IT-Musterung

Der Begriff IT-Musterung wurde bewusst in Anlehnung an die militärische Musterung gewählt – ein Verfahren, das eine strukturierte, tiefgehende und umfassende Überprüfung einer Person auf ihre Tauglichkeit hin beschreibt. Ebenso wie bei einer militärischen Musterung nicht nur oberflächliche Eindrücke zählen, sondern eine ganzheitliche und normierte Beurteilung erfolgt, steht auch bei der IT-Musterung nicht ein einzelner Aspekt der IT- oder Rechtslandschaft im Fokus, sondern das Gesamtbild der Unternehmenssicherheit.

Im Rahmen der IT-Musterung durch RIEDEL Networks erfolgt:

• ein systematischer Schwachstellenscan der gesamten IT-Infrastruktur – nicht nur punktuell, sondern umfassend und tiefgreifend,

• sowie eine juristische Durchleuchtung der rechtlichen Angriffsflächen, insbesondere im Hinblick auf NIS-2, durch den Legal-Tech-Partner Clarius.Legal.

Abgrenzung zu herkömmlichen Audits oder NIS-2-Checks

Anders als viele bestehende „NIS-2-Checks“ oder punktuelle Audits beschränkt sich die IT-Musterung nicht auf einzelne technische Komponenten oder eine oberflächliche juristische Einschätzung. Sie ist:

• standardisiert und vollumfänglich,

• transparent dokumentiert,

• sowohl technisch als auch rechtlich integriert.

Die Bezeichnung „Musterung“ unterstreicht den ganzheitlichen Anspruch des Verfahrens und soll bewusst vermitteln:

„Hier wird nicht nur oberflächlich geprüft – hier wird durchleuchtet, bewertet und klargestellt, wie es um Ihre digitale und regulatorische Verteidigungsfähigkeit wirklich steht.“

Ein herkömmlicher Scan prüft meist nur technische Komponenten, ein Audit fokussiert sich oft auf einzelne gesetzliche Aspekte.
Die IT-Musterung vereint beides – in einem standardisierten, dokumentierten und praxistauglichen Verfahren:

• Vollständiger Schwachstellenscan der IT-Infrastruktur

• Juristischer NIS-2-Check durch unseren Legal-Tech-Partner Clarius.Legal

• Klare, verständliche Maßnahmenempfehlungen

Die IT-Musterung ist ein gemeinsames Angebot von:

• RIEDEL Networks (technische Analyse & IT-Sicherheitsbewertung)

• Clarius.Legal (juristische Prüfung der NIS-2-Compliance, inkl. Dokumentation)

Die IT-Musterung richtet sich an:

• Unternehmen, die von der NIS-2-Richtlinie betroffen sind

• Firmen, die einen klaren Überblick über ihren IT-Sicherheitsstatus und ihre rechtliche Angriffsfläche gewinnen wollen

• Organisationen, die mehr wollen als ein oberflächliches Audit – nämlich echte Durchleuchtung

Die IT-Musterung kann als einmalige Statusbestimmung durchgeführt werden – sie eignet sich aber auch als regelmäßige Maßnahme zur Überprüfung und Verbesserung Ihrer IT- und Compliance-Struktur. Es empfiehlt sich jedoch, das Thema IT-Security nicht als "Sprint" anzusehen, sondern vielmehr als "Marathon" und sich mit Lösungen, wie der RIEDEL Enterprise Defense [R.E.D.] Cybersecurity-Suite, für den Dauerlauf zu rüsten.

Keine besonderen – lediglich:

• Zugang zur relevanten IT-Infrastruktur (für den Schwachstellenscan)

• Bereitschaft zur Zusammenarbeit mit internen Ansprechpersonen (z. B. IT-Leitung, Datenschutz, Recht)

Clarius.Legal analysiert Ihre bestehende Sicherheitsstruktur anhand eines strukturierten Audits. Dabei wird geprüft, wie gut Ihre technischen und organisatorischen Maßnahmen bereits den NIS-2-Anforderungen entsprechen – basierend auf den Vorgaben des BSI IT-Grundschutzes.

Die Durchführung der einzelnen Punkte verteilt sich auf mehrere Termine, die jeweils zwischen 1 - 3 Stunden dauern. Je nach terminlicher Flexibilität der Ansprechpartner ist die rechtliche Prüfung und Ausarbeitung in einem guten Monat abgeschlossen.

• Erstellung eines individuellen Auditplans
• Durchführung eines Compliance-Audits
• Aufbau eines Risikomanagementsystems
• Anpassung von Verträgen mit Partnern und Dienstleistern
• Schulungen für Geschäftsleitung und Mitarbeitende
• Entwicklung einer gesetzeskonformen Meldekette

• Auditplanung & Vorbereitung
• Durchführung des Compliance Checks
• Bewertung und Priorisierung von Risiken
• Umsetzung organisatorischer & technischer Maßnahmen
• Kontinuierliche Unterstützung durch Experten

Die Geschäftsführung trägt die Gesamtverantwortung und kann bei Verstößen haftbar gemacht werden. In der Praxis arbeiten IT, Compliance, Datenschutz und externe Berater (wie CLARIUS.LEGAL) gemeinsam an der Umsetzung.

Nicht unbedingt alle, aber alle sicherheitsrelevanten Systeme müssen einem Risiko-Assessment unterzogen und ggf. durch technische oder organisatorische Maßnahmen abgesichert werden. Dazu gehören Firewalls, Backup-Systeme, VPNs, Zugriffskontrollen etc.

Mindestens jährlich oder bei größeren Veränderungen in der IT-Infrastruktur. Wir helfen bei der Einrichtung eines standardisierten Risikomanagementprozesses. Außerdem ist die technische Überwachung der IT-Infrastruktur, z.B. durch den Managed Security Service RIEDEL Enterprise Defense [R.E.D.] hilfreich, um hier einen Überblick zu behalten.

• Sicherheitsrichtlinien und -konzepte
• Verträge mit Dienstleistern (z. B. Auftragsverarbeitung, Sicherheitsanforderungen)
• Notfallpläne und Meldeprozesse
• Schulungsnachweise
• Risikobewertungen & technische Berichte

Vorlagen stellt Clarius.Legal gerne zur Verfügung!

Der RED SKULL Vulnerability Test ist ein automatisierter Schwachstellenscan Ihrer IT-Infrastruktur. Mit Hilfe einer vorkonfigurierten Hardware-Appliance analysieren wir Ihre Netzwerke auf potenzielle Sicherheitslücken – schnell, sicher und ohne Unterbrechung Ihrer Betriebsabläufe.

1. Versand des vorkonfigurierten Test-Kits

2. Durchführung des Scans durch unser Security Operations Center (SOC)

3. Rücksendung des Geräts

4. Auswertung der Ergebnisse

5. Besprechung und Übergabe eines detaillierten Berichts mit Handlungsempfehlungen

Nein. Nach dem Anschluss des Test-Kits übernimmt unser SOC die gesamte Durchführung per Fernzugriff. Ihr Team muss lediglich die Netzwerkinfrastruktur vorbereiten und das Gerät anschließen.

Nein. Der Scan ist nicht-disruptiv. Es werden keine Systeme angegriffen oder verändert, sodass Ihr Betrieb ungestört weiterlaufen kann.

Je nach Größe und Komplexität Ihres Netzwerks dauert der Scan zwischen wenigen Stunden und bis zu einer Woche. Die Berichterstellung erfolgt im Anschluss innerhalb etwa einer Woche.

Es werden keine Systemdaten verändert. Alle gesammelten Informationen werden verschlüsselt übertragen, gemäß DSGVO- und ISO 27001-Standards verarbeitet und können auf Wunsch gelöscht oder archiviert werden.

Der Scanner ist ein Miniserver, der bei Erhalt vorkonfiguriert ist.In Absprache mit unserem SOC erhalten Sie eine konkrete Anleitung zur Durchführung des Scans und Einbindung des Geräts. 

Sie montieren lediglich die mitgelieferten LTE-Antennen an den dafür vorgesehenen Anschlüssen. Das Gerät startet, sobald es mit dem Netzteil verbunden ist. 

Unser SOC verwaltet den Scanner per Fernzugriff und nimmt die erforderlichen Konfigurationen vor.

Sie stellen lediglich sicher, dass Routing, Firewall-Regeln, VLAN, VPN-Zugang und Internet-Konnektivität konfiguriert sind. Dabei helfen unsere Kollegen aber gerne!

Sie erhalten einen umfassenden Bericht über alle gefundenen Schwachstellen inklusive Priorisierung und konkreter Handlungsempfehlungen. In einem persönlichen Termin besprechen wir die Ergebnisse mit Ihnen.

Die NIS-2 Richtlinie soll die Cybersicherheit in der Europäischen Union stärken, indem sie höhere Sicherheitsstandards und Meldepflichten für Unternehmen einführt. Sie zielt darauf ab, die Resilienz kritischer Infrastrukturen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern.

Zur Einhaltung der NIS-2-Richtlinie müssen Unternehmen mehrere Maßnahmen ergreifen:

1. Implementierung robuster Sicherheitsmaßnahmen: Unternehmen müssen ihre Netzwerke und Informationssysteme durch geeignete technische und organisatorische Maßnahmen schützen, um Cyberangriffe zu verhindern und abzuwehren.

2. Regelmäßige Risikoanalysen: Unternehmen müssen regelmäßig Risikobewertungen durchführen, um potenzielle Schwachstellen zu identifizieren und entsprechende Schutzmaßnahmen umzusetzen.

3. Meldung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, schwerwiegende Sicherheitsvorfälle unverzüglich an die zuständigen Behörden zu melden, um eine schnelle Reaktion und Zusammenarbeit zu ermöglichen.

4. Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Cybersicherheitsrisiken sensibilisiert werden, um sicherheitsbewusstes Verhalten zu fördern und menschliche Fehler zu minimieren.

5. Notfallpläne und Krisenmanagement: Unternehmen müssen Notfallpläne und Krisenmanagementprozesse etablieren, um im Falle eines Cyberangriffs schnell und effektiv reagieren zu können.

Innerhalb von 24 Stunden:
Sie müssen in den ersten 24 Stunden nach Erkennung eines Sicherheitsvorfalls eine erste Einschätzung an die zuständige nationale Behörde oder das CSIRT (Computer Security Incident Response Team) übermitteln. Geben Sie dabei ggf. an, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, und liefern Sie erste Informationen zu potenziellen Auswirkungen auf Systeme und die Versorgungssicherheit.

Innerhalb von 72 Stunden:
Sie müssen spätestens 72 Stunden nach der Entdeckung des Vorfalls einen detaillierten Bericht mit den sogenannten Indicators of Compromise (IoCs) erstellen und an die zuständige Behörde übermitteln. Diese IoCs, wie IP-Adressen, Malware-Signaturen oder ungewöhnliche Netzwerkaktivitäten, dienen der Identifikation der Bedrohung. Ergänzen Sie den Bericht um eine erste Bewertung der Auswirkungen auf betroffene Dienste und Kunden.

Nach einem Monat:
Sie müssen spätestens einen Monat nach dem Vorfall einen umfassenden Abschlussbericht einreichen. Dieser Bericht muss den Sicherheitsvorfall ausführlich beschreiben, die Ursachen analysieren, den Schweregrad bewerten und die Auswirkungen dokumentieren. Zusätzlich müssen Sie die Art der Bedrohung (z. B. Ransomware, DDoS-Angriff) erläutern, die ergriffenen Abhilfemaßnahmen darstellen und ihre Wirksamkeit bewerten. Abschließend sollten Sie konkrete Empfehlungen formulieren, um ähnliche Vorfälle in Zukunft zu verhindern und die Cybersicherheitslage zu verbessern.

Bei Verstößen gegen die NIS-2-Richtlinie drohen Unternehmen erhebliche Sanktionen. Diese können je nach Schwere des Verstoßes und nationaler Gesetzgebung der EU-Mitgliedstaaten folgende Maßnahmen umfassen:

1. Haftung der Geschäftsführung
   Die NIS-2-Richtlinie führt eine erweiterte Geschäftsführerhaftung ein, die dazu führt, dass Führungskräfte persönlich für die Einhaltung der Cybersicherheitsanforderungen verantwortlich gemacht werden können.
2. Hohe Geldstrafen:
   Unternehmen können mit empfindlichen Geldstrafen belegt werden, die in schweren Fällen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.
3. Öffentliche Bekanntmachung:
   Verstöße können öffentlich gemacht werden, was dem Ruf des Unternehmens erheblichen Schaden zufügen kann.

Die Anforderungen an Unternehmen umfassen diverse To-Do's aus unterschiedlichen Feldern. Software basierte Lösungen helfen Ihnen, alle Verpflichtungen einzuhalten und vereinfachen insbesondere die Erfüllung der Nachweispflicht.

Die NIS-2 Richtlinie darf nicht als statische Vorgabe verstanden werden, sondern zielt darauf ab, Unternehmen zu einem kontinuierlichen Risikomanagement zu motivieren.