Was das neue IT-Sicherheitsgesetz 2.0 für die KRITIS-Betreiber und die Entsorgungswirtschaft bedeutet
Am 1. Mai 2023 gemäß der Novelle zum IT-Sicherheitsgesetz 2.0 wird eine neue KRITIS-Verordnung 2.0 mit verschärften Sicherheitsauflagen für Betreiber kritischer Infrastrukturen in Kraft treten. Was das zum Beispiel für die Entsorgungswirtschaft, Betriebstechnik (OT) und ihre IDS-Systeme bedeutet, erläutert Olaf Niemeitz, BA-Leiter IT & Managed Services von Axians Deutschland in diesem Beitrag.
Schwerwiegende bis verheerende Cyberattacken sind heute fast an der Tagesordnung. Vor allem auch Unternehmen mit kurz KRITIS genannter kritischer Infrastruktur und von großer systemischer oder volkswirtschaftlicher Bedeutung werden immer häufiger Ziel dieser Angriffe. Aber schon 2011 haben Bund und Länder in Deutschland begonnen, besonders sensible Bereiche als kritische Infrastruktur zu identifizieren und Maßnahmen zur Verbesserung der Cybersicherheit zu formulieren.
Im Mai 2021 trat dann das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG 2.0) in Kraft. Und das verpflichtet KRITIS-Unternehmen, bis zum 1. Mai 2023 sowohl auf der IT- als auch auf der OT-Ebene ein System zur Angriffserkennung (SzA) einzusetzen, das Eindring- und andere Angriffsversuche wirksam erkennt. Und das ist keine Kann-Bestimmung, sondern müssen die betroffenen Unternehmen und Stadtwerke in Audits nachweisen. Zwischenfälle sind dem Gesetz zufolge auch umgehend anzuzeigen. Halten die Betriebe sich nicht an die gesetzliche Meldepflicht und informieren sie nicht schnell genug das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI), droht ihnen seit 2021 wie bei Verstößen gegen die DSGVO ein verschärftes Bußgeld von bis zu 20 Millionen Euro.
Wer fällt unter KRITIS?
Das IT-Sicherheitsgesetz 2.0 hat folgende zehn Sektoren abgesteckt, deren Unternehmen oder staatlichen Stellen als Betreiber kritischer Infrastrukturen gelten:
Hinzu kommen ihre Zulieferer und Unternehmen im besonderen öffentlichen Interesse, die seit 2021 auch dem IT-Sicherheitsgesetz 2.0 und somit strengeren Richtlinien unterstellt sind: UBI 1 sind Hersteller von Rüstungsgütern und Produkten für staatliche Verschlusssachen (VS), UBI 2 Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, UBI 3 Unternehmen, die Umgang mit Gefahrgütern haben, Hersteller oder Verarbeiter von Chemikalien zum Beispiel.
IDS: Problem erkannt…
All die genannten Unternehmen sind gemäß §8a (1a) des IT-SiG 2.0 verpflichtet, Systeme zur Angriffserkennung einzurichten. Denn diese gelten als erste technische Voraussetzung für eine wirksame Cyberabwehr.
Diese sogenannten Intrusion Detection Systems (IDS) sind in der Regel passiv und haben die Aufgabe, Logdaten der angeschlossenen Systeme oder kritischer Infrastruktur zu analysieren, sie auf bestimmte Angriffsmuster zu überprüfen und bei Verdacht auf Missbrauchsversuch oder einer Sicherheitslücke Alarm zu schlagen. Neben allgemeinen Angriffsmustern, die in den IDS-Systemen hinterlegt sind, besteht meist auch die Möglichkeit, branchen- oder unternehmensspezifisch manuell neue hinzuzufügen.Wie Sie ein IDS am besten einführen und was Sie dabei beachten müssen, erfahren Sie in diesem Artikel auf dem Expertenblog der Axians.
…Problem gebannt mit IPS und SIEM
Wenn es zu einem Cyberangriff oder einem Sicherheitsvorfall kommt, ist wichtig, diesen nicht nur zu erkennen, sondern ganz schnell Mittel einzusetzen, um ihn wirksam abzuwehren oder zu beseitigen. Mit einem reinen IDS ist es hier nicht getan. Und damit kommen in der Regel Intrusion Prevention Systems (IPS) und Security Information and Event Management (SIEM) zum Einsatz.
Das Zusammenspiel verschiedener Architekturbausteine der Cybersecurity ermöglicht ein großes Maß an Automatisierung, um Standardangriffe ohne menschliches Zutun effektiv abwehren zu können. Das entlastet Mitarbeiter:innen und reduziert auch das Gefahrenpotenzial, dass sie im entscheidenden Moment nicht da oder aufmerksam sind. Ein weiterer Sicherheitspuffer sind sogenannte Incident-Alerts oder Warnmeldungen. Diese müssen allerdings meist noch immer einzeln analysiert werden, um zu entscheiden, ob Handlungsbedarf besteht. Und da das sehr zeit- und ressourcenintesiv ist, empfiehlt es sich, dieses Monitoring an Spezialist:innen und IT-Dienstleister wie Axians auszulagern.
Operational Technology verdient besonderes Augenmerk
KRITIS-Unternehmen sollten nicht nur ihre IT-Systeme im Blick haben, sondern auch ihre Operational Technology (OT), zu Deutsch Betriebstechnik.
Dazu gehören Hardware und Software zur Steuerung von Produktionsmaschinen in der Industrie, der Energie- und Wasserwirtschaft, von Kläranlagen und auch lebenswichtiger Medizintechnik in Krankenhäusern. Im Zuge von Industrie 4.0 und der zunehmenden Vernetzung kommen sich IT und OT immer näher und müssen Hand in Hand zusammenwirken. Für Unternehmen aus dem KRITIS-Umfeld bedeutet das, dass sie auch ihre OT-Einrichtungen wie Fernwirk-, Prozess und Netzleittechnik zwingend in das IDS einbinden müssen, um schnellstmöglich Schwachstellen und Anomalien aufdecken zu können.
Ein SIEM allein reicht hier auch nicht mehr aus. Vielmehr braucht es dafür ein durchgehendes Abwehrsystem, das neben der IT auch die OT mit einem dedizierten Monitoring überwacht, um Anomalien im Netzwerk zu erkennen, zu analysieren und sofort an das SIEM zu melden. Bei den Tools für die OT Detection oder das OT Network Monitoring unterscheidet man zwischen aktiven und passiven Systemen. Das passive Security Monitoring „belauscht“ praktisch das ganze Netzwerk, um über das Korrelieren von Events Angriffsmuster oder Anomalien zu erkennen.
Das aktive Security Monitoring geht proaktiv noch einen Schritt weiter, indem es die verbundenen Geräte und Endpunkte systematisch auf Schwachstellen und Fehlkonfigurationen untersucht, um entsprechende Gefahrenquellen anzuzeigen. Grundsätzlich ist eine Kombination von aktivem und passivem Monitoring zu empfehlen. Das ist aber ressourcenintensiv und erfordert auch das nötige Fachwissen, weswegen es ratsam ist, Prozessverantwortliche oder auf IT- und OT-Sicherheit spezialisierte Beratungsunternehmen hinzuzuziehen.
Was bedeutet das für KRITIS-Betreiber und speziell die Abfallwirtschaft?
Wer noch Bilder von sich häufenden Müllbergen in Berlin vor Augen hat, wird verstehen, dass die kommunale Abfallentsorgung es zum Schluss auch noch geschafft hat, in die Liste der KRITIS-Sektoren aufgenommen zu werden. Denn durch eine nicht funktionierende Müllabfuhr erhöhen sich die Gefahren von Seuchen und gravierenden Umweltschäden.
In den KRITIS-Bereich fallen derzeit alle Versorgungs- und Verwertungsunternehmen mit einem Versorgungsradius von 500.000 Menschen in der jeweiligen Stadt, Kommune oder Gemeinde. Und damit unterliegen sie wie andere KRITIS-Betreiber folgenden Cybersecurity-Pflichten:
KRITIS-Betreiber müssen…
➝ sich selbst als solche identifizieren
➝ KRITIS-Anlagen beim BSI melden und registrieren.
➝ Dem BSI Störfälle und Cyberattacken jeweils sofort melden.
➝ KRITIS-Anlagen definieren und Scope im Unternehmen festlegen.
➝ eine angemessene Cybersecurity gewährleisten, was auch Maßnahmen zum Management von IT-Sicherheit (ISMS), Risikoabschätzzung, Kontinuität (BCMS) und Technologien einschließt.
➝ die Umsetzung der IT-Sicherheitsmaßnahmen durch Prüfungen oder Audits nachweisen.
Konkret heißt das: KRITIS-Unternehmen wie die der Abfallwirtschaft müssen sich als solche unmittelbar beim BSI registrieren und dabei auch gleich eine interne Kontaktstelle benennen. Das BSI kann KRITIS-Betreiber auch selbst identifizieren und im Zweifel Unterlagen einsehen. Ferner müssen KRITIS-Betreiber sich vom BSI auch den Einsatz kritischer IT-Infrastrukturen genehmigen lassen und im Vorfeld alle Informationen zur Lösung von erheblichen IT-Vorfällen und Störungen zur Verfügung stellen. Das schließt auch personenbezogene Daten mit ein.
Mehr zum Thema KRITIS in der Entsorgungsbranche und wie betreffende Unternehmen ihre kritische Infrastruktur wirksam vor Cyberangriffen schützen können, erfahren Sie in diesem Artikel unserer Schwestergesellschaft Axians eWaste.
Fazit
Wie bei spektakulären Zugausfällen gerade erst erlebt, laufen auch kommunale und staatliche Unternehmen immer mehr Gefahr, zum Spielball von Cyberkriminellen zu werden. Pannen und menschliches Versagen tun ihr Übriges. Umso wichtiger ist es für Unternehmen mit kritischer Infrastruktur einschließlich der systemrelevanten Abfallwirtschaft, neben der IT- auch an ihre OT-Sicherheit zu denken. Entsprechende Auflagen und Richtlinien sind das eine, aber besser ist, proaktiv mehr zu tun als nötig, bevor es wirklich zu einem massiven Systemausfall kommt. KRITIS-Unternehmen sind daher gut beraten, sich an einen Partner wie Axians zu wenden, der breite Erfahrungen im Bereich der IT- und der OT-Sicherheit besitzt.
Und mit dem von uns und unserer Muttergesellschaft VINCI Energies 2021 eröffneten Security Operations Center (SOC) in Basel haben wir ein Zentrum für Cybersicherheit in IT und OT aufgebaut. Das umfasst Maschinen- und Fuhrparks ebenso wie die kritische Infrastruktur der hier genannten Unternehmen.
Quelle Titelbild: Adobe Stock / chokniti
