Die Richtlinie (EU) 2022/2555, besser bekannt als NIS2, ist ein bedeutender Schritt zur Schaffung eines einheitlichen Niveaus der Cybersicherheit in der gesamten Europäischen Union. Diese Richtlinie, die am 16. Januar 2023 in Kraft trat, zielt darauf ab, die Widerstandsfähigkeit kritischer Dienste und digitaler Dienstleister gegen Cyberbedrohungen durch die Einführung einheitlicher Cybersicherheitsstandards und -praktiken zu stärken.
Die Druckindustrie fällt, neben vielen anderen Branchen, in den Anwendungsbereich der NIS2-Richtlinie. Daher müssen Unternehmen der Druckindustrie die Auswirkungen der NIS2-Richtlinie verstehen und die notwendigen Schritte unternehmen, um die Sicherheitsstandards zu erfüllen. Bis zum 17. Oktober 2024 sind die Mitgliedstaaten verpflichtet, die für die Einhaltung der NIS2-Richtlinie erforderlichen Maßnahmen zu erlassen und zu veröffentlichen.
Dieser Artikel befasst sich mit den Einzelheiten der NIS2-Richtlinie und ihren Auswirkungen auf MyQ X-Vertriebspartner und -Kunden.
Wenn Sie ein MyQ X-Endkunde sind, besprechen Sie die Anforderungen und Empfehlungen der NIS2-Richtlinie mit Ihrem MyQ X-Anbieter/Vertriebspartner. MyQ-Partner sind geschult, erstklassigen Support zu leisten, und werden Sie bei der Umsetzung der erforderlichen Maßnahmen unterstützen.
Hauptbereiche der NIS2-Richtlinie
Risikomanagement und Cybersicherheit
Verfolgen Sie einen risikobasierten Ansatz für die Cybersicherheit. Dazu gehören die Identifizierung und Bewertung von Risiken für Netzwerk- und Informationssysteme, die Umsetzung von Maßnahmen zur Minderung dieser Risiken sowie die regelmäßige Überprüfung dieser Maßnahmen.
Stellen Sie sicher, dass Ihr Server und die zugehörige Software mit den neuesten Sicherheitspatches auf dem aktuellen Stand sind, um Schwachstellen zu minimieren. Implementieren und testen Sie darüber hinaus regelmäßig Backup- und Notfallwiederherstellungspläne, um die Verfügbarkeit und Integrität der Daten sicherzustellen. MyQ stellt regelmäßig Patch-Releases für seine Produkte bereit. Es wird dringend empfohlen, sich auf dem Laufenden zu halten, diese Releases zu verfolgen und Ihre Update-Strategie und -Prozedur im Voraus zu planen. MyQ erstellt für jedes Release eine Software-Stückliste (SBOM), die Sie über Ihren MyQ-Anbieter/Vertriebspartner erhalten können und die es Unternehmen ermöglicht, die in der Software verwendeten Komponenten auf Sicherheitslücken zu analysieren.
Die Netzwerksegmentierung ist ein wesentliches Instrument für die praktische Umsetzung einer Zero-Trust-Richtlinie. Sie bietet Unternehmen Möglichkeiten, ihre Netzwerke mit detaillierteren Sicherheitsrichtlinien zu kontrollieren. Sie stellt sicher, dass ein Angreifer, selbst wenn er einen Teil des Netzwerks kompromittiert, nicht ohne Weiteres lateral in andere Bereiche vordringen kann. Unternehmen mit segmentierten Umgebungen stehen jedoch vor Herausforderungen, wenn es darum geht, den Druckzugang leicht verfügbar zu machen.
Mit MyQ X können Druckwarteschlangen in segmentierten Netzwerken mithilfe von Mobile Print Agents weitergeleitet werden, und in der Cloud gehostete Dokumente können mit Easy Print sofort vom Bildschirm des Geräts heruntergeladen und freigegeben werden. Die Unterstützung von Microsoft Universal Print oder Application Proxy im Mobile Client kann Unternehmen erheblich dabei helfen, Druckdienste in ihrer gesamten Umgebung bereitzustellen und gleichzeitig sicherzustellen, dass der Zugriff auf solche Ressourcen geschützt ist.
SSL-Zertifikate für sichere Verbindungen tragen dazu bei, die Anforderungen von NIS2 an eine sichere Datenübertragung über Netzwerke hinweg zu erfüllen. MyQ X verfügt standardmäßig über eine sichere Kommunikation dank der integrierten Zertifizierungsstelle. Unternehmen, die Enterprise PKI nutzen, können ein noch höheres Maß an Kommunikationssicherheit erreichen, indem sie direkt benutzerdefinierte Zertifikate bereitstellen.
Setzen Sie nach Möglichkeit TLS für die Kommunikation mit anderen Systemen durch. Sichern Sie die Verbindung zum Active Directory oder anderen Benutzerverzeichnissen mit LDAPS. Stellen Sie sicher, dass die E-Mail-Übertragung über SMTPS erfolgt, und überprüfen Sie alle Einstellungen auf der Netzwerkseite von MyQ X sowie auf der Registerkarte „Sicherheit“ in Easy Config (z. B. dass der Webserver nur sichere Verbindungen zulässt).
MyQ bietet zudem die Möglichkeit, Datenbanken, Scans und Druckaufträge zu verschlüsseln. Die Datenverschlüsselung ist unerlässlich, um die Vertraulichkeit und Integrität sensibler Informationen zu gewährleisten, was ein zentraler Aspekt der NIS2-Konformität ist.
Für die Gerätekommunikation ist es unerlässlich, Kommunikationsprotokolle zu implementieren, die ein Höchstmaß an Sicherheit bieten. Es wird dringend empfohlen, SNMPv3 anstelle von v1 oder v2(c) zu verwenden, um den Status und die Funktionalität von Geräten in einem Netzwerk zu überwachen und zu verwalten.
Geschäftskontinuität und Krisenmanagement
Unternehmen müssen sicherstellen, dass ihr Betrieb auch im Falle einer erheblichen Störung weiterlaufen kann.
Implementieren Sie redundante Server oder Failover-Systeme, um sicherzustellen, dass Druckdienste während eines Vorfalls verfügbar bleiben. MyQ X ermöglicht die Implementierung von Failover-Maßnahmen mithilfe verschiedener Methoden.
MyQ unterstützt Windows Server Failover Clustering für hohe Verfügbarkeit und stellt sicher, dass Dienste im Falle eines Ausfalls automatisch auf einen Backup-Knoten übertragen werden.
Wenn die Verbindung zum MyQ-Server unterbrochen wird, ermöglicht die Fallback-Druckfunktion den Benutzern, den Druckvorgang über ein Backup-Gerät fortzusetzen. Der MyQ Desktop Client sendet Druckaufträge direkt an ein Backup-Gerät, wenn die Serververbindung unterbrochen ist. Dies garantiert, dass Druckvorgänge während Serverausfällen unterbrechungsfrei fortgesetzt werden können, was für die Aufrechterhaltung der Geschäftskontinuität entscheidend ist. Ebenso kann die bei ausgewählten Anbietern unterstützte Funktion „Device Spooling“ mit der Offline-Anmeldung für den Offline-Betrieb kombiniert werden und erhöht die Verfügbarkeit der Druckdienste zusätzlich.
Regelmäßige Datenbank-Backups und die Möglichkeit, MyQ-Daten wiederherzustellen, entsprechen den Anforderungen von NIS2 zur Gewährleistung der Datenverfügbarkeit und Ausfallsicherheit bei Cyberangriffen oder Systemausfällen. Datenbank- und Protokoll-Backups können mit MyQ X geplant und automatisch durchgeführt werden, einschließlich der Backups der SQL-Datenbank des Central Server.
Weiterlesen:
Zugriffsmodell mit geringsten Berechtigungen
Benutzern sollten nur die minimalen Zugriffsrechte oder Berechtigungen gewährt werden, die zur Ausführung der erforderlichen Vorgänge notwendig sind.
NIS2 fördert die Aufgabentrennung, um unbefugten Zugriff auf kritische Systeme zu verhindern.
Durch die Zuweisung spezifischer Rechte für den Zugriff auf System- und Benutzerverwaltung, Auftragsverwaltung, Berichterstellung oder Protokolle ist es möglich, bestimmten Benutzern Zugriff mit erweiterten Berechtigungen auf bestimmte Bereiche der MyQ-Umgebung zu gewähren, während die Zugriffsrechte anderer eingeschränkt werden. Ebenso können Rechte pro Standortserver zugewiesen werden, sodass Administratoren eines lokalen Standortservers keinen Zugriff mit erweiterten Berechtigungen an anderen Standorten und Niederlassungen der Organisation erhalten, wo dies nicht gewünscht ist.
Wenn der Administrator die gruppenbasierte Verwaltung von Benutzern (Sicherheitsgruppen) nutzt, kann er die Anzahl der Schritte zur Konfiguration von Zugriffsrechten reduzieren und gleichzeitig von der Benutzerbereitstellung und -entfernung profitieren. Lesen Sie mehr dazu weiter unten im Abschnitt „Benutzerbereitstellung und -entfernung“.
Detaillierte Zugriffsberechtigungen sollten in der gesamten Unternehmensinfrastruktur durchgesetzt werden, einschließlich aller Komponenten innerhalb des MyQ X-Ökosystems. Der Zugriff sollte ausschließlich auf Administratoren und autorisiertes Personal beschränkt sein, um sicherzustellen, dass nur Personen mit entsprechenden Berechtigungen diese Systeme verwalten und mit ihnen interagieren können. Dies umfasst physische Geräte, physische Server und deren Betriebssysteme (Windows Server), SQL-Server, Speicher und mehr.
Weiterlesen:
Reaktion auf Vorfälle und Überwachung
Legen Sie zur Bewältigung von Vorfällen Verfahren fest und üben Sie diese regelmäßig. Schränken Sie bei verdächtigen Aktivitäten den Benutzerzugriff ein oder sperren Sie ihn, um weiteren Schaden zu verhindern. Die ordnungsgemäße Umsetzung dieser Maßnahmen kann die Auswirkungen unerwarteter Ereignisse mindern.
Die Protokollierungs- und Überwachungsfunktionen von MyQ (MyQ Logs und MyQ Audit Log) können für die Reaktion auf Vorfälle und deren Nachverfolgung äußerst nützlich sein. Diese Protokolle helfen dabei, verdächtige Aktivitäten zu erkennen, zu untersuchen und darauf zu reagieren, was ein obligatorischer Aspekt von NIS2 ist.
Protokolle sollten regelmäßig überwacht und Benachrichtigungen für Vorfälle aktiviert werden, die das Unternehmen als kritisch einstuft. Zu diesem Zweck kann das in MyQ X integrierte Dienstprogramm „Log Notifier“ so konfiguriert werden, dass es Ereignisse in der MyQ-Umgebung überwacht und das zuständige Personal benachrichtigt, um sofortige Maßnahmen zu ergreifen. Laufende geplante Aufgaben (wie Benutzersynchronisierung, Druckererkennung und mehr) können ebenfalls Warnungen an vorab festgelegte Kontakte senden. Administratoren können MyQ X zudem so konfigurieren, dass automatische Warnmeldungen gesendet werden, wenn Druckaufträge fehlschlagen oder kritische Fehler auftreten.
Die Protokollverwaltung kann durch den Export und die Verarbeitung von Protokollen über das Windows-Ereignisprotokoll zentralisiert und bei Bedarf durch SIEM-Systeme weiterverarbeitet werden. Stellen Sie sicher, dass die Aufbewahrungsfristen für Verlaufs-, Protokoll- und Audit-Protokolle Ihren Anforderungen entsprechen. Dies wird unter „Einstellungen – Systemverwaltung“ konfiguriert.
Die Festlegung solider SLAs ist für Managed Services wie MyQ unerlässlich, insbesondere im Rahmen der NIS2-Vorschriften. Um schnelle Reaktionszeiten bei Vorfällen zu gewährleisten, sollten Unternehmen den Abschluss von Premium-Support-Angeboten in Betracht ziehen.
Weiterlesen:
Sichere Authentifizierung
Eine sichere Authentifizierung stellt sicher, dass nur autorisierte Benutzer auf Systeme zugreifen. Die Zwei-Faktor-Authentifizierung (2FA) verbessert dies, indem sie zwei Arten von Anmeldedaten erfordert, was die Sicherheit erheblich erhöht.
Passwort- und PIN-Anforderungen, die Zwei-Faktor-Authentifizierung auf den Embedded Terminals oder die Verwendung von „Anmelden mit Microsoft“ auf den Web-Schnittstellen oder Embedded Terminals (mit dem MyQ X Mobile Client) bieten Alternativen zur Sicherung des Zugriffs auf die MyQ X-Umgebung.
Der MyQ X Mobile Client kann so konfiguriert werden, dass eine biometrische Verifizierung erforderlich ist, wodurch die Sicherheit des MyQ X-Benutzerkontos weiter erhöht wird, da bei der Authentifizierung an Geräten ein zusätzlicher Faktor verlangt wird.
Die Implementierung von Mechanismen zur Sperrung von Benutzerkonten nach mehreren fehlgeschlagenen Anmeldeversuchen erhöht die Sicherheit und verringert das Risiko von Brute-Force-Angriffen.
Weiterlesen:
Benutzer-Provisioning und -Deprovisioning
Die Bereitstellung und Aufhebung der Bereitstellung stellen sicher, dass Benutzern sofort der Zugriff auf die MyQ-Umgebung verweigert wird, sobald sie aus dem Quellbenutzerverzeichnis entfernt werden.
MyQ unterstützt die automatische, zeitgesteuerte Benutzersynchronisierung mit externen Systemen wie LDAP, Microsoft Entra ID (ehemals Azure AD), Google Workspace und CSV-Dateien. Dadurch wird sichergestellt, dass neu hinzugefügte Benutzer automatisch und ohne manuelle Eingabe in die MyQ X-Umgebung importiert werden. Durch die regelmäßige Synchronisierung von Benutzerdaten hilft MyQ X dabei, eine aktuelle Liste von Benutzern mit korrekten Zugriffsrechten zu führen, wodurch das Risiko eines unbefugten Zugriffs verringert wird.
Die gruppenbasierte Verwaltung und die Verwendung von Sicherheitsgruppen im Quellbenutzerverzeichnis können dabei helfen, neu bereitgestellten oder entfernten Benutzern automatisch Zugriff auf Teile der MyQ X-Umgebung zuzuweisen oder diesen zu entziehen.
MyQ X bietet eine automatische Registrierungsfunktion, mit der sich Benutzer selbst registrieren können, indem sie Druckaufträge senden, eine ID-Karte durchziehen oder über die Weboberfläche ein Konto erstellen. Diese Funktion ist besonders nützlich für Umgebungen mit häufigen externen Benutzern, wie z. B. Gastmitarbeitern. Benutzern des Systems kann eine temporäre PIN zugewiesen werden, die nach einem festgelegten Zeitraum abläuft, wodurch sichergestellt wird, dass der Zugriff automatisch widerrufen wird, sobald der Benutzer keinen Zugriff mehr benötigt.
MyQ unterstützt die Anonymisierung von Benutzerdaten, um Datenschutzbestimmungen einzuhalten. Dieser Prozess entfernt unwiderruflich alle persönlichen Identifikatoren, wodurch Benutzerkonten sowohl unbrauchbar als auch nicht zurückverfolgbar werden, während Systemberichte und Audits weiterhin möglich sind, ohne die Privatsphäre zu beeinträchtigen.
Weiterlesen:
Sensibilisierung und Schulung
NIS2 betont die Notwendigkeit der Sensibilisierung und Schulung der Mitarbeiter in Bezug auf Cybersicherheitspraktiken.
Es wird empfohlen, Schulungen für IT-Mitarbeiter und Administratoren zur sicheren Verwaltung der MyQ X-Umgebung anzubieten, wobei der Schwerpunkt auf der NIS2-Konformität liegen sollte. Am besten wenden Sie sich bezüglich der Verwaltung des MyQ X-Ökosystems an Ihren Anbieter/Vertriebspartner. MyQ-Partner sind geschult, um Support von höchster Qualität zu bieten.
Darüber hinaus sollten Sensibilisierungsprogramme entwickelt werden, um Endbenutzern dabei zu helfen, Bedrohungen zu erkennen, und sie in der Nutzung des MyQ X-Ökosystems sowie in den Maßnahmen zu unterweisen, die im Falle von Sicherheits- und anderen Vorfällen zu ergreifen sind.
Sicherheits-Whitepaper und sichere Bereitstellung
Um mehr darüber zu erfahren, wie Sie mit MyQ X die besten Sicherheitsstandards erreichen, lesen Sie den Rest dieses Leitfadens, der sich mit der Sicherheit von MyQ X befasst.
Aktualisiert am 16.9.2024