KRITIS & IT-Sicherheit: BSI aktualisiert Hilfestellungen
Betreibende kritischer Infrastrukturen – kurz: KRITIS – geraten immer häufiger ins Visier von Cyberkriminellen: Zu alt ist die technische Ausstattung in Hard- und Software, zu ungeschult sind die Mitarbeitenden und zu unsicher die verwendeten Schutzmaßnahmen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß um diese Probleme. Schon seit Jahren werden KRITIS vom BSI dabei unterstützt, einen Grundschutz aufzubauen. Das BSI hat nun beschlossen, KRITIS in der IT-Sicherheit weiter zu unterstützen und aktualisierte entsprechende Dokumente. Im heutigen Beitrag stellen wir Ihnen die Möglichkeiten vor, die das BSI Ihnen zur Härtung Ihrer IT an die Hand gibt, und blicken auch auf hilfreiche Dienstleistungen aus unserem eigenen Portfolio.
Der KRITIS-Schutz
In den vergangenen Jahren wurde immer wieder spürbar, wie KRITIS-Betreibende immer weiter in den Fokus von Cyberkriminellen rücken:
- IT-Ausfall an der UKD: Durch einen Ransomwareangriff, der über eine Sicherheitslücke in der genutzten Software ausgeführt wurde, konnte die Uniklinik Düsseldorf im September 2020 nicht mehr handeln wie gewohnt. Wie die Uniklinik berichtete, war das UKD von der Notfallversorgung abgemeldet; der Normalbetrieb war erheblich gestört und das Widerherstellen dieses Normalbetriebs dauerte Wochen.
- Hackerangriff auf EMA: Die Europäische Arzneimittelbehörde EMA wurde im Dezember 2020 Opfer eines Cyberangriffs. Betroffen waren Dokumente der Corona-Impfstoff-Hersteller BionTech, Pfizer und Moderna; wir berichteten.
- Klärwerk-Hack: Im Jahre 2019 wollten die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers aufzeigen, wie es um die IT-Sicherheit von KRITIS bestellt ist. Wir berichteten von dem erschreckenden Versuch: Den beiden Forschern war es ziemlich problemlos gelungen, via Web die komplette Steuerung eines Klärwerks zu übernehmen.
- Hackerangriff auf Energieversorger: Mitte 2020 berichteten wir davon, wie die Technische Werke Ludwigshafen Opfer einer Cyberattacke wurden. Zwar ließ sich der Datendiebstahl aufgrund von unmittelbar eingeleiteten Gegenmaßnahmen unterbrechen, jedoch erbeuteten die Hacker Kunden- und Geschäftsdaten.
Vier Beispiele von vielen: Jüngst wurden binnen zwei Wochen drei große Institutionen angegriffen – neben dem Klinikum in Wolfenbüttel auch die Stadtverwaltungen in Geisenheim und Anhalt-Bitterfeld. Die Landkreisverwaltung Anhalt-Bitterfeld hatte es am 06. Juli 2021 getroffen. Erst ab dem 19. Juli stand die Notinfrastruktur bereit – der Landrat hatte sogar den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen. Durch den Ransomware-Befall habe man keine Zahlungen mehr leisten können. Landrat Andy Grabner äußerte sich im ZDF dazu, dass es noch bis zu einem halben Jahr dauern könne, bis man sich von dieser Katastrophe vollständig erholt habe.
IT-Sicherheitsgesetz soll Standards bei KRITIS setzen
Das seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz oder IT-SiG) wurde eingeführt, um die IT-Systeme und digitalen Infrastrukturen abzusichern. Mit dem IT-SiG sollten die Verfügbarkeit sowie die Sicherheit der IT-Systeme insbesondere bei KRITIS-Betreibenden gewährleistet werden. Das Gesetz führt dazu, dass KRITIS-Betreibenden, etwa aus den Sektoren IT und Telekommunikation, Transport und Verkehr, Energie, Gesundheit, Wasser, Finanz- und Versicherungswesen oder Ernährung, ein Mindestniveau an IT-Sicherheit einhalten müssen. Erhebliche Störungen müssen zudem ans BSI gemeldet werden.
Eine Aktualisierung erfuhr das Gesetz erst jüngst: Mit dem 07. Mai 2021 billigte der Bundesrat das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz: IT-Sicherheitsgesetz 2.0. Verabschiedet wurde das Gesetz im Bundestag bereits am 23. April 2021, außerdem wurde es bereits im Bundesgesetzblatt veröffentlicht.
KRITIS: BSI aktualisiert Hilfestellungen
Inhalt des ergänzenden BSI-Gesetzes und der KRITIS-Verordnung sind mitunter, dass Betreibende kritischer Infrastrukturen entsprechende Nachweise zum Stand der Technik ihrer IT-Sicherheitsmaßnahmen erbringen müssen. Für zahlreiche KRITIS-Betreibende steht oder stand in diesem Sommer der zweite Nachweiszyklus an. Pünktlich dazu hat das BSI gleich mehrere Dokumente auf der hauseigenen Website aktualisiert. Optimiert wurden anhand der Erfahrungen der vergangenen Jahre mitunter die Nachweisformulare sowie der Einreichungsprozess:
Das Formular P fasst verschiedene alte Formulare, nämlich PD, PE sowie PS, zusammen. Das BSI hat die Orientierungshilfe zu Nachweisen sowie die Orientierungshilfe zu Inhalten und Anforderung an branchenspezifische Sicherheitsstandards (B3S) überarbeitet. Für derzeit mögliche Remote-Prüfungen, die speziellen Dokumentationspflichten unterliegen, existiert eine Muster-Mängelliste.
Das BSI hat die neuen Dokumente durch weitere „Was haben wir gelernt?“-Dokumente ergänzt, etwa über Nachweisprüfungen im Finanz- und Versicherungswesen. Zur Verbesserung der Nachweisqualität plant der KRITIS-Fachbereich des BSI drei Initiativen: Anforderungen im Nachweisprozess werden übergreifender formuliert, für ausgewählte KRITIS-Branchen wird es Konkretisierungen zum Stand der Technik geben und Prüfer sollen in ihren KRITIS-spezifischen Qualifikationen gefördert werden.
KRITIS & IT-Sicherheit: Schulen, schulen, schulen!
Die oben genannten konkreten IT-Sicherheitsvorfälle sowie die steigende Anzahl an Angriffen sollten KRITIS-Betreibenden wirklich zu denken geben. Strukturelle Probleme und Herausforderungen wie veraltete Software sind langfristige Herausforderungen, die angegangen werden müssen. Genauso herausfordernd ist jedoch, die Mitarbeitenden mitzuziehen: Noch immer fehlt es an Problembewusstsein. Dieser Herausforderung können KRITIS-Betreibende jedoch schneller begegnen als anderen, denn Awareness-Schulungen sensibilisieren Mitarbeitende und machen sie zum essentiellen Bestandteil der Sicherheitsstrategie. Unsere Cyber Security-Schulung ist ebenfalls perfekt zur Sensibilisierung Ihrer Mitarbeitenden.
Informationssicherheitsmanagement nach Vorgaben des BSI ist im IT-Grundschutz zu finden. Das IT-Grundschutz-Zertifikat basiert auf der ISO/IEC 27001 und schafft Vertrauen. Gleichzeitig gelingt so der Nachweis, den KRITIS-Betreibende laut IT-Sicherheitsgesetz, dem BSI-Gesetz und der KRITIS-Verordnung erbringen müssen. Selbstredend bieten wir auch Schulungen im IT-Grundschutz.
Gerade für Mitarbeitende im KRITIS-Sektor bieten sich auch unsere ISO/IEC 27001-Zertifizierungskurse an: Mittels ISO 27001-Zertifikat weisen KRITIS-Betreibende nach, dass sie mindestens den IT-Grundschutz einhalten. Mit der ISO 27001-Zertifizierung wird die Informationssicherheit eines Managementsystems nachgewiesen und Sie steigern Ihr Sicherheitsniveau massiv.
Gehen Sie Herausforderungen dieser Art zeitnah an, um den Prüfungen standzuhalten und vor allem um etwaige IT-Sicherheitsvorfälle effizient zu verhindern. Haben Sie Fragen zu unseren Schulungen, den Anforderungen an KRITIS-Betreibende oder zu sonstigen IT-Sicherheitsthemen, sind unsere zertifizierten Experten gerne persönlich für Sie da. Treten Sie einfach in Kontakt mit uns – wir freuen uns auf Sie!
Schreibe einen Kommentar