Wie gehen Sie das neue IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung an? Sind diese für Ihr Geschäft relevant? Warum sind sie so wichtig? Welche Maßnahmen sollten Sie für mehr Sicherheit ergreifen?
Im Interview beantwortet der Experte für Industrie- und IoT-Sicherheit Bernd Jäger die häufigsten Fragen rund um das IT-Sicherheitsgesetz und kritische Infrastrukturen in Deutschland.
KRITIS ist ein auf dem deutschen IT-Sicherheitsgesetz basierender Rechtsrahmen, für den vor Kurzem wichtige Änderungen beschlossen wurden. Dabei geht es nicht um die Einhaltung eines Gesetzes, sondern vielmehr um das Konzept der Sorgfaltspflicht im Internet zum Schutz der kritischen Infrastrukturen, auf die wir alle in unserem täglichen Leben angewiesen sind.
Ich würde sagen, die wichtigsten Unterschiede sind unter anderem:
Ich glaube noch immer, dass Regierungen in der Regel die öffentliche Sicherheit ihrer Bevölkerung und ihres Land schützen wollen. Während des vergangenen Jahrzehnts ist wohl jedem klar geworden, dass Cyberkriminelle eine ernste und reale Bedrohung für die virtuelle und physische Welt, in der wir leben, darstellen. Es wurde bereits über so viele große Cyberangriffe berichtet, dass ich nicht glaube, dass eine bestimmte digitale Attacke allein der Auslöser war. Ausschlaggebend dürfte vielmehr die generelle Erkenntnis gewesen sein, dass die „durchschnittlichen“ Cyberangriffe auf kritische Infrastrukturen (sozusagen „die Ransomware-Attacke der Woche“) in absehbarer Zeit nicht aufhören werden. Leider sind sie zu einem Teil unseres Lebens geworden, den wir nicht ignorieren können. Daher ist es von öffentlichem Interesse die IT-Sicherheit zu stärken.
Die BSI-KritisV (BSI-Kritisverordnung) beschreibt die relevanten Parameter und Schwellenwerte. Ich weiß, dass Fachleute diese Werte genau betrachten, um zu bewerten, ob ihr Unternehmen unter die Verordnung des BSI-Gesetzes fällt oder nicht. Leider bieten diese noch immer Raum für Interpretationen, was jedoch wenig überrascht.
Wenn Sie jetzt, vielleicht im Zuge der Änderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), unter die Verordnung fallen, dann sind Sie wahrscheinlich mit dem Thema IT-Sicherheit noch nicht vertraut. Sie sollten sich daher Unterstützung von Fachleuten holen, die Erfahrung damit haben, um Ihre Strategie festzulegen, mit der Sie die Vorgaben fristgerecht erfüllen. Diese können Ihnen Ratschläge geben, wo Sie am besten anfangen, welche Prioritäten Sie setzen und wie Sie in pragmatischer Weise die gewählte Strategie umsetzen können. Sie verfügen vielleicht bereits über Ressourcen wie Know-how, IoT, Technologien und Prozesse, die Sie nutzen können, um die Vorgaben zu erfüllen, oder für die nur kleine Anpassungen in Netzwerk oder Cloud erforderlich sind, um Konformität zu erreichen.
Es hat fünf Jahre gedauert, bis die aktuelle Version stand. Also ist zukünftig wohl kaum mit jährlichen Änderungen zu rechnen. Es wird aber wahrscheinlich auf dem IT-Sicherheitsgesetz 2.0 basierende Verordnungen geben, in denen dessen Vorgaben detaillierter ausgeführt werden. Und Nachbarländer oder Branchenverbände könnten Elemente aus diesen übernehmen. Viel wichtiger ist meiner Meinung nach, dass die Regierung einen Rahmen für die Cybersicherheit in nach ihrer Einschätzung kritischen Infrastrukturen festgelegt hat.
Neue Pflichten für Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung sind. In der Infografik zeigen wir die Übersicht der betroffenen Unternehmen und den dazugehörenden Kriterien.
Grundsätzlich ja. Vor allem geht es aber darum, einige grundlegende Aspekte (Sichtbarkeit, Segmentierung, sicherer Fernzugriff, IoT Security, Ressourcenbestand und Basisprozesse des Informationsabrufs) für OT2 zu berücksichtigen! Dann integrieren Sie sie in Ihre IT-Cybersicherheitsprozesse und Backend-Systeme (Data Lake, SIEM, SOAR, Ticket-System, Schwachstellen-/Asset-Management und SOC).
Ja. Die Absicherung der OT-Umgebung stellt für die meisten unserer Kunden eine Herausforderung dar. Wir können sie dabei von Anfang an unterstützen, beispielsweise mit einem Workshop zur Orientierung, um zu sehen, wo sie stehen, und eine Strategie festzulegen. Alternativ können wir ihnen dabei helfen, eine Sicherheitsplattform aufzubauen, sie zu optimieren, Personal zu schulen, Ablaufpläne zu erstellen und ihren Mitarbeitenden deren effektive Nutzung zu ermöglichen. Wenn Cybersicherheit für die Produktion nicht Ihr Kerngeschäft oder Ihre Kernkompetenz ist, wollen Sie diese neue Aufgabe wahrscheinlich nicht selbst durchführen. Daher bieten wir auch einen voll verwalteten Service an, der auf die spezifischen Bedürfnisse unserer Kunden abgestimmt ist. Wir wollen keine bestimmte Technologielösung verkaufen („Sie brauchen eine OT-Firewall!“), sondern vielmehr unsere Kunden bei der Nutzung solcher Lösungen und deren nahtloser Integration in ihren OT-Prozess unterstützen. Wie würde zum Beispiel ein Firewall-Regelwerk aussehen, das einen bestimmten OT-Unterprozessbereich abschirmt, ohne kritische Echtzeit-Kommunikation zu blockieren? Welche Änderungen und Notfallmanagement-Prozesse für Ausfälle sind erforderlich? Wir wollen die Resilienz unserer Kunden gegenüber Cyberangriffen stärken.
Das ist die nächste Schutzebene. Mit dem Industrial Security Center haben wir die drei grundlegenden Bereiche kombiniert, die für die Resilienz Ihrer OT-Prozesse kritisch sind: physische, OT- und Cybersicherheit. Wir überwachen laufend die aus diesen Bereichen eingehenden Daten und führen nahezu in Echtzeit (innerhalb von Sekunden) Analysen durch, um Abweichungen in Situationen oder im Verhalten zu identifizieren. Und wir haben nicht nur die Daten kombiniert. Wir haben außerdem die bereichsübergreifende Reaktion auf Vorfälle mit SOAR-Technologie teilautomatisiert, also die Schritte, die ein Level-1-Analyst normalerweise manuell durchführen müsste. Dadurch können wir eine viel schnellere Erstreaktion umsetzen. Und da wir nun über Kontextinformationen aus Quellen wie Kameras, SCADA-Überwachungssystemen, IoT-Geräte (Internet of Things) und Cybersensoren verfügen, können wir die tatsächliche Lage viel schneller einschätzen, als wenn wir nur Zugriff auf einen Bereich hätten, beispielsweise nur auf die Cyberumgebung. Doch verstehen Sie mich nicht falsch: Wir klammern keineswegs die Menschen aus der Gleichung aus.
Für kritische Entscheidungen haben wir einen Koordinator/Orchestrator, der die umfassenden und hochwertigen Kontextinformationen nutzt, um gemeinsam mit den Spezialisten unserer Kunden den Vorfall zu lösen.
Hier einige Abkürzungen, denen Sie begegnen werden oder die Ihnen vielleicht bereits vertraut sind:
KRITIS – kritische Infrastrukturen
KRITIS-Verordnung – die kritischen Infrastrukturen in den sieben Sektoren (Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung, Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen
IR – Incident Response (Reaktion auf Vorfälle)
OT – Operational Technology (operative Technologie)
SIEM – Security Information and Event Management (Sicherheitsinformationen und Vorfallverwaltung)
SOAR – Security Orchestration, Automation and Response (Orchestrierung, Automatisierung und Reaktion auf Sicherheitsfragen)
SOC – Security Operation Center (IT-Sicherheitszentrum)
SCADA – Supervisory Control and Data Acquisition (Überwachung, Steuerung und Datenerfassung)
Wir wollen keine bestimmte Technologielösung verkaufen („Sie brauchen eine OT-Firewall!“), sondern vielmehr unsere Kunden bei der Nutzung solcher Lösungen und deren nahtloser Integration in ihre OT-Prozesse unterstützen.
Bernd Jäger, Industrial & IoT Security Experte