Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Ob Ihr Unternehmen darunter fällt und welche Maßnahmen dies mit sich bringt, erfahren Sie hier.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Für wen gilt NIS 2?

Sie gilt für Unternehmen in wesentlichen und wichtigen Sektoren mit mindestens 50 Mitarbeitenden und einem Jahresumsatz größer zehn Millionen Euro.

Zu solchen kritischen Sektoren (KRITIS) gehören in Deutschland traditionell laut BSI:

• Energie
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit
• Medien und Kultur
• Wasser
• Ernährung
• Finanz- und Versicherungswesen
• Siedlungsabfallentsorgung
• Staat und Verwaltung

NIS-2 geht in der Europäischen Union noch einen Schritt weiter und definiert elf betroffene wesentliche (Essential) und sieben wichtige (Important) Sektoren: Diese sind den deutschen KRITIS-Sektoren ähnlich:

Wesentlich/Essential:

• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• ICT Service Management im B2B
• Öffentliche Verwaltung
• Weltraum

Wichtig/Important:

• Post und Kurier
• Abfall
• Chemikalien
• Lebensmittel
• Industrie (Herstellung) aus den folgenden Kategorien: Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau)
• Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke)
• Forschung

Alle angesprochenen Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Stand der Technik zu ermitteln und sodann umzusetzen, um relevanten Gefahren zu begegnen. Relevant sind nicht nur Cyber-Gefahren, sondern auch andere, wie beispielsweise Umweltgefahren (Feuer, Wasser) oder direkte physische Einwirkung durch Menschen.

Achtung: Die Verhältnismäßigkeit orientiert sich an den möglichen Auswirkungen, nicht an den Kosten für Schutzmaßnahmen!

Es wird ausdrücklich klargestellt, dass die Gesamtverantwortung auch für die Cybersicherheit und die Prävention von Sicherheitsvorfällen beim obersten Management liegt.

Welche zusammengefassten IT-Maßnahmen müssen NIS 2 betroffene Unternehmen in Deutschland etablieren?

1. Risikomanagement: Unternehmen sollten ein umfassendes Risikomanagement-System etablieren, um potenzielle Bedrohungen und Schwachstellen zu identifizieren, zu bewerten und zu behandeln. Dazu gehören regelmäßige Risikoanalysen, Vulnerability Scans und Penetrationstests.
   
   
2. Konzepte hinsichtlich der Analyse von Risiken.
   Prozess zur Bewertung der Wirksamkeit von Maßnahmen.
   Prozess zur Bewältigung von Sicherheitsvorfällen (Incident Response Management).
   Prozess zur Aufrechterhaltung des Betriebs (Business Continuity) und zum Krisenmanagement.
   Implementierung von Sicherheitsmaßnahmen bereits beim Einkauf bzw. der Entwicklung und Wartung von Netzwerk- oder Informationssystemen.
   Sicherheit der Lieferkette.
   Asset Management.
   Personalsicherheit.
   Kryptographie.
   
   
3. Kommunikation und Notfallkommunikation
   
   
4. Incident Response: Es sollte ein Verfahren zur Erkennung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls eingerichtet werden. Unternehmen sollten einen Notfallplan erstellen, der klare Prozesse und Verantwortlichkeiten für den Umgang mit Sicherheitsvorfällen definiert. Dieser Plan sollte Aktivitäten wie die Erkennung, Analyse, Reaktion und Wiederherstellung von Sicherheitsvorfällen abdecken.
   
   
5. Implementierung von Sicherheitsmaßnahmen: Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Dazu gehören beispielsweise Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), Verschlüsselungstechnologien, regelmäßige Updates und Patches für Software und Betriebssysteme sowie starke Authentifizierungsmethoden.
   
   
6. Zugangs- und Identitätsmanagement: Unternehmen sollten strikte Zugangsrichtlinien und Mechanismen zur Überprüfung von Identitäten implementieren, um unbefugten Zugriff auf ihre Systeme zu verhindern.
   
   
7. Netzwerksicherheit: Es sollten geeignete Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS) und andere Sicherheitsmaßnahmen implementiert werden, um das Netzwerk vor Angriffen zu schützen.
   
   
8. Datensicherheit: Unternehmen sollten sicherstellen, dass personenbezogene Daten und andere kritische Informationen angemessen geschützt sind, z.B. durch Verschlüsselungstechnologien und Zugriffskontrollen.
   
   
9. Sicherheitsbewusstsein: Mitarbeiter sollten regelmäßig über Sicherheitsbest Practices geschult werden, um sich der Bedeutung von Cybersecurity bewusst zu sein und sicherheitsrelevante Verhaltensweisen zu erlernen.
   
   
10. Audit und Compliance: Unternehmen sollten interne Kontrollen und Audits durchführen, um sicherzustellen, dass ihre IT-Sicherheitsmaßnahmen den geltenden Vorschriften
    
    
11. Zusammenarbeit mit Behörden: Unternehmen sollten eng mit nationalen Behörden zusammenarbeiten und Informationen über Sicherheitsvorfälle teilen, um eine effektive Reaktion auf Cyberbedrohungen zu gewährleisten.
    
    
12. Regelmäßige Updates aller Systeme
    
    
13. Meldung von Sicherheitsvorfällen: Im Falle eines Sicherheitsvorfalls müssen betroffene Unternehmen diesen an die zuständigen nationalen Behörden melden.
    a. Innerhalb von 24 Stunden hat die Erstmeldung zu erfolgen.
    b. Diese ist innerhalb von 72 Stunden zu aktualisieren.
    c. Eine Abschlussmeldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgt innerhalb eines Monats.

Welche Datenschutzmaßnahmen müssen NIS 2 betroffene Unternehmen in Deutschland etablieren?

1. Implementierung eines Informationssicherheits-Managementsystems (ISMS): Dieses System stellt sicher, dass angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten umgesetzt werden.
   
   
2. Risikobewertung und -management: Es ist wichtig, regelmäßig Risikobewertungen durchzuführen, um potenzielle Bedrohungen für personenbezogene Daten zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen.
   
   
3. Zugangskontrolle: Es sollten klare Richtlinien und Verfahren für den Zugriff auf personenbezogene Daten festgelegt werden. Nur autorisierte Personen sollten Zugang haben, und es sollten Mechanismen wie Passwörter, Zwei-Faktor-Authentifizierung und Berechtigungsebenen implementiert werden.
   
   
4. Verschlüsselung: Sensible personenbezogene Daten sollten verschlüsselt werden, um sicherzustellen, dass sie bei Übertragung oder Speicherung geschützt sind.
   
   
5. Datensicherung und Wiederherstellung: Regelmäßige Backups von personenbezogenen Daten sollten durchgeführt werden, um sicherzustellen, dass sie im Falle eines Datenverlusts oder einer Beschädigung wiederhergestellt werden können.
   
   
6. Schulung und Sensibilisierung der Mitarbeiter: Alle Mitarbeiter sollten über die Datenschutzrichtlinien informiert sein und geschult werden, um sich bewusst zu sein, wie sie personenbezogene Daten sicher behandeln und schützen können.
   
   
7. Datenschutz-Folgenabschätzung (DSFA) niederschreiben

Was passiert wenn eine Richtlinie nicht umgesetzt wird?

Werden EU-Rechtsvorschriften auf nationaler Ebene nicht ordnungsgemäß umgesetzt, kann die Kommission ein Vertragsverletzungsverfahren gegen das betreffende Land einleiten. Führt dies nicht zum gewünschten Ergebnis, kann sie den Europäischen Gerichtshof mit dem Fall befassen. Es drohen hohe Bußgelder bis hin zum Entziehen der Betriebserlaubnis.

Umzusetzende Maßnahmen bis zum 17.10.2024 fällig: https://eur-lex.europa.eu/eli/dir/2022/2555/oj 

Liebe Kunden,

Liebe 3CX Benutzer,

in den E-Mails vom 30.04.2023 haben wir Sie bereits über eine aufgetretene Sicherheitslücke im 3CX-Telefonieclient für Windows und Mac informiert.

Die Sicherheitslücke besteht bei den Clientversionen 18.12.407 & 18.12.416, 18.11.1213, 18.12.402, 18.12.407 & 18.12.416.

Über diesen Blog erfahren Sie zeitnah aktuelle Informationen sowie erforderliche Maßnahmen!

Was ist vorgefallen?

Am 30.03.2023 fand ein gezielter Angriff über die 3CX Kommunikationssoftware statt. Die Angreifer haben über den installieren Telefonieclient welcher auf den PCs und Notebooks mit Windows Betriebssystem sowie Mac-Betriebssystem installiert ist, Schadcode einschleusen können, welche daraufhin weitere schädliche Software herunterladen konnte.

​Was ist genau betroffen?

Die 3CX Telefonanlage besteht aus mehreren Komponenten. Wir möchten Ihnen ein Einblick geben, damit es für Sie klarer wird welche Softwarekomponenten betroffen sind. Hardware (IP-Telefone) sind nicht betroffen und können weiter verwendet werden.

• 3CX Phone System - Dies ist das Herzstück Ihrer Anlage. Diese ist entweder auf einem Server in Ihrem Unternehmen installiert oder in der Cloud. Hier findet die gesamte Verwaltung der Benutzer, Rechte, Warteschleifen, etc. statt. Ebenso ist hier Ihr Telefonieprovider (Peoplefone, Telekom, Easybell, Vodafone, etc.) angebunden.
  Die Kernsoftware (Ihre Telefonanlage) ist NICHT betroffen.

Angebunden am 3CX Phone System sind eine Reihe von Softwareclients, über die Sie telefonieren und eine Verbindung zum 3CX Phone System herstellen. Diese Clients sind:

• 3CX App auf Ihrem Smartphone (Android oder iOS)
  Diese App ist NICHT betroffen. Sie können diese weiterhin nutzen!
• 3CX Windows oder Mac Client in der Version 16.3.0.264. Dies ist ein älterer Client mit TAPI-Funktion.
  Diese Software ist NICHT betroffen. Sie können diese weiterhin nutzen!
  
• 3CX Webclient. Telefonie direkt über Ihren Webbrowser
  
• Diese Software ist NICHT betroffen. Sie können diese weiterhin nutzen!
• 3CX PWA Plugin. Gleiches wie der Webclient. Nur das zusätzlich ein Plugin installiert wird, welches erlaubt die Telefoniesoftware auch dann zu verwenden wenn der Webbrowser geschlossen ist.
  Diese Software ist NICHT betroffen. Sie können diese weiterhin nutzen!
  
• 3CX Desktop Client für Windows und Mac in den Versionen 18.12.407 & 18.12.416, 18.11.1213, 18.12.402, 18.12.407 & 18.12.416.
  Diese Software ist betroffen! Verwenden Sie diese Software nicht und deinstallieren Sie den Client!

Warum gibt es so viele verschiedene Clients für Windows und Mac?

Das Unternehmen 3CX entwickelt seine Software stetig weiter um den Kunden neue Funktionen und Schnittstellen zu anderer Software (z.B. ERP-Software, Microsoft Office 365, etc.) zu ermöglichen. Aufgrund von verschiedenen Kundenwünschen haben sich über die Jahre hinweg unterschiedliche Client entwickelt welche genutzt werden können.

Unsere generelle Empfehlung

Halten Sie das Betriebssystem sowie die Software auf Ihren PCs, Notebooks und Server immer auf dem aktuellen stand.Verwenden Sie einen sehr guten Virenscanner.

Wir bieten ein Full-Managed-Service an für Patchmanagement und Antivirus für 8,60 € pro Gerät/Monat. Sprechen Sie uns an. Ihre Geräte werden immer auf dem aktuellen gehalten und überwacht. Sie müssen sich um nichts mehr kümmern. Sprechen Sie uns an.

Erste Maßnahmen von 3CX erfolgt

3CX hat bereits am 30.03.2023 umgehend reagiert und innerhalb von 24 Stunden ein Update in der Version 18.12.422 für den Desktop Client veröffentlicht. Wir unsere Kunden über dieses Update informiert und um schnellstmögliche Installation gebeten bzw. die Installationen selbst durchgeführt. 

Wir empfehlen aktuell jedoch diesen Client zu deinstallieren. Verwenden Sie stattdessen den Webclient. 3CX wird in den kommenden Tagen ein neuen Desktop Client anbieten welcher komplett neu Entwickelt wurde. Als weitere Maßnahme hat 3CX das Unternehmen Mandiant beauftragt den Vorfall zu untersuchen.

Es kann durchaus sein, dass Ihr Virenscanner bereits am 30.03.2023 den Angriff erkannt und geblockt hat.

​Was soll ich jetzt tun?

1. Deinstallieren Sie die betroffene Clientsoftware auf den PCs.
2. Loggen Sie sich in die Admin-Console Ihrere Telefonanlage ein.
   Navigieren Sie zum Menüpunkt "Telefone". Hier bekommen Sie einen Überblick über alle angebundenen Softwareclients und IP-Telefone sowie dessen Softwareversion.
   Prüfen Sie ob sich hier noch Clients mit der betroffenen Software verbinden und deinstallieren Sie diese auf Ihren Geräten.
   
   Gerne unterstützen wir Sie als Partner dabei. Rufen Sie uns einfach an oder schreiben Sie uns eine E-Mail.
3. Führen Sie mit Ihrem Virenschutzprogramm ein Scan auf Ihren PCs durch.
4. Verwenden Sie den Webclient, das IP-Telefon oder die Smartphone-App um zu telefonieren.
   

Wie geht es weiter?

Wir Informieren Sie über diesen Blog über alle weiteren Schritte und Ereignisse.

Aufgrund der aktuellen Sicherheitslücke hat 3CX bereits beschlossen alle 3CX-Lizenzen der Kunden um 3 Monate kostenlos zu verlängern.

Schon lange bieten wir unseren Kunden die Produkte Managed Patchmanagement sowie Managed Antivirus zusammen für 8,60 € im Monat pro Gerät an.

Damit halten wir Ihre System immer auf dem aktuellsten Softwarestand (Betriebssystem und Software) und Sie erhalten zudem noch ein Antivirenschutz. Der Service beinhaltet auch ein komplettes Monitoring des Gerätes. Für mehr Infos, kommen Sie gerne auf uns zu.

Stand 06.04.2023 hat 3CX folgende neue Informationen veröffentlicht:

• Die 3CX Desktop Electron App mit der Version 18.12.425 wurde mit neuem Zertifikat fertiggestellt. Die App wurde durch das Sicherheitsunternehmen Mandiant überprüft und es wurden keinerlei Hinweise auf Kompromittierung gefunden. Die Version soll den Kunden heute zur Verfügung gestellt werden.
• 3CX arbeitet an einem Anlagenupdate in der Update-Version 7a. Dieses soll kommende Woche veröffentlicht werden. Dieses Beinhaltet:
  • Passwort hashing
  • BLF Panel für den Webclient Dialer
  • Verbesserte Installation des Webclients
    
• Des weiteren will 3CX den Vorfall nutzen, um Richtlinien, Praktiken und Technologien zum Schutz vor zukünftigen Angriffen zu stärken.

Mit dem Update von Version 18 auf Version 20 hat 3CX ein großen Schritt gemacht. Denn mit V20 handelt es nicht nicht einfach nur um Fehlerbehebungen und Funktionsupdates.
Der Hersteller hat mit Version 20 die Anlage von Grund auf neu programmiert. Grund hierfür ist insbesondere die IT-Sicherheit welche weiter erhöht werden soll, aber natürlich auch die Erweiterung von vielen Funktionen welche mit Version 18 eingeschränkt oder nicht möglich waren. Zum Beispiel die Anbindung von KI.

3CX verzichtet seit dem Sicherheitsvorfall 2023 auf Telefonieclients welche auf Windows mittels .MSI oder .exe installiert werden und setzt auf den Webclient bzw. auf den neuen 3CX Client aus dem Microsoft Store.

Kunden haben bis Juli 2024 Zeit ihre 3CX Anlagen auf Version 20 upzudaten. Gründe hierfür sind folgende:

- Der Hersteller möchte die Funktionen der Version 20 schnellstmöglich ausbauen und keine Ressourcen für Support und Entwicklung in Version 18 stecken.

- Version 18 wird nicht mehr weiterentwickelt. Auch Sicherheitsupdates werden nicht mehr zur Verfügung gestellt. Kunden welche nicht Updaten können Sicherheitsrisiken ausgesetzt sein.

- Version 18 bekommt keine SSL Zertifikate seitens 3CX mehr. Die Anlage ist somit von extern über die Apps nicht mehr anbindbar.

- Die Smartphone Apps werden nur noch für Version 20 weiterentwickelt. Bei Anbindung an Version 18, können diese nicht mehr unterstützt werden.

​

Mit Update 1 setzt 3CX für die Version 20 die Telefonanlage auf einen brauchbaren Stand. Brauchbar heißt aus unserer Sicht, dass Kunden von Version 18 nun ohne Probleme auf Version 20 updaten können ohne mit fehlenden Funktionen rechnen zu müssen. Denn vor Update 1 haben Beispielsweise noch folgende Funktionen gefehlt, welche nun implementiert sind:

- Hotdesking

- Anzeige "aktiver Anrufe"

- Fax-to-Mail

- SRTP je Nebenstelle

- TLS für "Generic SIP Trunks"

- Präsenzunterstützung von "gebridgten Anlagen"

- Rückeinführung von "Ausnahmen" (Nebenstelle)

- Support von Pipedrive CRM

- Sicherung vom "Auditprotokoll"

- Verbesserungen bei den "Supportinformationen"

Auch der neue 3CX Client wurde weiterentwickelt. Hier fehlt nur noch die Unterstützung zum Abheben und Auflegen von Anrufen mittels Yealink Headsets. Die Gesprächsqualität beim neuen Client ist exzellent. 

Nachfolgend einige Infos zu dem kommenden Updates für die 3CX Version 20 (V20).

Geplante Funktionen in Update 2:

- Videokonferenzen sollen direkt auf der eigenen 3CX Anlage gehostet werden können (Onboard-MCU)

- Implementierung des Aktivitätsprotokolls

- Überprüfung von Mandiant der gesamten Anlage

- HUAWEI Smartphone Unterstützung

Geplante Funktionen in Update 3:

- Berichte und AI (KI)

Erstellung von Berichten / Dashboards in Grafana, PowerBI

- Speicherung Gesprächsstruktur (KI)

- Gesprächszusammenfassung mittels AI (KI)

- Gefühls-/Stimmungsanalyse (KI)

Generelles:

- iOS App Carplay support

- Android 15 Kompatibilität

- Konfiguration von Notrufnummern

- Archivierung von Sprachnachrichten &  Chats

Windows Clients:

- Videounterstützung

- Konferenz Planung innerhalb des Clients

- Chat

- Yealink Headset Integration

- DATEV Integration

Geplante Funktionen in Update 4:

- MS-Teams Integration

Entfernung SIP-Forking

Baut auf der derzeitigen Direct-Routing auf

Nebenstellen können entweder 3CX oder Teams einsetzen

Plattformübergreifende Status Synchronisation -> Teams - 3CX

- Outbound Routes / Weitere Eigenschaften

Nutzer kann ausgehende Route aus Apps auswählen.

Nutzung verschiedener Caller-IDs -> Unterschiedlicher SIP-Trunks

Abteilungs-Telefonbuch

Sperrlisten für Abteilungen

Individuelle Gestaltung der Firmware

Fähigkeit bei Agenten "anzuklopfen", auch wenn sie bereits belegt sind.

- Sicherheit

Sperrung von Registrierungen je nach Standort

Sperrung von User-Agents

Liste der aktiven Clients/Verbindungen

- API Schnittstellen

Client-seitige API

CallControll-API

Konfiguration API