IT-Sicherheitsgesetz 2.0: Umsetzungshilfe für KRITIS-Organisationen

IT-Sicherheitsgesetz 2.0: Umsetzungshilfe für KRITIS-Organisation 

Beitrag teilen

IT-Sicherheitsgesetz 2.0: Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ (ITSiG 2.0) im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.

Sophos hat deshalb als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für KRITIS einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen.

144 Millionen neue Schadprogramme in 2021

Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, maßgeblich um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Dass die Gefahrenlage angespannt ist, belegen Fakten: Laut BSI wurden 2021 rund 144 Millionen neue Schadprogramme identifiziert. Rund 25 Prozent der betroffenen Unternehmen und Organisationen, sahen in den Angriffen eine schwerwiegende oder existenzbedrohende Gefahr.

Dieses Gefahrenpotenzial wiegt umso schwerer, wenn kritische Infrastrukturen das Ziel der Cyberkriminellen sind, etwa im Gesundheitswesen, in den Bereichen der Energie- und Wasserversorgung oder bei der Nahrungsversorgung. Aus diesem Grund sind die Betreiber von kritischen Infrastrukturen (KRITIS) gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des IT-Sicherheitsgesetz 2.0 im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.

Neue Auflagen aber wenig konkrete Handlungsempfehlung

Wie schon in der Vergangenheit haben die Behörden, welche die Sicherheit bei KRITIS einfordern, auch bei der neuen Auflage der Bestimmungen genaue Vorstellungen, wie Verstöße geahndet und bestraft werden. Allerdings lassen sie den Unternehmen und Organisationen weitestgehend freie Hand bei der Umsetzung der IT-Sicherheit. Die Begründung: Konkrete Handlungsempfehlungen könnten die fortschreitende Innovation auf dem Gebiet der IT-Technik behindern und dazu führen, dass die gesetzlichen Pflichten mit dem Aufkommen neuer Technologien schnell wieder veralten. Dieser Ansatz ist aus Sicht der Kontrollorgane nachvollziehbar, hilft den Unternehmen jedoch wenig bei der konkreten Umsetzung des IT-Sicherheitsgesetz 2.0.

Security-Lösungsansatz für KRITIS

Sophos hat als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für KRITIS einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. Zur näheren Bestimmung der notwendigen Maßnahmen können sich KRITIS-Unternehmen und -Organisationen an zwei Anhaltspunkte orientieren: den „branchenspezifischen Sicherheitsstandards“, die von den einzelnen Branchenverbänden der betroffenen Sektoren entwickelt wurden, und an der aktuellen Handreichung des BSI.

Während die branchenspezifischen Sicherheitsstandards ausschließlich für den jeweiligen Sektor anwendbar sind, bietet die Handreichung des BSI allgemeine Anforderungen, die auf alle Sektoren und Branchen anwendbar sind. In diesem Anforderungskatalog legt das BSI 100 relevante Themen fest und erläutert die jeweiligen Sicherheitsvorkehrungen.

Anforderungskatalog des BSI

Im Solution Brief beschreibt Sophos, welche Themen aus dem Anforderungskatalog des BSI mit welchen Komponenten der Security adressiert werden können, um die geforderten Sicherheitsvorkehrungen umzusetzen – insbesondere im Zusammenhang mit dem neuen IT-Sicherheitsgesetz 2.0 – ITSiG 2.0. Ein Schwerpunkt der neuen Gesetze liegt auf der Angriffserkennung. KRITIS-Unternehmen und -Organisationen müssen in der Lage sein, in der IT verarbeitete Daten laufend mit Informationen und technischen Mustern abzugleichen, um potenzielle Angriffe zu identifizieren. Dazu müssen Parameter und Merkmale im Betrieb kontinuierlich und automatisch erfasst und vor allem ausgewertet werden.

Die Raffinesse und schnelle Entwicklung der Cyberkriminellen erfordert eine Kombination aus automatisierter und mit Künstlicher Intelligenz angereicherter Security, sowie menschlicher Expertise. Sowohl technisch als auch menschlich betriebene Security sollte sich in einem Ökosystem zusammenfinden, um Bedrohungen zu vermeiden und vor allem eingetretene Störungen so schnell wie möglich zu beseitigen.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Malwarebytes Labs: Coronavirus sorgt für Anstieg der Malware-Bedrohungen

In den ersten drei Monaten des Jahres 2020, während die Welt hart durchgreifen musste, um das Coronavirus einzudämmen, nahmen die ➡ Weiterlesen