Ab dem heutigen 1. Mai 2023 ist das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) gültig, bzw. die Übergangsfrist abgelaufen. Das IT-Sig 2.0 konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus, indem es alle KRITIS-Betreiber spätestens bis zum 01.05.2023 verpflichtet, erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen.
Lothar Hänsler, Operations Officer von RADAR Cyber Security, weist darauf hin, dass das Ganze nichts Neues sei. Mit dem ersten IT-Sicherheitsgesetz wurden bereits 2015 Vorgaben für kritische Infrastrukturen wie Energieversorger oder Krankenhäuser eingeführt, damit sich die mitunter lebenswichtigen Einrichtungen bestmöglich absichern.
Das IT-Sicherheitsgesetz 2.0 trat 2021 in Kraft und verfolgt einen ganzheitlicheren Ansatz. Es umfasst mit der Siedlungsabfallentsorgung nicht nur eine neue kritische Infrastruktur. Durch die Absenkung von Schwellenwerten fallen auch mehr Unternehmen unter diese Definition. Zudem wurde mit „Infrastrukturen im besonderen öffentlichen Interesse“ eine weitere Zielgruppe eingeführt, so der Anbieter Splunk. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhielt zudem sehr viel mehr Kompetenzen und Personal, um die Einhaltung der Vorgaben zu kontrollieren (siehe auch diese BSI-Mitteilung).
Das IT-Sicherheitsgesetz regelt die Melde- und Nachweispflichten für Betreiber kritischer Infrastrukturen (KRITIS). Unternehmen und Organisationen, die entsprechende Leistungen zur Versorgung der Bevölkerung erbringen, müssen bereits seit 2019 gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie nach dem – bewusst vage formulierten – „Stand der Technik“ gegen Cyber-Angriffe gerüstet sind, sagt Lothar Hänsler.
Was gilt ab 1. Mai 2023
Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren gültig, die Übergangsfrist zur Nachweispflicht von Angriffserkennung endet am 1. Mai, so Lothar Hänsler. Damit erreicht diese Regelung eine neue Dimension.
- Erstens verschärft die zweite Version des IT-Sicherheitsgesetzes (kurz IT-SiG) die Anforderungen erheblich.
- Zweitens erweitert sie den Kreis der zur kritischen Infrastruktur zählenden Einrichtungen deutlich. Die Verordnung gilt nicht nur für KRITIS-Betreiber selbst, sondern auch deren Zulieferer.
- Drittens zählen dazu nun auch Unternehmen von „besonderem öffentlichem Interesse“. So müssen unter anderem Rüstungshersteller oder Unternehmen mit einer „besonderen volkswirtschaftlichen Bedeutung“ bestimmte IT-Sicherheitsmaßnahmen umsetzen.
- Viertens erhalten Staat und Regulierungsbehörden mehr Befugnisse: Das BSI kann beispielsweise selbst Unternehmen als KRITIS einstufen.
Konkret heißt das: KRITIS-Betreiber müssen spätestens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen gehören.
Was ist gefordert?
Hierzu zählen, laut Hänsler, beispielsweise ein „Security Information and Event Management“ (SIEM) oder ein „Security Operations Center“ (SOC): Mit dem auch als „Cyber Defense Center“ (CDC) bekannten Verteidigungszentrum können KRITIS-Betreiber ein durchgängiges Sicherheitskonzept für ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die für Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind.
Zudem sind die angesprochenen Unternehmen von besonderem öffentlichem Interesse zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet: Sie müssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgeführt wurden und wie sie ihre IT-Systeme abgesichert haben.
Der Bedarf ist real: Allein 2022 wurden in Deutschland über 80 Fälle bekannt, in denen Unternehmen Opfer eines Cyber-Angriffs wurden. Die Dunkelziffer ist sicherlich deutlich höher. Dabei sind KRITIS-Betreiber schon lange im Fadenkreuz der Kriminellen.
Was ist bei einer Störung zu tun?
Kommt es zu Störungen, muss das BSI darüber umgehend informiert werden. Die Behörde nutzt die Meldungen dazu, die Betroffenen zu unterstützen und andere Unternehmen vor Gefahren zu warnen. Bei Nichtmeldung oder fehlender Registrierung müssen die Betroffenen mit hohen Bußgeldern rechnen. Auch wenn bei einer Kontrolle die mangelhafte Umsetzung der Angriffserkennung festgestellt wird, ist mit Geldstrafen bis zu zwei Millionen Euro zu rechnen – bei vorsätzlichen Verstößen kann sogar eine Geldstrafe von bis zu 20 Millionen Euro anfallen. Das sind mit gutem Grund empfindliche Strafen. Schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen für Staat, Wirtschaft und Gesellschaft.
Umso wichtiger ist es also, dass die angesprochenen Einrichtungen integrierte Lösungen nutzen, die sich im Einklang mit IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie den ISO-27000-Standards zur Informationssicherheit befinden. KRITIS-Betreiber sind nun verpflichtet, ihre IT-Systeme auf den bereits angesprochenen „Stand der Technik“ zu bringen. Dazu zählt auch der Nachweis von Sicherheitsaudits oder Zertifizierungen wie eben ISO-27001. Nutzung europäischer Sicherheitstechnologien ist zwar nicht verankert, empfiehlt sich aber aus mehreren Gründen: Die Erfüllung der gesetzlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des BSI-Gesetzes sowie zum Schutz vor dem Vorwurf einer Drittstaaten-Einmischung. Eine Übersicht samt FAQ findet sich auf rz10.de.
Wie geht es weiter?
IT-Sicherheit ist bekanntermaßen ein Prozess. Auch im konkreten Fall ist die Reise noch lange nicht zu Ende: Zur Verbesserung der digitalen und physischen Resilienz kritischer Einrichtungen und Netze hat die Europäische Kommission außerdem die NIS-Richtlinie reformiert. Die zweite Version der „Network and Information Security Directive“ wurde Ende des vergangenen Jahres vom Europäischen Parlament angenommen, trat im Januar in Kraft und soll bis Ende 2024 in nationales Recht überführt werden.
Während die Umsetzung von NIS-2 wiederum eine erneute Überarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben kann, bildet das IT-Sicherheitsgesetz bereits jetzt einige Neuerungen von NIS-2 ab. Zusätzlich soll die Gesetzesinitiative der EU-Kommission zur Einführung des EU-Cyberresilience-Act Hersteller und Händler dazu bringen, künftig nur noch IT-Lösungen mit hohen Cyber-Sicherheitsstandards auf den Markt zu bringen.
Die Einführung entsprechender Überwachunssoftware für eine Einbruchserkennung ist nicht gerade trivial. Ein Antivirus mit EDR/XDR oder gar MDR ist ein erster Schritt in der Frontverteidigung, es muss aber noch was „dahinter“ kommen und hier wird es spannend. Das Ransomware-typische Verhalten, plötztlich viele Dateien gleichzeitig oder kurz hintereinander zu verschlüsseln dürften alle können. Aber wie sieht es bei der Erkennung von ungewöhnlichen Zugriffen auf vertrauliche Daten aus, wer erkennt den Upload solcher Dateien zum Angreifer? Zum Beispiel nicht jedes SIEM taugt dafür, weil sie zu viele False-Positives generieren, welche das SOC rund um die Uhr wegen „Nichts“ auf Trab halten würde, echte Alarme gehen dann im Bitrauschen förmlich unter, selbst wenn schon nach MITRE vorsortiert wird. Kein SIEM ist dazu in der Lage, erstmal die schützenswerten Daten überhaupt zu erkennen, und man kann nicht schützen, was man nicht kennt. Praktisch allen SIEM Lösungen fehlt eine lernfähige KI, welche die Stecknadel im Heuhaufen der erfassten Events zuverlässig finden würde. Für die Forensik ist so ein SIEM aber unbedingt erforderlich, vorrausgesetzt, man hat keinug Speicherkapazität, um alle relevanten Events überhaupt lange genug speichern zu können. Bei den besseren Intrusion-Detection-Systemen sind ganz viele verschiedene Ansätze zur Erkennung möglich, manche reagieren auf ungewöhnliche Netzwerkaktivitäten, manche beobachten das AD und/oder die Fileserver und/oder Cloud-Services, bewerten Nutzerverhalten (wer meldet sich wann und wo an und macht was), klassifizieren die Daten überhaupt erstmal nach z.B. Vertraulichkeitsstufen, DSGVO, usw., arbeiten idealwerweise mittels einer lernfähigen KI, die sich selbst der Umgebung anpasst. Und KI ist nicht gleich KI. Da die richtige Lösung zu finden ist schon schwer, weil es auch kaum neutrale Vergleiche zwischen den einzelnen Produkten in der Fachpresse gibt. Hier wird man eigentlich nur bei Gartner fündig, und das ist teils auch nur Zusammenfassung der Marketingaussagen der Hersteller.
Naja unter Kritische Infrastruktur schützen verstehe ich zuerst einmal das der Scheiß erst gar nicht im Netz hängt! Damit hat man schonmal 80% der Risiken erschlagen,
für die restlichen 20% geht es dann tatsächlich ans eingemachte!
Wie willst du das z.B. bei einer Telekommunikatiosnfirma oder einem Internet-Service-Provider oder einem Serverhoster umsetzen?
In dem man das Verwaltungsnetz vom Nutzdatennetz getrennt hält? Und zwar so, dass man nicht einfach an einem Gateway rüberwechseln kann.
Viele Dinge sind aber ohne Netzwerk gar nicht mehr zu handeln. In etlichen Bereichen kann man noch air gapped arbeiten, aber man braucht auch das Personal dafür es auch zu verwalten, was gar nicht so ohne ist, denn auch da muss dann auf die Security geachtet werden.
Bin seit Wochen an der NIS2 dran, da wird es etliche Unternehmen in der Produktion speziell im OT Bereich aufstellen. Überhaupt nicht lustig, begrüße die Änderungen sehr, allerdings ist der Zeitrahmen sehr knapp und vor Allem die SupplyChain also die Lieferanten von Maschinen, Steuerungen, Software für die OT ist ein riesiges Problem, denn die haben oft gar keinen Plan von IT.