IT-Sicherheitsgesetz 2.0: Schutz kritischer Infrastrukturen

Beitrag teilen

Am 1. Mai 2023 tritt die Novelle zum IT-Sicherheitsgesetz 2.0 in Kraft. Mit Ablauf der Übergangsfrist verlangt das BSI neue Auflagen von Betreibern der kritischen Infrastruktur. Welche das im Einzelnen sein werden, wer davon betroffen ist und welche Maßnahmen bis dahin unbedingt getroffen werden müssen. Ein Kommentar von Radar Cyber Security.

Cyberkriminelle nehmen immer häufiger Betreiber kritischer Infrastrukturen und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung ins Visier. Dies kann nicht nur zu millionenschweren Produktionsausfällen und Versorgungsengpässen führen, sondern hat im schlimmsten Fall die Gefährdung der öffentlichen Sicherheit zur Folge. Zudem müssen sich KRITIS-Betreiber nicht nur vor monetär motivierten Erpressungsversuchen schützen. Auch politisch motivierte Angriffe als Teil einer hybriden Kriegsführung sind mittlerweile zu einer realen Bedrohung geworden.

Anzeige

ITSig 2.0 – IT-Sicherheitsgesetz 2.0 ab Mai 2023

Der deutsche Gesetzgeber hat bereits 2021 mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – auf diese Gefahren reagiert. Hiermit wurde das bestehende BSI-Gesetz um weitere Punkte ergänzt. Auch auf EU-Ebene wird man mit einer zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS 2) nachziehen.

So müssen neben den traditionellen KRITIS-Betreibern nun künftig auch Unternehmen im sogenannten „besonderen öffentlichen Interesse“, wie etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Damit einhergehend wurde der Kreis der kritischen Infrastrukturen um die Sektoren wie etwa Abfallentsorgung und Rüstungsherstellung erweitert.

IT-Sicherheitsgesetz 2.0: Neue Auflagen im Überblick

  • Betreiber kritischer Infrastrukturen müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementieren.
  • KRITIS-Betreiber müssen den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht.
  • Unternehmen im besonderen öffentlichen Interesse werden zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Hiermit müssen sie darlegen, welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden.

Maßnahmen zum Schutz kritischer Infrastrukturen

KRITIS-Betreiber und Unternehmen, die ihre IT und Leittechnik vor Cyberangriffen schützen müssen, benötigen integrierte Lösungen, die im Einklang mit dem IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie der ISO-Norm 27001 zur Informationssicherheit stehen. Auf der Technologieseite sollten daher folgende Detektionsmodule eingesetzt werden:

  • Log-Daten-Analyse (LDA) / Security Information and Event Management (SIEM): Hierunter versteht man das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen. Daraus resultieren die Alarmierungen bei Sicherheitsproblemen oder potenziellen Risiken.
  • Vulnerability Management & Compliance (VMC): Das Schwachstellenmanagement ermöglicht kontinuierliche, interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung. Im Rahmen der Software Compliance wird die autorisierte Verwendung von Software für jeden Server bzw. jede Server-Gruppe mithilfe eines Regelwerks und einer kontinuierlichen Analyse festgestellt. Manipulierte Software kann schnell erkannt werden.
  • Network Condition Monitoring (OT-Modul): Hiermit werden in Echtzeit Kommunikationsvorgänge gemeldet, die auf eine Störung des fehlerfreien Betriebs hinweisen. Technische Überlastungszustände, physische Beschädigungen, Fehlkonfigurationen und Verschlechterung der Netzwerkleistung werden damit umgehend erkannt und die Fehlerquellen direkt ausgewiesen.
  • Network Behavior Analytics (NBA): Mit der Netzwerkverhaltensanalyse ist die Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines möglich.
  • Endpoint Detection & Response (EDR): Endpoint Detection and Response steht für die Analyse, Überwachung und Erkennung von Anomalien auf Computerrechnern (Hosts). Mit EDR werden aktive Schutzaktionen und sofortige Alarmierung bereitgestellt.

🔎 Teil 1: IT-Sicherheitsgesetz 2.0 für Kritis (Bild: Radar Cyber Security).

Die Weiterverarbeitung der sicherheitsrelevanten Informationen aus diesen Modulen wird aufgrund der Komplexität durch Sicherheitsspezialist:innen durchgeführt. Sie bewerten und priorisieren die automatisiert gewonnenen Erkenntnisse aus einer riesigen Datensammlung. Die Ergebnisse dieser Analyse sind die Basis für die Einleitung der richtigen Gegenmaßnahmen durch hausinternes Fachpersonal.

Um bestmögliche Datensicherheit zu gewährleisten, empfiehlt sich zudem die Einrichtung von On-Premise-Lösungen als sicherste Form des Deployments. Auch wenn der Trend vermehrt Richtung Cloud geht, ist dies hinsichtlich der hohen Datensensibilität im Bereich KRITIS problematisch.

Cyber Defense Centers (CDC) zum Schutz kritischer Infrastrukturen

Mit einem Cyber Defense Center (CDC) – auch als Security Operations Center (SOC) bekannt – können KRITIS-Betreiber und Unternehmen alle oben genannten Punkte effektiv umsetzen, um ein durchgängiges, integriertes Sicherheitskonzept für ihre IT- und OT-Infrastruktur zu implementieren. Ein CDC umfasst Technologien, Prozesse und Experten, die für die Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind. Das CDC sammelt in Echtzeit Daten aus den Netzwerken, Servern, Endpunkten und anderen digitalen Ressourcen des Unternehmens und nutzt intelligente Automatisierung, um potenzielle Bedrohungen der Cybersicherheit zu erkennen, zu priorisieren und darauf zu reagieren – und das rund um die Uhr. Hierdurch können Bedrohungen schnell eingedämmt und neutralisiert werden.

🔎 Teil 2: IT-Sicherheitsgesetz 2.0 für Kritis (Bild: Radar Cyber Security).

Zudem ist die Verwendung europäischer Sicherheitstechnologien für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse empfehlenswert. Denn hierdurch können gesetzliche Datenschutz-Vorgaben einfach erfüllt werden. Hierzu zählen etwa die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) sowie die Forderung des BSI-Gesetzes nach einem geeigneten Nachweis ihrer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.

Attacken auf Europas KRITIS werden zunehmen

Der Einsatz europäischer Sicherheitstechnologie erleichtert auch die Prüfung kritischer Komponenten durch das BSI, um sicherzugehen, dass der EU-datenschutzwidrige Zugriff auf sensible Informationen durch Drittstaaten-Akteure zu keiner Zeit gelingen kann. Umso wichtiger in Zeiten von etwa inaktivem Privacy Act zwischen USA und Europa noch unklarer geregelt ist.

Es ist damit zu rechnen, dass Attacken auf Europas kritische Infrastrukturen zukünftig weiter zunehmen werden und das ist besonders jetzt auf der geopolitischen Bühne mit dem Ukraine-Krieg sichtbar. Mit einer ganzheitlichen Cyber Defense Center Lösung können deutsche KRITIS-Betreiber ihre Cyber-Resilienz deutlich steigern, um sich gegen Angriffe zu verteidigen.

Mehr bei RadarCS.com

 


Über Radar Cyber Security

Radar Cyber Security betreibt im Herzen Wiens eines der größten Cyber Defense Center Europas auf Basis der eigenentwickelten Cyber Detection Platform Technologie. Angetrieben von der starken Kombination aus menschlicher Expertise und Erfahrung, gepaart mit den letzten technologischen Entwicklungen aus zehn Jahren Forschungs- und Entwicklungsarbeit, vereint das Unternehmen in seinen Produkten RADAR Services und RADAR Solutions umfassende Lösungen für die Herausforderungen in Bezug auf IT- und OT-Security.


 

Passende Artikel zum Thema

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen