IT-Sicherheitsgesetz 2.0
Angreifer nehmen immer häufiger Betreiber kritischer Infrastrukturen (KRITIS) und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung ins Visier. Dies kann nicht nur zu millionenschweren Produktionsausfällen und Versorgungsengpässen führen, sondern hat im schlimmsten Fall die Gefährdung der öffentlichen Sicherheit zur Folge. Zudem müssen sich KRITIS-Betreiber nicht nur vor monetär motivierten Erpressungsversuchen schützen. Auch politisch motivierte Cyber-Attacken als Teil einer hybriden Angriffstechnik sind mittlerweile zu einer realen Bedrohung geworden.
Der Schutz der KRITIS ist wichtiger denn je
Der deutsche Gesetzgeber hat bereits 2021 mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – auf diese Gefahren reagiert. Hiermit wurde das bestehende BSI-Gesetz um weitere Punkte ergänzt. Auch auf EU-Ebene wird man mit einer zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS 2) nachziehen.
So müssen neben den traditionellen KRITIS-Betreibern nun künftig auch Unternehmen im sogenannten besonderen öffentlichen Interesse, wie etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Damit einhergehend wurde der Kreis der kritischen Infrastrukturen um die Sektoren wie etwa Abfallentsorgung und Rüstungsherstellung erweitert.
IT-Sicherheitsgesetz 2.0: Neue Auflagen im Überblick
- Betreiber kritischer Infrastrukturen müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementieren.
- KRITIS-Betreiber müssen den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, der EU oder NATO widerspricht.
- Unternehmen im besonderen öffentlichen Interesse werden zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Hiermit müssen sie darlegen, welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden.
Erkennungsmethoden von Cyber-Bedrohungen
KRITIS-Betreiber und Unternehmen, die ihre IT und Leittechnik vor Cyber-Angriffen schützen müssen, benötigen integrierte Lösungen, die im Einklang mit dem IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie der ISO-Norm 27001 zur Informationssicherheit stehen. Auf der Technologieseite sollten daher folgende Detektionsmodule eingesetzt werden:
- Log-Daten-Analyse (LDA) / Security Information and Event Management (SIEM): Hierunter versteht man das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen. Daraus resultieren die Alarmierungen bei Sicherheitsproblemen oder potenziellen Risiken.
- Schwachstellen-Management und Compliance (VMC): Das Schwachstellen-Management ermöglicht kontinuierliche, interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung.
- Network Behavior Analytics (NBA): Mit der Netzwerkverhaltensanalyse ist die Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines möglich.
- Endpoint Detection and Response (EDR): Endpoint Detection and Response steht für die Analyse, Überwachung und Erkennung von Anomalien auf Hosts. EDR stellt aktive Schutzaktionen und sofortige Alarmierung bereit.
Die Weiterverarbeitung der sicherheitsrelevanten Informationen aus diesen Modulen wird in Folge durch Correlation Engines durchgeführt. Use Cases, Regeln, statistische Modelle und Heuristiken führen eine automatisierte Voranalyse durch. Sie geben Hinweise auf potenzielle Bedrohungen und liefern erste Erkenntnisse für ein priorisiertes Vorgehen. Um fortführend kontextuelles Wissen zu integrieren, folgt im nächsten Schritt eine Detailanalyse durch Sicherheitsspezialist:innen. Sie bewerten und priorisieren die automatisiert gewonnenen Erkenntnisse in einem weiteren Schritt und reichern die notwendigen Maßnahmen an. Die Ergebnisse dieser Analyse sind die Basis für die Einleitung der richtigen Gegen- und Behebungsmaßnahmen durch Fachpersonal.
Um bestmögliche Datensicherheit zu gewährleisten, empfiehlt sich zudem die Einrichtung von On-Premise-Lösungen als sicherste Form des Deployments einer solchen Lösung. Auch wenn der Trend vermehrt Richtung Cloud geht, ist dies hinsichtlich der hohen Datensensibilität im Bereich KRITIS problematisch.
Etablierung von Cyber Defense Centern (CDC) in den Versorgungsunternehmen
Mit einem Cyber Defense Center (CDC) – auch als Security Operations Center (SOC) bekannt – können KRITIS-Betreiber und Unternehmen alle oben genannten Punkte effektiv umsetzen, um ein durchgängiges, integriertes Sicherheitskonzept für ihre IT- und OT-Infrastruktur zu implementieren. Ein CDC umfasst Technologien, Prozesse und Expert:innen, die für die Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind. Das CDC sammelt in Echtzeit Daten aus den Netzwerken, Servern, Endpunkten und anderen digitalen Ressourcen des Unternehmens und nutzt intelligente Automatisierung, um potenzielle Bedrohungen der Cybersicherheit zu erkennen, zu priorisieren und darauf zu reagieren – und das rund um die Uhr. Hierdurch können Bedrohungen schnell eingedämmt und im Idealfall neutralisiert werden.
CDC: Technologie-Verwendung und Betrieb in Europa
Zudem ist die Verwendung europäischer Sicherheitstechnologien für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse empfehlenswert. Denn hierdurch können gesetzliche Datenschutzvorgaben einfach erfüllt werden. Hierzu zählen etwa die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) sowie die Forderung des BSI-Gesetzes nach einem geeigneten Nachweis ihrer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.
Der Einsatz europäischer Sicherheitstechnologie erleichtert auch die Prüfung kritischer Komponenten durch das BSI, um sicherzugehen, dass der EU-datenschutzwidrige Zugriff auf sensible Informationen durch Drittstaaten-Akteure zu keiner Zeit gelingen kann. Dies ist umso wichtiger in Zeiten, wenn der inaktive Privacy Act zwischen USA und Europa noch unklar geregelt ist.
Es ist damit zu rechnen, dass Attacken auf europäische kritische Infrastrukturen zukünftig weiter zunehmen werden – vor allem bei einem geopolitisch instabilen Umfeld. Mit einer ganzheitlichen Cyber Defense Center-Strategie können KRITIS-Betreiber ihre Cyber-Resilienz deutlich steigern, um sich gegen Angriffe zu verteidigen.
Über Radar Cyber Security
Richtlinie NIS 2 zur Sicherheit von Netz- und Informationssystemen
Weitere Informationen zu unseren Cyber Security-Lösungen