung, die Hardware- und Software-Assets sowie industrielle Automatisierungstechnik erfasst.
Wer den Koffer oder Rucksack für den Sommerurlaub packt, sollte darauf achten, nichts Wichtiges zu vergessen. Reisepass? Ist da. Badetasche? Ebenfalls. Taucherbrille? Hm.
Irgendwo im Keller muss sie sein. Sie wird sich schon noch rechtzeitig auffinden lassen. Ganz ähnlich geht es manch einem IT-Team, wenn die Geschäftsleitung fordert, den IT-Bestand
zu inventarisieren.
Natürlich hat das IT-Team die Windows-Server und -Clients längst im Griff, ebenso die Netzwerkgeräte und Softwarelizenzen. Aber wenn es um iPhones und
Android-Geräte geht, wird die Luft oft schon dünner.
Gleiches gilt für den einen Linux-Server, auf dem die Verwaltungssoftware für die Überwachungskameras läuft. Und angeblich setzen die Kolleginnen und Kollegen drüben in der
Produktionshalle völlig veraltete Windows-Systeme als Steuerungsrechner ein. Aber industrielle Betriebstechnik (Operational Technology, OT) ist aus Sicht der
IT-Administration eben eine ganz andere Welt, abgelegener als Sri Lanka oder die Malediven.
Mangelhafter Überblick erhöht Cyberrisiken
Ein derart bruchstückhaftes Bild der IT- und OT-Assets kann sich für Unternehmen bald als ebenso problematisch erweisen wie für Flugreisende ein Handgepäck mit zwei Kilo
Übergewicht. Denn im Oktober soll – genauer: muss NIS2 – das deutsche Umsetzungsgesetz für die erweiterte EU-Richtlinie für Netz- und Informationssicherheit fertiggestellt
sein, und ab diesem Stichtag gilt das Gesetz dann auch.
Der Hintergrund: Seit Jahren eskaliert die Bedrohungslage. Deshalb legt NIS2 nun
strengere Maßstäbe an die Cybersicherheit an. Speziell in Deutschland dehnt die Richtlinie zugleich den Einzugsbereich von KRITIS-Betreibern auf Unternehmen in wesentlichen oder
zumindest wichtigen Branchen mit mindestens 250 bzw. 50 Beschäftigten oder mindestens 50 bzw. 10 Mio. Euro Jahresumsatz aus. Das Feld der Branchen, die NIS2 aufführt, reicht von der
Abfallwirtschaft über die chemische Industrie bis zu den Anbietern digitaler Dienste.
Auf einen Satz gebracht: NIS2 fordert von betroffenen Organisationen ein Cyberrisikomanagement. Viele übersehen dabei, dass dies auch die Absicherung der Lieferketten
umfasst. Unternehmen mit NIS2-relevanten Organisationen unter ihrer Kundschaft werden also ebenfalls nachweisen müssen, NIS2-konform zu agieren. Dadurch betrifft NIS2 auch zahlreiche Firmen
außerhalb der Branchen, die die Richtlinie namentlich aufführt.
Erster Schritt in Richtung NIS2: Status quo ermitteln
Der erste Schritt auf dem Weg zum NIS2-konformen Risikomanagement besteht darin, den Status quo zu ermitteln. Schließlich muss zunächst klar sein, welche Hardware
und Software ein Unternehmen nutzt. Erst dann können Fachleute analysieren, welchen Risiken diese Assets ausgesetzt sind und wie sich diese Risiken vermeiden oder zumindest
minimieren lassen.
Die gute Nachricht: Unternehmen, die eine UEM-Lösung (Unified Endpoint Management) einsetzen, haben einen Startvorteil. Denn ein UEM-Tool enthält eine Hardware-Inventarisierung wie
auch ein Software-Asset- und Lizenzmanagement. Eine ausgereifte Lösung wie die baramundi Management Suite (bMS) erfasst hier auch Peripherie-
und Mobilgeräte, zudem industrielle Automatisierungstechnik wie Siemens SIMATIC sowie – per Netzwerkscan – weitere Netzwerk-Gerätschaften. Wichtig ist, wie erwähnt, gerade im
Industrieumfeld: baramundi unterstützt auch Windows-Altsysteme.
Linux-Geräte erfasst baramundis UEM-Lösung natürlich ebenfalls. Bei diesem Thema wird sich dieses
Jahr übrigens noch einiges tun – Linux-Anwender dürfen gespannt sein!
Asset-Management ebnet den Weg zu NIS2-Konformität
Ein umfassendes IT- und OT-Asset-Management bietet somit eine solide Startbahn für die Expedition zu NIS2. Doch auch bei weiteren Stationen entlang dieses Wegs leistet baramundi
Hilfestellung: Die bMS ermöglicht ein zentrales Update und Patch Management ebenso wie die Deinstallation unerwünschter Software und hilft nach einem Angriff dabei,
Endpunkte automatisiert neu aufzusetzen und schnell wieder in Betrieb zu nehmen. Ein wichtiger Baustein, zielt NIS2 doch auf Business Continuity, also den
möglichst unterbrechungsfreien Geschäftsbetrieb.
Urlaubssaison hin oder her: IT-Teams sollten ihre Reise zu mehr Cybersicherheit möglichst bald antreten – nicht nur im Hinblick auf NIS2, sondern auch, weil angesichts immer neuer Gefahren
mehr Sicherheit dringend geboten ist. Schlimmstenfalls gerät ein Unternehmen ins Visier eines Cyberangriffs, weil es erforderliche Sicherheitsmaßnahmen noch nicht umgesetzt hat. Dann ist
die Lage ernst. Denn künftig drohen neben Daten- und Imageverlust auch Bußgelder – im Extremfall kann das BSI sogar die Unternehmensleitung absetzen. Im Ernstfall wird die
verantwortliche Person also nicht einfach abtauchen können – selbst, wenn sie ihre Taucherbrille doch noch im Keller aufgestöbert hat.
Optimaler Asset-Überblick mit automatisierter Inventarisierung
Verschaffen Sie sich den vollen Überblick über Ihre IT-Assets und verbessern Sie Ihre Effizienz durch automatisierte Endgeräteerfassung, Transparenz bei Softwarelizenzen und optimiertes Enterprise Mobility Management.