ISMS, NIS2 & MITRE ATT&CK
Informationssicherheits-Managementsysteme, EU-Cybersecurity-Richtlinien und das weltweit führende Bedrohungs-Framework. Erfahren Sie, wie ISMS, NIS2 und MITRE ATT&CK Ihre Sicherheitsstrategie stärken.
Was ist ein ISMS?
Ein Information Security Management System (ISMS) ist ein systematischer Ansatz zum Management sensibler Unternehmensinformationen, der Menschen, Prozesse und IT-Systeme umfasst. Das weltweit anerkannte Framework für ISMS ist die ISO/IEC 27001. Sie definiert Anforderungen für die Etablierung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS.
Der Kern des ISMS ist der PDCA-Zyklus (Plan-Do-Check-Act):
- Plan: Risikoanalyse, Sicherheitsrichtlinien, Ziele und Massnahmenplanung.
- Do: Implementierung der geplanten Massnahmen, Schulungen, Awareness.
- Check: Überwachung, Messung, interne Audits, Management-Review.
- Act: Korrekturmassnahmen, kontinuierliche Verbesserung, Anpassung an neue Bedrohungen.
Ein Penetrationstest spielt in der «Check»-Phase eine zentrale Rolle: Er liefert objektive, unabhängige Beweise für die Wirksamkeit der implementierten technischen Kontrollen.
ISO 27002: Die praktische Umsetzungshilfe
Während die ISO 27001 die «Was» definiert (Anforderungen an ein ISMS), beschreibt die ISO 27002 das «Wie» (Implementierungsleitlinien für Sicherheitsmassnahmen). Die aktuelle Version 2022 strukturiert 93 Controls in vier Kategorien:
- Organizational Controls (A.5-A.7): Richtlinien, Rollen, Risikomanagement, Lieferantenmanagement.
- People Controls (A.8): Screening, Schulungen, Disziplinarverfahren, Vertraulichkeitsvereinbarungen.
- Physical Controls (A.9): Zutrittskontrolle, Equipment-Sicherheit, Storage, Versand.
- Technological Controls (A.10): Kryptographie, Systemhärtung, Entwicklungssicherheit, Logging, Netzwerksicherheit.
Ein professioneller Pentest prüft primär die «Technological Controls» – aber auch organisatorische und physische Aspekte können Gegenstand eines umfassenden Security Assessments sein.
NIS2: Die EU-Cybersecurity-Richtlinie
Die Richtlinie (EU) 2022/2555, bekannt als NIS2 (Network and Information Security Directive 2), ist die überarbeitete EU-Richtlinie für die Cybersicherheit in Netz- und Informationssystemen. Sie trat im Januar 2023 in Kraft und muss von allen Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.
NIS2 erweitert den Geltungsbereich erheblich gegenüber der Vorgänger-Richtlinie NIS1 und gilt für:
- Wichtige Einrichtungen: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digital-Infrastruktur, Weltraum.
- Wichtige Unternehmen: Öffentliche Verwaltung, Raumfahrt, Herstellung chemischer Produkte, Lebensmittel, Medizinprodukte, Elektronik, Maschinenbau, Abfallmanagement, Post, Dienstleister für öffentliche Verwaltung, Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke).
Die Schweiz ist nicht direkt von NIS2 betroffen, aber schweizerische Unternehmen, die in der EU tätig sind oder EU-Kunden bedienen, müssen die Anforderungen erfüllen. Zudem hat der Schweizer Bundesrat mit der Vernehmlassung zur Revision des FMG (Fernmeldegesetz) und dem NCSC-Rahmen ähnliche Regelungen angekündigt.
NIS2: Die wichtigsten Anforderungen
| Anforderung | Beschreibung |
|---|---|
| Risikomanagement | Einrichtung eines umfassenden Risikomanagements für Cybersecurity (Art. 21). |
| Management-Verantwortung | Die Geschäftsleitung (C-Level) haftet persönlich für NIS2-Verstösse. Security muss «Top-Down» gelebt werden. |
| Incident Reporting | Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24h an die zuständige Behörde (CSIRT), Follow-up-Bericht innerhalb von 72h (Art. 23). |
| Supply-Chain-Sicherheit | Sicherheitsanforderungen an Lieferanten und Dienstleister müssen vertraglich festgelegt und überprüft werden. |
| Kryptographie & Multi-Faktor-Authentifizierung | Einsatz moderner Verschlüsselung und MFA für administrative Zugriffe ist vorgeschrieben. |
| Business Continuity | Notfallpläne, Backup-Strategien, Disaster-Recovery-Tests und Krisenkommunikation. |
Die Strafen bei Nicht-Einhaltung sind massiv: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Für die Schweiz ist dies ein wichtiger Weckruf: Auch wenn NIS2 nicht direkt gilt, setzt sie den internationalen Standard für Cybersecurity-Compliance.
MITRE ATT&CK: Das weltweite Bedrohungs-Framework
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein weltweit anerkanntes, öffentlich zugängliches Wissens-Framework, das die Taktiken und Techniken realer Cyber-Angreifer systematisch dokumentiert. Es wird von MITRE Corporation, einer US-amerikanischen Non-Profit-Organisation, gepflegt und kontinuierlich aktualisiert.
ATT&CK ist kein theoretisches Modell – es basiert auf der Analyse von milliarden echter Cyberangriffe, Threat Intelligence-Berichten, Malware-Analysen und APT-Kampagnen. Es deckt alle Phasen eines Angriffs ab, von der initialen Kompromittierung bis zur Datenexfiltration.
Das Framework ist in drei Matrizen gegliedert:
- Enterprise: Windows, macOS, Linux, Cloud (AWS, Azure, GCP), Netzwerk, Container.
- Mobile: iOS und Android.
- ICS (Industrial Control Systems): SCADA, PLCs, Energieversorgung, kritische Infrastruktur.
ATT&CK-Struktur: Taktiken, Techniken & Sub-Techniken
Die MITRE ATT&CK-Matrix ist hierarchisch aufgebaut:
- Taktiken (Tactics): Die «Warum»-Ebene – das strategische Ziel des Angreifers. Beispiele: Initial Access (TA0001), Execution (TA0002), Persistence (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Credential Access (TA0006), Discovery (TA0007), Lateral Movement (TA0008), Collection (TA0009), Exfiltration (TA0010), Impact (TA0040).
- Techniken (Techniques): Die «Wie»-Ebene – die konkrete Methode, mit der eine Taktik umgesetzt wird. Es gibt über 200 Techniken. Beispiel: «Phishing» (T1566) unter «Initial Access».
- Sub-Techniken (Sub-techniques): Feingranulare Varianten einer Technik. Beispiel: «Spearphishing Attachment» (T1566.001), «Spearphishing Link» (T1566.002), «Spearphishing via Service» (T1566.003).
Jeder Eintrag in ATT&CK enthält: eine eindeutige ID (z.B. T1566.001), eine Beschreibung, Beispiele realer APT-Gruppen, die diese Technik verwenden, Gegenmassnahmen (Mitigations), Detection-Methoden und relevante Datensammlungen.
MITRE ATT&CK in der Praxis: Wie Pentester es nutzen
Ein professioneller Pentester verwendet MITRE ATT&CK als Blaupause für realistische Angriffsszenarien. Statt willkürlich zu testen, orientiert sich der Pentest an den Taktiken und Techniken, die echte Angreifer tatsächlich einsetzen. Das erhöht die Realitätsnähe und den Wert des Tests enorm.
Die Verknüpfung von Pentest und MITRE ATT&CK funktioniert so:
- Threat Modeling: Welche ATT&CK-Taktiken sind für das Zielunternehmen relevant? (z.B. «Phishing» für ein Unternehmen mit vielen Mitarbeitern, «Supply Chain Compromise» für Software-Hersteller.)
- Pentest-Planung: Der Pentest deckt gezielt die identifizierten Techniken ab. Statt 100% aller Techniken zu testen (unmöglich), konzentriert man sich auf die für das Unternehmen wahrscheinlichsten.
- Reporting: Findings werden mit ATT&CK-IDs referenziert (z.B. «Cross-Site Scripting (XSS) – T1189»). Dies ermöglicht es dem Kunden, die Ergebnisse in SIEM, EDR und Threat-Intelligence-Plattformen zu korrelieren.
- Defense-Validation: Nach dem Pentest prüft das Blue Team, ob die Security-Tools die getesteten Techniken erkannt hätten (Purple Teaming).
MITRE selbst empfiehlt: «Use ATT&CK to assess your defensive coverage against real-world adversaries and prioritize security improvements.»
NIS2, ISMS & MITRE ATT&CK: Der ideale Dreiklang
Diese drei Frameworks ergänzen sich perfekt:
| Framework | Funktion | Wer nutzt es |
|---|---|---|
| ISMS (ISO 27001) | Strukturiertes Management von Informationssicherheit über Prozesse und Governance. | CISO, IT-Leitung, Compliance-Officer |
| NIS2 | Regulatorischer Rahmen mit konkreten Pflichten und Meldeanforderungen für kritische Infrastruktur. | Geschäftsführung, Rechtsabteilung, CISO |
| MITRE ATT&CK | Taxonomie realer Angriffstechniken für Threat Intelligence, Defense-Validation und Pentests. | SOC, Blue Team, Red Team, Pentester |
Die Verknüpfung: Ein ISMS (ISO 27001) liefert den prozessualen Rahmen. NIS2 fügt regulatorische Pflichten und Meldeanforderungen hinzu. MITRE ATT&CK gibt dem technischen Team die konkrete Sprache und Taxonomie, um Bedrohungen zu verstehen und gegen sie zu testen.
Ein standardisierter Pentest, der MITRE ATT&CK als Referenzrahmen nutzt, liefert gleichzeitig ISMS-relevante Audit-Nachweise und NIS2-konforme Risikoanalysen.
FAQ: ISMS, NIS2 & MITRE ATT&CK
Ist MITRE ATT&CK nur für grosse Unternehmen relevant?
Nein. Auch KMUs profitieren, weil ATT&CK die Testpriorisierung fokussiert. Statt alle 200+ Techniken zu prüfen, konzentriert man sich auf die 10-20, die für das eigene Unternehmen wahrscheinlich sind.
Muss ich NIS2 umsetzen, wenn ich in der Schweiz bin?
Nicht direkt, aber indirekt: Wenn Sie EU-Kunden haben, Tochtergesellschaften in der EU betreiben oder als Lieferant für EU-kritische Infrastruktur fungieren, können Sie vertraglich zur NIS2-Compliance verpflichtet werden. Zudem arbeitet die Schweiz an ähnlichen Regelungen (FMG-Revision).
Wie oft sollte ein ISMS-Pentest wiederholt werden?
Mindestens jährlich oder nach signifikanten Änderungen (Neue Systeme, Releases, Cloud-Migrationen). Für NIS2-relevante Unternehmen empfiehlt sich ein halbjährlicher Zyklus mit zusätzlichen Ad-Hoc-Tests nach Sicherheitsvorfällen.
Kann ein Pentest MITRE-ATT&CK-Techniken simulieren?
Ja, ein professioneller Red-Team-Pentest oder eine Adversarial Simulation nutzt gezielt ATT&CK-Techniken – von Phishing (T1566) über Lateral Movement (T1021) bis zur Datenexfiltration (T1041).
ISMS-, NIS2- und ATT&CK-konforme Pentests
Ich führe Penetrationstests durch, die gezielt Ihr ISMS stärken, NIS2-Anforderungen erfüllen und mit MITRE ATT&CK korrelierbare Ergebnisse liefern.