KRITIS: Kritische Infrastrukturen verstehen und schützen
Moderne Gesellschaften mit hochentwickelter Dienstleistungswirtschaft sowie Industriewirtschaft machen sich über einen hohen Rang an Digitalisierung, Agilität, Konkurrenzfähigkeit sowie intensiver Teilnahme an der Globalisierung aus. In Anbetracht dieser Tatsache sind zeitgemäße Unternehmen immer mehr von einer hochleistungsfähigen, funktionstüchtigen sowie ausfallsicheren IT-Infrastruktur bestimmt – das gilt insbesondere für systemrelevante Firmen der kritischen Infrastruktur.
Aber was sind kritische Infrastrukturen genau?
Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, sowie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei problematischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Managed SOC: Der Schlüssel zur Cybersicherheit für kritische Infrastrukturen
Um die IT-Systeme kritischer Infrastrukturen effizient und dauerhaft zu schützen, ist der Einsatz fortschrittlicher Sicherheitslösungen unerlässlich. Eine der effektivsten Lösungen, die in diesem Kontext zunehmend an Bedeutung gewinnt, ist das Managed Security Operations Center (SOC). Ein Managed SOC bietet kontinuierliche Überwachung und Bedrohungserkennung in Echtzeit, wodurch potenzielle Angriffe frühzeitig abgewehrt werden können, bevor sie kritische Systeme gefährden.
Unternehmen der kritischen Infrastruktur sind besonders anfällig für Cyberangriffe, da sie ein attraktives Ziel für Hacker, Terroristen oder staatliche Akteure darstellen. Mit einem Managed SOC wird sichergestellt, dass Ihre IT-Systeme rund um die Uhr geschützt sind. Experten analysieren laufend die Sicherheitslage, um Bedrohungen schnellstmöglich zu identifizieren und zu neutralisieren.
Vorteile eines Managed SOC:
Rund-um-die-Uhr-Überwachung: 24/7 Schutz Ihrer IT-Systeme vor Cyberbedrohungen.
Proaktive Bedrohungserkennung: Frühzeitige Identifikation und Abwehr von Angriffen, bevor diese Schaden anrichten.
Sicherheitsanalysen durch Experten: Zugriff auf ein Team von hochqualifizierten Sicherheitsexperten.
Unser Managed SOC-Angebot
Der Einsatz eines Managed SOC bietet Ihnen die Möglichkeit, sich auf Ihr Kerngeschäft zu konzentrieren, während wir uns um Ihre IT-Sicherheit kümmern.
Erfahren Sie mehr darüber, wie unser Managed SOC Ihr Unternehmen vor Cyberbedrohungen schützen kann.
Wer zählt zu den KRITIS-Betreibern?
Demzufolge sind private sowie staatliche Betriebe der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlergehens der Bevölkerung elementar – und daher besonders schützenswert.
Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern und Heimat, kurz BMI, beschlossen wurde, definiert 9 Bereiche der kritischen Infrastrukturen, in welchen die IT-Systeme besonderen Schutz brauchen. Hierzu zählen
Staat und Verwaltung
Energieversorgung
EDV und Telekommunikation
Beförderung und Verkehr
Gesundheit
Wasser
Ernährung
Finanz- und Versicherungswesen
Medien und Kultur
Mit der Novellierung des BSIG im Jahr 2021 kam ein weiterer Bereich hinzu: „Siedlungsabfallentsorgung“. Jedoch steht die Bundesebene – übergreifende Absprache bislang aus.
Ob ein Unternehmen als problematische Infrastruktur eingestuft wird, kann bloß eine individuelle Prüfung mit Sicherheit beantworten. Es gibt allerdings drei typische Ansatzpunkte, mithilfe derer eine vorläufige Kategorisierung möglich sei.
Kritische Dienstleistung
Eine Serviceleistung ist dann elementar, wenn diese in einem kontrollierten Sektor geleistet wird und die Fülle den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Grenzwert wird auf Basis der „vollstationären Fälle“ begutachtet und ist damit deutlich definiert. Aber in einigen Bereichen ist es jedoch nicht so einfach wie zum Beispiel in der Logistik. In diesem Fall muss ein Konsulent äußerst gründlich die Kritisverordnung kennen und interpretieren können.Schwellenwert
Das BSI hat für jeglichen Sektor spezifische Grenzwerte festgelegt, die in der KRITIS-Richtlinie 2021, die mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgelistet sind und bestimmen ab welchem Zeitpunkt ein Unternehmen der kritischen Infrastruktur zuzuordnen ist.
Hinweis: Eine übersichtliche Auflistung finden Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.htmlIT-Netzwerk
Die IT-Independenz der jeweiligen Betriebe ist ebenso ein bedeutungsvoller Aspekt. Wenn ein Betrieb mehrere Standorte besitzt, welche alle eine eigenständige IT-Infrastruktur verwalten, gilt der Betrieb eventuell nicht als Unternehmen der kritischen Infrastruktur – irrelevant, wie riesig es insgesamt ist. Leitet ein Betrieb die IT jedoch zentral als „gemeinsame Anlage“, ist das was anderes.
Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen
Grundsätzlich sind kritische Infrastrukturen gut beschützt. Dessen ungeachtet stellen sie wegen deren Bedeutsamkeit sowie Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber auch gemeine gesetzliche Akteure dar.
Somit verwundert es nicht, dass in den Medien ständig wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist.
Auf diese Weise sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der kompletten Ostküste.
Dies ist kein Ausnahmefall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Bereiche Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren deutlich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den genannten Gebieten insgesamt 1.805 Sicherheitsmängel ermittelt wurden, welche vor allem auf Problematiken im Bereich Netztrennung, Notfallmanagement sowie physische Garantie zurückzuführen sind.
Nebst Internetangriffen laufen zudem Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teils schwerwiegenden Folgen auf die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin / Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte.
Gesetze zum Schutz kritischer Infrastrukturen
Mit dem Ziel, solche Worst-Case-Szenarien zu verhindern, gilt es für Unternehmen der kritischen Infrastruktur Gefahren und Risiken sehr früh zu ermitteln und abzuwehren.
Die gesetzlichen Bedingungen und Regelungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSIG und der BSI-KRITIS-Verordnung, knapp BSI-KritisV verankert.
Ergänzend dazu setzt die NIS2-Richtlinie neue Maßstäbe für die Cybersicherheit in Europa und erweitert die Anforderungen an Unternehmen, um ein harmonisiertes Schutzniveau innerhalb der EU zu gewährleisten.
Somit sind Unternehmen der kritischen Infrastruktur dazu verordnet
eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
die IT-Sicherheit auf den „Stand der Technik“ anzupassen und angemessene organisatorische und technische IT-Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Problembehebungen von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie hierzu den Blogartikel zum Thema Datenschutz und Informationssicherheit. Klicken Sie hier) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Ausfall leiten, bekanntzugeben
und die beschlossenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der EDV nachzuweisen.
NIS2: Stärkung der Cybersicherheit auf europäischer Ebene
Mit der NIS2-Richtlinie (Network and Information Systems Directive 2), die von der Europäischen Union 2020 verabschiedet wurde, sind die Anforderungen an die Cybersicherheit weiter verschärft worden. Ziel der NIS2 ist es, die Cybersicherheitsstandards bis Oktober 2024 innerhalb der EU zu harmonisieren und die Resilienz kritischer Infrastrukturen zu stärken.
Wichtige Punkte der NIS2-Richtlinie:
Erweiterung des Anwendungsbereichs: Mehr Unternehmen und Sektoren fallen unter die NIS2-Richtlinie, einschließlich kritischer Dienstleister wie Cloud-Anbieter und Rechenzentren.
Strengere Sicherheitsanforderungen: Unternehmen müssen umfangreiche Sicherheitsmaßnahmen einführen und regelmäßige Risikobewertungen durchführen.
Verpflichtende Meldung von Sicherheitsvorfällen: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, um eine schnelle Reaktion zu gewährleisten.
Stärkere Durchsetzungsmechanismen: Nationale Behörden erhalten erweiterte Befugnisse zur Durchsetzung der NIS2-Richtlinie, einschließlich der Möglichkeit, Sanktionen zu verhängen.
Die NIS2-Richtlinie bringt nicht nur eine größere Verantwortung für Unternehmen, sondern auch konkrete Vorteile. Durch die Harmonisierung der Cybersicherheitsmaßnahmen innerhalb der EU wird ein höheres Schutzniveau erreicht, das sich positiv auf das Vertrauen der Verbraucher und Geschäftspartner auswirkt. Unternehmen, die die NIS2-Richtlinie erfolgreich umsetzen, können ihre Wettbewerbsfähigkeit steigern und ihre Marktstellung festigen.
Ein weiteres Ziel der NIS2-Richtlinie ist die Förderung der Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten. Dies soll sicherstellen, dass bewährte Praktiken und relevante Informationen zu Bedrohungen und Sicherheitsvorfällen schnell und effizient geteilt werden. Diese Zusammenarbeit trägt dazu bei, die Abwehrkräfte der EU gegen Cyberangriffe zu stärken und die Reaktionszeiten bei Vorfällen zu verkürzen.
Kritische Infrastrukturen aufrechterhalten
Kritische Infrastrukturen sind für das reibungslose Gelingen der Gesellschaft und Wirtschaft unerlässlich. Selbst wenn sie in der alltäglichen Wahrnehmung nicht unbedingt immer präsent sind, ist der Schadensfall bei einem Ausfall umso beträchtlicher. Der störungsfreie Mechanismus ist daher notwendig. Die NIS2-Richtlinie spielt hierbei eine zentrale Rolle, indem sie die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten fördert und somit die Resilienz der kritischen Infrastrukturen in der gesamten EU stärkt.
Zudem hat das Bundesamt für Sicherheit in der EDV am 23. März 2020 die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Mit dem Anforderungskatalog bietet das Bundesamt für Sicherheit in der EDV jeglichen Unternehmen der kritischen Infrastruktur und ihren Gutachtern einen genauen Rahmen zur Wahl, Umsetzung und Auswertung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog die aufgeführten Themenbereiche ab:
Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche/ physische Absicherung
Vorfallserkennung sowie Bearbeitung
Begutachtung im aktiven Betrieb
Außerbetriebliche Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen
Sind Sie ein Betrieb der kritischen Infrastruktur und auf der Suche nach wirksamen und fortschrittlichen IT-Sicherheitslösungen, um Ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu schützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen? Rufen Sie uns gerne an!