Schutz kritischer Infrastrukturen – intensiv

Die NIS2-Richtlinie ist eine neue aktualisierte Version der Netz- und Informationssicherheitsrichtlinie (NIS) der Europäischen Union. Ihr Ziel ist es, die Cybersicherheit in allen Mitgliedsstaaten zu stärken. Unternehmen und Organisationen, die für die Aufrechterhaltung unseres Alltagslebens unverzichtbar sind, sollen sich noch besser als bislang vor den wachsenden Cyberangriffen schützen. Generell soll die Cyber-Infrastruktur in der EU dadurch sicherer und robuster werden. Die NIS2-Richtlinie wurde EU-weit im Oktober 2022 in Kraft gesetzt. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, um die Vorgaben der Richtlinie in der nationalen Gesetzgebung konkret umzusetzen. In Deutschland ist deshalb sowohl ein KRITIS-Dachgesetz als auch ein NIS-Umsetzungsgesetz in Arbeit. Beide Gesetze sollen noch vor Ablauf der Frist vom Bundestag verabschiedet werden. Nach Einschätzung der Plattform „OpenKRITIS“ werden bis zu 30.000 Unternehmen neu unter die KRITIS-Kriterien fallen.

Das Thema jetzt offensiv angehen

Unternehmen, die unter das neue NIS-Umsetzungsgesetz fallen könnten, sind gut beraten, sich bereits jetzt damit auseinanderzusetzen und im ersten Schritt abzuklären, ob sie wirklich von den neuen Regeln betroffen sind. Wenn das Gesetz voraussichtlich im Herbst 2024 im Bundestag verabschiedet wird, müssen sich die Unternehmen als Einrichtung registrieren und im Lauf der kommenden zwei Jahre die Pflichten aus dem Dachgesetz und dem NIS-Umsetzungsgesetz in ihrem Unternehmen implementieren. Wer dies nicht tut, soll laut NIS-Umsetzungsgesetz je nach Unternehmensgröße und -umsatz mit Sanktionen zwischen 100.000 und 7 Mio. Euro oder 1,4 Prozent des globalen Jahresumsatzes belegt werden können.

Dossier bietet Hintergrundinformationen zur ersten Orientierung

In unserem Dossier zum Thema „Schutz Kritischer Infrastrukturen“ erfahren Sie, warum wir unsere kritischen Infrastrukturen ganz besonders schützen müssen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses Thema einschätzt, welche Angriffsarten und Strategien hinter den Cyberangriffen auf die Einrichtungen Kritischer Infrastrukturen stecken und wie der KRITIS-Schutz in Deutschland grundsätzlich aufgebaut ist. Ein Technology Consultant eines großen Cybersecurity-Beratungshauses berichtet außerdem aus seiner Praxis. WL (19.07.2024)

Inhalt

Die Uniklinik in Frankfurt wurde 2023 Opfer eines Hackerangriffs
Die Uniklinik in Frankfurt wurde 2023 Opfer eines Hackerangriffs

Finanzstarke und leicht verwundbare Unternehmen im Fokus

Angriffe auf IT-Systeme von Unternehmen nehmen drastisch zu

Die Digitalisierung der Arbeitswelt schreitet weiter voran. Das ermöglicht Vernetzung, schnelle Datenübertragung und -analyse. Dadurch entsteht zusätzliche Wertschöpfung, aber die Unternehmen werden auch verletzlicher gegenüber Cyberangriffen auf ihre Websites und ihre Datenserver. Angesichts der Kriege in der Ukraine und im Gazastreifen werden deutsche Unternehmen und Institutionen nicht mehr nur aus wirtschaftlichen, sondern auch aus politischen Gründen angegriffen.

„Ihre Daten sind verschlüsselt“ – diese Hiobsbotschaft hatten 2023 laut „Bundeslagebild Cybercrime“ 800 Unternehmen und Institutionen auf dem Bildschirm. Die Dunkelziffer ist jedoch hoch, denn nicht alle Unternehmen melden sich beim LKA ihres Bundeslands. Bei der Verschlüsselung mit Ransomware sperren Kriminelle den Nutzern den Zugriff auf ihre eigenen Daten und verlangen für das Freischalten ein Lösegeld. Besonders häufig greifen Täter finanzstarke Unternehmen und öffentliche Einrichtungen an. Aber auch leicht verwundbare kleine und mittelständische Unternehmen stehen im Fokus der Cyberkriminellen. Durch Erpressung mit gestohlenen oder verschlüsselten Daten entstanden 2023 laut Branchenverband Bitkom Schäden in Höhe von 16,1 Milliarden Euro, was einem Anstieg von 50,5 Prozent entspricht. Weltweit werden bei jedem dieser Fälle im Durchschnitt 577.084 Euro Lösegeld gezahlt. BSI-Präsidentin Claudia Plattner appelliert deshalb an die Unternehmen, geeignete Abwehrmaßnahmen zu ergreifen: „Wir sind den Kriminellen nicht schutzlos ausgeliefert! Genauso, wie wir Fenster und Türen verschließen, wenn wir das Zuhause oder das Büro verlassen, können wir uns auch im Cyberraum schützen. Dazu müssen Unternehmen Cybersicherheit konsequent umsetzen.“

Kritische Infrastrukturen besonders gefährdet

Beliebte Opfer von Cyberangriffen sind Krankenhäuser, aber auch Städte und Gemeinden, da dort häufig das Geld für gute IT-Sicherheit knapp ist. In 72 Kommunen kam es im Oktober 2023 durch einen Angriff mit Ransomware dazu, dass auf die Dienstpläne von Rettungskräften nicht mehr zugegriffen werden konnte. Die Verfügbarkeit von Notffall- und Rettungsdiensten war damit nicht mehr sichergestellt. Die Zahl der Angriffe aus dem Ausland steigt seit ihrer Erfassung im Jahr 2020 kontinuierlich an – im Jahr 2023 um 28 Prozent gegenüber dem Vorjahr. Im Fokus der Täter stehen immer häufiger Verkehrsverbünde und Flughäfen. Sie gehören zum Kreis der „Kritischen Infrastrukturen“ (KRITIS). Darunter versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die Gründe für die Angriffe sind einerseits wirtschaftlicher Natur: Die Tätergruppen bereichern sich an den Lösegeldern für das Freischalten von IT-Systemen, die sie zuvor verschlüsselt haben. Andererseits sind Tätergruppen im staatlichen Auftrag tätig. Dabei geht es etwa um Wirtschaftsspionage oder auch um eine Bestrafung deutscher Institutionen für die Unterstützung der Ukraine oder Israels durch die Bundesregierung.

Ransomware verursacht Schäden in Millionenhöhe

Ransomware verursacht Schäden in Millionenhöhe

ryanking999 / stock.adobe.com

Cyberkriminalität kann bekämpft werden

Cybercrime kann erfolgreich bekämpft werden, wenn sich alle Akteure daran beteiligen: Unternehmen, IT-Sicherheitsfachleute sowie die nationalen und internationalen Sicherheitsdienste wie Interpol, das Bundeskriminalamt (BKA) sowie die Landeskriminalämter. So können neue Angriffsmethoden und -Ziele erfasst, Schutzmaßnahmen entwickelt sowie umgesetzt und die Täterguppen können verfolgt und gestellt werden, auch im Ausland. Dies hat im Frühjahr 2024 zum Beispiel der Fahndungserfolg bei der „Operation Endgame“ gezeigt, bei dem zahlreiche Schadsoftwarefamilien lahmgelegt werden konnten. BKA-Präsident Holger Münch: „Cybercrime ist eine wachsende internationale Bedrohung, der wir ganzheitlich und effektiv begegnen müssen. Die nationale und internationale Zusammenarbeit der verschiedenen Behörden ist dabei ein wichtiger Erfolgsfaktor, um Cybercrime zu bekämpfen und Gefahren abzuwehren.“

Der IT-Grundschutz des BSI

Der IT-Grundschutz des BSI

BSI

Ihr Weg zum effektiven Sicherheitskonzept

Folgende allgemeine Tipps sollten alle Beschäftigten befolgen:

  • Sichern Sie Ihr WLAN mindestens mit einer Verschlüsselung auf WPA2-Niveau
  • Setzen Sie lange und komplexe Passwörter ein
  • Halten Sie die Systeme und Apps mit regelmäßigen Updates aktuell
  • Vorsicht bei Spam-Mails und dubiosen Anrufen

Bei der Entwicklung von IT-Sicherheitskonzepten können Ihnen folgende Empfehlungen nützlich sein:

  • Lassen Sie sich von Experten bei der Entwicklung eines Sicherheitskonzeptes beraten.
  • Richten Sie die Stelle eines IT-Sicherheitsbeauftragten ein: Die Industrie- und Handelskammern bieten Zertifikatslehrgänge für Mitarbeiter an, die für die Erstellung eines IT-Sicherheitskonzeptes zuständig sind.
  • Setzen Sie auf den IT-Grundschutz des BSI: Der Grundschutz ist eine umfangreiche Sammlung schriftlicher Empfehlungen zu allen Aspekten der Datensicherheit. Er versteht sich als „fundiertes Werkzeug mit einer breiten, aktuellen und geprüften Expertise zu allen Facetten der Informationssicherheit“. Damit kann jedes Unternehmen erste Schritte zur Absicherung von Gebäuden, IT-Systemen und Datennetzen angehen, aber auch den Aufbau eines Managementsystems zur Informationssicherheit oder den Schutz von besonders sensiblen Informationen bewerkstelligen.
  • Lassen Sie ihre Abwehrmaßnahmen zertifizieren: Beim VdS können kleine und mittelständische Unternehmen ihre Sicherungsmaßnahmen zur Abwehr von Cyberangriffen prüfen und zertifizieren lassen: https://vds.de/kompetenzen/cyber-security

Im Schadensfall sollten Unternehmen sowohl die Polizei informieren als auch die Dienste eines Cybersecurity-Dienstleisters in Anspruch nehmen.

  • Zu Detektion der Tätergruppen ist es sinnvoll, die Zentralen Ansprechstellen Cybercrime der Landeskriminalämter von einem Sicherheitsvorfall zu informieren. Alle Kontaktdaten findet man hier: https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
  • Zur Behebung des Schadens sollte man die Fachkompetenz eines kommerziellen IT-Security-Dienstleisters in Anspruch nehmen, den man im besten Fall bereits bei der Erarbeitung und Implementierung eines Sicherheitskonzepts herangezogen hat. Sieben führende IT-Security-Unternehmen haben sich zum „Deutschen Incident Response Team“ mit einer gemeinsamen Service-Hotline für Notfälle zusammengeschlossen:  https://deutsches-incident-response-team.de/

WL (28.06.2024)

Krankenhäuser sind Angriffsziele von Hackern
Krankenhäuser sind Angriffsziele von Hackern

Angriffe nehmen massiv zu – Die Folgen sind fatal

Warum wir unsere kritischen Infrastrukturen schützen müssen

Die Cyberangriffe auf KRITIS-Einrichtungen stehen im Fokus der medialen Öffentlichkeit. Doch der Staat geht von einem sogenannten „All-Gefahren-Ansatz“ aus. Dazu gehören beispielsweise Naturkatastrophen wie Hochwasser oder auch terroristische Anschläge. Angesichts des Klimawandels und der zunehmenden weltpolitischen Spannungen macht dieser allgemeine Ansatz Sinn.

KRITIS-Einrichtungen werden dazu verpflichtet, Notfallszenarien durchzuspielen und geeignete Abwehrmaßnahmen vorzubereiten. Brandschutz und der Einbruchschutz sind hier typische Aktionsfelder. Die Bedeutung von Abwehrmaßnahmen gegen Cyberangriffe ist enorm gestiegen, denn die zunehmende Digitalisierung der Arbeitswelt führt zu Abhängigkeiten von Einrichtungen der kritischen Infrastruktur untereinander. Das erhöht das Ausfallrisiko. So ist beispielsweise ein Wasserversorger auch immer auf den Energieversorger angewiesen – denn er benötigt Strom, um das Wasser verteilen zu können. Wenn künftig intelligente Stromnetze, sogenannte Smart-Grids, verstärkt zum Einsatz kommen, wird die Stromversorgung noch stärker von einer funktionierenden IT-Infrastruktur abhängen. Auch für Krankenhäuser kann ein Cyberangriff schwere Auswirkungen haben: Wenn hier die gesamte Informationstechnologie ausfällt, kann der weitere Betrieb unter Umständen verhindert werden. Operationen können nicht durchgeführt werden, da wichtige Geräte über das Netzwerk betrieben werden. Personal- und Operationsplanungen stehen nicht mehr zur Verfügung. Patienten müssen in andere Kliniken verlegt werden. Rettungswagen können die betroffene Klinik nicht anfahren. Die Folgen können für den Einzelnen lebensbedrohlich sein.

Domino-Effekt befürchtet

Ein entwickeltes Land wie Deutschland ist in vielen Bereichen angreifbar. Kritische Infrastrukturen (KRITIS) finden sich in den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Abfallentsorgung, IT, Telekommunikation und Weltraum. Gute Beispiele dafür sind neben Krankenhäusern auch Flughäfen und Bahntrassen, Wasser- und Kraftwerke und Mobilfunknetze. Wenn sie nicht mehr funktionieren, bricht die laufende Versorgung der Bevölkerung in sich zusammen. Die Bürgerinnen und Bürger müssten sich in vielen Aspekten für einen unbestimmten Zeitraum ohne Smartphone, Strom und Wasser und ohne die Versorgung über Supermärkte zurechtfinden. Das würde das Funktionieren unserer Gesellschaft radikal in Frage stellen und die Mehrheit der Bevölkerung massiv überfordern. Nicht nur Demonstrationen, sondern auch Plünderungen und Selbstjustiz wären zu befürchten. Noch gab es in Deutschland keinen koordinierten großen Angriff auf die Kritischen Infrastrukturen, doch das ist möglicherweise gar nicht nötig, um einen großen Schaden auszulösen. Ein großflächiger Ausfall der Stromversorgung kann schnell zu Dominoeffekten führen und weitere überlebenswichtige Bereiche außer Betrieb setzen.

Erst seltsame Zeichen, dann verschwinden die Daten

Meist betreffen die Angriffe die internen Server und Datenbanken aber auch das Mobilfunknetz und den Austausch mobiler Daten via Internet. Bei den Angriffen wird arbeitsteilig vorgegangen. Es gibt Hacker, die die Sicherungssysteme von Institutionen und Betrieben überwinden, ohne einen konkreten Auftrag dafür zu haben. Diese sogenannten „Initial Access Broker“ handeln dann mit dem Zugang zu Angriffszielen. Die eigentlichen Angriffe werden schließlich von anderen Hackergruppen durchgeführt. Durch den Einsatz von KI-Instrumenten ist die Hacker-Industrie heute in der Lage, viel effizientere und häufigere Angriffe als in den Vorjahren durchzuführen. KI wird auch genutzt, um das Vertrauen der Opfer zu gewinnen. Dabei werden Identitäten, etwa eines Geschäftsführers, immer realistischer vorgetäuscht, um Mitarbeiter zu verleiten, einer fremden Person Zugriff auf das IT-System zu gewähren. Das wird meist dazu genutzt, Schadsoftware auf den Servern des Unternehmens zu platzieren. Infolge eines Hacker-Angriffs auf einen IT-Dienstleister im Oktober 2023 kam es zu Beeinträchtigungen bei 72 Kommunen, erläutert das Bundeslagebild Cybercrime 2023. So fiel unter anderem die Telefon- und E-Mail-Kommunikation aus, die Koordination von Rettungskräften wurde erschwert und es kam zu Verzögerungen bei den Fahrerlaubnisbehörden. Die Folgen eines Angriffs können die Beschäftigten mitunter live am Bildschirm mitverfolgen: „Wir fühlten uns in guten Händen, alles war wunderbar. Dachten wir. Und dann tauchten plötzlich komische Zeichen auf dem Bildschirm auf. Und danach verschwanden nach und nach unsere Daten“, beschreibt der Geschäftsführer eines ambulanten Pflegedienstes in Berlin gegenüber der ARD den Angriff auf sein Unternehmen: „Offensichtlich sind wir schon Tage oder Wochen vorher angegriffen worden. Mit einem sogenannten stillen Trojaner, der sich dann verbreitet hat und dann nach und nach die einzelnen Bereiche lahmgelegt hat.“

Im Bundesinnenministerium werden neue gesetzliche Schutzvorschriften erarbeitet

Im Bundesinnenministerium werden neue gesetzliche Schutzvorschriften erarbeitet

nmann77 / stock.adobe.com

Zwei neue Gesetze

Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern jederzeit sicherzustellen, arbeitet die Bundesregierung derzeit an strengeren gesetzlichen Schutzvorschriften für Einrichtungen der kritischen Infrastruktur. Das KRITIS-Dachgesetz wird die Resilienz und physische Sicherheit Kritischer Infrastrukturen verbessern. Es setzt die EU-Direktive „EU RCE“ in Deutschland durch zusätzliche Pflichten für Betreiber kritischer Anlagen um. Dabei geht es zum Beispiel um Alarmketten, um den Schutz von Anlagen gegen Starkregen oder Waldbrände, aber auch um die Anschaffung von Notstromaggregaten. Die Umsetzung der EU-Richtlinie NIS 2 in nationales Recht soll zudem dafür sorgen, dass sehr viel mehr Unternehmen als heute vor digitalen Gefahren geschützt werden. Um die Vorgaben der EU-Kommission zu erfüllen, sollen beide Gesetze im Oktober 2024 in Kraft treten. WL (12.07.2024)

Dr. Timm Langwald
Dr. Timm Langwald

Mit Dr. Timm Langwald (BSI), Referat Kritische Infrastrukturen – Grundsatz

Audiopodcast: NIS-2-Richtlinie: Mehr Schutz vor Cyberangriffen

Deutsche Unternehmen haben Defizite bei den Schutzmaßnahmen gegen Cyberangriffe. Seit 2019 sind Mindestanforderungen im IT-Sicherheitsgesetz festgelegt, dessen Einhaltung vom BSI beaufsichtigt wird. Kritische Infrastrukturen (KRITIS) müssen demnach besonders gut geschützt werden. Mit der Umsetzung der NIS-2-Richtiline der EU kommen neue Anforderungen auf viele Unternehmen zu. Wie können sich Unternehmen darauf vorbereiten?  Dr. Timm Langwald leitet das Referat „Kritische Infrastrukturen – Grundsatz“ im Bundesamt für Sicherheit in der Informationstechnik (BSI) und kennt sich deshalb beim Thema KRITIS und der geplanten Umsetzung der NIS-2-Richtlinie in Deutschland gut aus.

Hacker greifen die kritische Infrastruktur an
Hacker greifen die kritische Infrastruktur an

Motive, Vorgehensweisen, Bedrohungsszenarien

So wird unsere KRITIS-Infrastruktur angegriffen

Weltweit werden Einrichtungen kritischer Infrastrukturen (KRITIS) angegriffen, und zwar sowohl aus wirtschaftlichen als auch aus politischen Motiven. So hat die Hackergruppe APT44 hat im Frühjahr 2024 in zehn Regionen der Ukraine Unternehmen aus den Bereichen Energie-, Wasser- und Wärmeversorgung attackiert. Dieser Hackergruppe werden enge Verbindungen zum russischen Militärnachrichtendienst GRU nachgesagt. Auch in Deutschland nimmt die Zahl der Angriffe zu, beispielsweise auf Kliniken.

Angriffe aus Profitgier oder politischen Motiven

Die Hackergruppen haben entweder rein finanzielle Interessen oder sie werden staatlich gesteuert. Angaben des European Repository of Cyber Incidents (EuRepoC) zufolge war China zwischen den Jahren 2005 und 2023 das Land, das mit 240 Angriffen für die meisten Cyberangriffe weltweit verantwortlich war. An zweiter Stelle steht Russland mit 158 Attacken. Zu den Zielen der Angriffe aus China gehören zum einen staatliche Institutionen, zum anderen aber auch Firmen und Universitäten. Dabei geht es um Technologie- oder Wirtschaftsspionage. Aber auch Dissidenten oder Bürger aus Tibet werden ausspioniert. Seit 2022 bildet China seine Cyberarmee sogar auf einem eigenen Campus aus: Im 40 Quadratkilometer großen Nationalen Cybersecurity Center im zentralchinesischen Wuhan trainieren Pekings Hacker. Chinas Ziel ist es, den Wettlauf mit dem Westen um die technologische Vorherrschaft zu gewinnen. Die Attacken aus Russland gelten vor allem der Ukraine und den Staaten, die die Ukraine gegen den Angriff Russlands unterstützen. Durch die Cyberangriffe auf die kritische Infrastruktur in Deutschland soll ein Klima der Verunsicherung geschaffen werden, das zu einem Regierungswechsel führen soll, der russlandfreundliche Kräfte an die Macht bringt.

Für seine Cyberarmee hat China einen eigenen Campus

Für seine Cyberarmee hat China einen eigenen Campus

DesignzByLA / stock.adobe.com

Wie greifen die Täter konkret an?

Meist erfolgen solche Angriffe niedrigschwellig: Viele setzen auf „Social Engineering“ und schicken E-Mails mit angehängten Schadprogrammen an Beschäftigte oder bringen diese dazu, über Links in den Mails manipulierte Webseiten anzusteuern. Hier werden dann Zugangsdaten abgegriffen (Phishing) oder der Download von Schadprogrammen gestartet. Außerdem gibt es in der Standardsoftware, die weltweit von vielen Unternehmen genutzt wird, immer wieder Sicherheitslücken. Wenn diese nicht zeitnah geschlossen werden, können die Angreifer auch auf diesem Weg ins IT-System einer Einrichtung gelangen und dort einen eigenen Programmcode installieren, der ihnen eine vollständige Kontrolle über das IT-System erlaubt. Manche Unternehmen erhoffen sich ein höhere Ausfallsicherheit ihrer IT-Systeme, indem sie diese an externe professionelle Dienstleister übertragen. Doch auch das bietet keinen absoluten Schutz. So konnten Angreifer beispielsweise im Mai 2024 die Webseiten der Landesregierung und der Polizei von Mecklenburg-Vorpommern über eine DDos-Attacke kurzzeitig lahmlegen. Bei DDos-Attacken wird eine Website mit massenhaften Anfragen bombardiert, bis die Server überlastet sind. Die betroffenen Websites werden bei einem professionellen externen IT-Dienstleister gehostet. Eine weitere häufige Form von Attacken sind sogenannte Ransomware-Angriffe: Hier werden Daten verschlüsselt und alle Zugänge gesperrt, um Lösegeld zu erpressen. Hinter solchen Angriffen steckt zum Beispiel die Software LockBit einer russischsprachigen Hackergruppe mit gleichem Namen. Diese Gruppe ist seit 2019 aktiv und bietet anderen Cyberkriminellen ihre Schadsoftware als fertigen Werkzeugkasten an, um Ransomware-Angriffe durchzuführen. Die IT-Fachleute nennen das Ransomware-as-a-Service (RaaS). Die Lösegeldzahlungen werden dann zwischen dem LockBit-Entwicklerteam und den Kriminellen, die den Angriff durchführen, aufgeteilt. Im Mai 2024 gelang es dem BKA, die sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot abzuschalten, die als sogenannte „Dropper“ mit mindestens 15 Ransomware-Gruppierungen in Verbindung standen. Dropper sind Schadsoftware-Varianten, die zur Erstinfektion genutzt werden und Cyberkriminellen als Türöffner dienen, um unbemerkt fremde IT-Systeme zu infizieren und dann weitere Schadsoftware nachzuladen.

Geheimdienste organisieren die Hackerangriffe

Geheimdienste organisieren die Hackerangriffe

Andreas / stock.adobe.com

Wie sollte man sich auf den Störungsfall vorbereiten?

Das IT-Sicherheitsgesetz 2.0 fordert technische Werkzeuge und unterstützende Prozesse, die Bedrohungen kontinuierlich im laufenden Betrieb erkennen und vermeiden. Dazu müssen Einrichtungen ein Information Security Management System (ISMS) einrichten, ein Management-System für Informationssicherheit. Dieses System beschreibt und verankert Verantwortungen und Prozesse für das Management von Cybersecurity.

Mithilfe von regelmäßigen Sicherheitstests (Penetrationstests) können KRITIS-Betreiber Angriffe auf ihre Anlagen simulieren. So können sie Schwachstellen aufdecken und sich besser auf die Abwehr von Angriffen vorbereiten. Diese präventiven Maßnahmen werden in der Regel mithilfe externer Cybersecurity-Dienstleister erarbeitet. Sie kommen auch zum Einsatz, wenn trotz aller Vorsichtsmaßnahmen ein Störfall eintritt. Sie schicken dann Notfall-Teams in die betroffenen Unternehmen. Relevante Störfälle müssen dem BSI gemeldet werden. Um die Detektion der Angriffe zu verbessern, sollten auch die Zentralen Ansprechstellen Cybercrime (ZAC) bei den Landeskriminalämtern von diesen Störfällen erfahren.

WL (19.07.2024)

Christian Müller, SHD Technology Consultant
Christian Müller, SHD Technology Consultant

Mit Christian Müller, Technology Consultant, SHD System-Haus-Dresden

Audiopodcast: KRITIS-Schutz für Unternehmen

Der Schutz Kritischer Infrastrukturen (KRITIS) ist dem Gesetzgeber besonders wichtig. Zu den KRITIS gehören nicht nur Elektrizitäts- und Wasserwerke, sondern auch zum Beispiel Unternehmen aus der Lebensmittelbranche oder Logistikunternehmen. Denn die Versorgung mit Lebensmitteln und andere Waren in Deutschland sollte nicht durch Cyberangriffe gefährdet werden. Doch welche Unternehmen müssen die verschärften Sicherheitsanforderungen für KRITIS überhaupt erfüllen und wird dadurch das angestrebte Ziel erreicht? Christian Müller befasst sich als Technology Consultant beim Beratungshaus SHD mit solchen Fragen.

Zu den KRITIS-Pflichten gehört die laufende Überwachung der IT-Systeme
Zu den KRITIS-Pflichten gehört die laufende Überwachung der IT-Systeme

Was betroffene Unternehmen jetzt tun sollten

KRITIS-Schutz: Erste Schritte

Bis zum 17. Oktober 2024 muss Deutschland die NIS-2-Richtlinie der EU in deutsches Recht umsetzen. Werden die vorliegenden Gesetzentwürfe zum KRITIS-Dachgesetz und zum NIS2-Umsetzungsgesetz verabschiedet, fallen schätzungsweise 25.000 bis 30.000 Unternehmen neu unter die Klassifizierung als Kritische Infrastruktur. Diese Unternehmen sollten sich bereits jetzt offensiv mit dem benötigten KRITIS-Schutz und den KRITIS-Berichtspflichten auseinandersetzen.

Im ersten Schritt müssen Unternehmen herausfinden, ob sie überhaupt zum Kreis der „wichtigen“ oder „besonders wichtigen“ Einrichtungen zählen.

Unternehmen, die bereits heute zum Kreis der KRITIS-Betroffenen gehören, finden die zu ihrer Branche passenden Anlagekategorien und Schwellenwerte in der „Anlage der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“.

In der Anlage 1 zum geplanten „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ werden die Sektoren „besonders wichtiger“ und „wichtiger“ Einrichtungen benannt.

25.150 Unternehmen in Deutschland sind neu betroffen

Durch die Umsetzung der NIS2-Richtlinie der EU in Deutschland werden nach Einschätzung von OpenKRITIS, einer unabhängigen Plattform für den Schutz Kritischer Infrastrukturen, etwa 25.150 Unternehmen neu von zusätzlichen Sicherungs- und Berichtspflichten betroffen sein. 21.600 Unternehmen fielen bislang nicht unter die aktuell geltende BSI-KRITIS-Verordnung. Laut dem Entwurf des NIS-Umsetzungsgesetzes fallen sie nun unter die sogenannten „wichtigen Einrichtungen“. Unter den „besonders wichtigen Einrichtungen“ kommen außerdem nun voraussichtlich etwa 3.550 Unternehmen neu dazu.

In der Gruppe der „wichtigen Einrichtungen“ werden durch die beiden neuen Gesetze sowohl mittlere als auch große Unternehmen zu zusätzlichen präventiven Cyberabwehrmaßahmen verpflichtet und es entstehen auch neue Nachweispflichten. Dies betrifft Unternehmen wie zum Beispiel ein kommunales Stadtwerk mit 50 Beschäftigten, einen Feinkost-Lieferanten mit 380 Beschäftigten oder auch einen Hersteller von Autositzen mit 65 Beschäftigten.

Registrieren, Risiko minimieren und über Störfälle berichten

Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind gemäß BSI-Gesetz (BSIG) und BSI-KRITIS-Verordnung bereits heute dazu verpflichtet,

  • eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
  • IT-Sicherheit auf dem „Stand der Technik“ umzusetzen
  • IT-Störungen oder erhebliche Beeinträchtigungen zu melden,

...und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Ähnliche Verpflichtungen wurden in den Entwurf des NIS2-Umsetzungsgesetzes übernommen. Auch alle Unternehmen, die neu unter dieses Gesetz fallen, haben nach dem zweiten Kapitel des Gesetzes (§ 30 ff.) die Pflicht zum Risikomanagement sowie Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten. Das heißt im Einzelnen:

  • Wie und wo kann man sich registrieren? Im § 33 steht, was als erstes zu tun ist: Drei Monate nach Inkrafttreten des Gesetzes muss sich ein Unternehmen bei der gemeinsamen Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren.
  • Welche Risikomanagementmaßnahmen muss man umsetzen? Der § 30 listet insgesamt zehn „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ auf. Dazu gehören Aspekte wie Risikoanalyse, Zugriffskontrolle oder Kryptographie.
  • Was tun bei einem „erheblichen Sicherheitsvorfall!“? Der § 32 regelt dann die Modalitäten, unter denen man erhebliche Sicherheitsvorfälle an das BSI melden muss. Im § 35 wird festgelegt, dass das BSI die Unternehmen dazu verpflichten kann, ihre Kunden unverzüglich von erheblichen Sicherheitsvorfällen zu informieren. Natürlich sind die Unternehmen dazu angehalten, akute Sicherheitslücken zu schließen, die Sicherheitsvorfälle zu analysieren und die Ursachen für die Zukunft nach Möglichkeit abzustellen.
  • Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Abhängig von der eigenen Registrierung muss es dann alle drei Jahre externe Prüfungen geben, analog zu bisherigen KRITIS-Nachweisprüfungen.

Links zur weiteren Information

  • Das Bundesamt für Sicherheit in der Informationstechnik betreibt eine informative Seite zum heutigen Stand der KRITIS-Pflichten.
  • Auf der Website des Bundesministeriums des Inneren und für Heimat kann man den Referentenentwurf zum NIS2-Umsetzungsgesetz einsehen.
  • Die unabhängige Plattform „OpenKRITIS“ informiert aus ihrer Sicht über die Folgen des NIS2-Umsetzungsgesetzes.
  • Diverse IT-Beratungshäuser und auf Cybersicherheit spezialisierte Unternehmen haben Basisinformationen sowie Belege für ihre Beratungskompetenz zum Thema NIS2 auf eigenen Webseiten dokumentiert.

WL (19.07.2024)