ITSiG 2.0: System für Angriffserkennung wird Pflicht für KRITIS

ITSiG 2.0: System für Angriffserkennung wird Pflicht für KRITIS - Kritische Infrastruktur

Beitrag teilen

Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. ITSiG 2.0, das System für Angriffserkennung wird Pflicht für KRITIS. Kritische Infrastrukturen müssen binnen zwei Jahren ganzheitliches System zur Angriffserkennung aufbauen. Die Lieferkette wird Bestandteil des IT-Sicherheitsgesetzes.

Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. Neben erweiterten Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden Anforderungen an die Cybersicherheit verschärft. Kritische Infrastrukturen wie Energieversorger und Wasserversorger sowie nun auch Abfallentsorger und Großunternehmen mit volkswirtschaftlicher Bedeutung werden mit der Novellierung verpflichtet, ein System zur Angriffserkennung umzusetzen. Dieses sollte laut der Erläuterung zum Gesetzestext die Kommunikationstechnik der Betreiber Kritischer Infrastrukturen möglichst umfassend schützen, also die gesamte Infrastruktur berücksichtigen, um »fortwährend Bedrohungen zu identifizieren und zu vermeiden«, so § 8a (1a). Damit rücken auch die Fernwirk-, Prozess- und Netzleittechnik der Betreiber in den Fokus, die in Abgrenzung zur Unternehmens-IT als Operational Technology (OT) bezeichnet wird.

KRITIS-Schutz ist Pflicht

»Auch wenn das Gesetz in großen Teilen bezüglich seiner Ausgestaltung unscharf bleibt, ist die Forderung nach einem ganzheitlich wirkenden System zur Angriffserkennung absolut überfällig«, bestätigt Rhebo-CEO Klaus Mochalski. »Damit wird sowohl die gewachsene Relevanz der OT-Cybersicherheit als auch der Trend der Konvergenz von Unternehmens-IT und OT berücksichtigt. Bei Monitoringprojekten und Risikoanalysen bei u.a. Energieversorgern und Industrieunternehmen identifizieren wird seit vielen Jahren Gefährdungen, die über die Schnittstellen der einst getrennt geführten Netzwerke laufen. Dadurch steigt nicht nur das Risiko, dass Cyberangriffe über die OT erfolgen. Auch die Gefahr, dass industrielle Prozesse wie Energieversorgung und Produktion nachhaltig gestört werden, hat in den letzten Jahren signifikant zugenommen«. So belegt die Auswertung der 2020 öffentlich gewordenen Cyberangriffe auf Energieversorgungsunternehmen eine Zunahme um weltweit 38 Prozent im Vergleich zum Vorjahr. Für Industrieunternehmen ergab sich eine Steigerung um 111 Prozent (Quelle: www.hackmageddon.com).

Unnötige Verzögerung

Betreibern Kritischer Infrastrukturen bleiben nun 24 Monate, um das System zur Angriffserkennung umzusetzen. In den ersten Entwürfen des ITSiG 2.0 hatte das BSI noch eine Umsetzung binnen 12 Monaten gefordert. Aufgrund der Komplexität einiger Kritischer Infrastrukturen wurde der Zeitraum für die Implementierung erst in den letzten Wochen der Verhandlungen verdoppelt. »In Bezug auf die aktuelle Gefährdungslage wäre eine kurzfristige Verpflichtung wünschenswert gewesen«, kommentiert Mochalski die Anpassung in letzter Minute. »Insbesondere weil es längst Ansätze und Technologien gibt, die eine schnelle Absicherung selbst komplexer Infrastrukturen ermöglichen. Einige unserer Kunden betreiben beispielsweise eine Vielzahl von Umspannwerken, Erneuerbare-Energieanlagen und anderen Unterstationen. Die Íntegration unseres industriellen Netzwerkmonitorings mit Anomalieerkennung kann hier in sehr kurzer Zeit erfolgen. Das ist auch möglich, weil wir unsere Lösung ohne weiteres auf bereits bestehenden Netzwerkkomponenten von z. B. Barracuda, INSYS icom, RAD und Welotec integrieren können«.

Zulieferer werden in die Pflicht genommen

Eine weitere Neuerung des ITSiG 2.0 ist die Ausweitung der Gesetzgebung auf große Zulieferer für Kritische Infrastrukturen. Damit wird einer zunehmend komplexen Cybergefahr-Landschaft Rechnung getragen, bei der die gesamte Lieferkette berücksichtigt werden muss.

»Auch wenn diese Regelung vermutlich auf ausländische Zulieferunternehmen für das 5G-Netz abzielt, ist dies auch der richtige Schritt für alle Betreiber Kritischer Infrastrukturen oder volkswirtschaftlich relevanten Unternehmen«, unterstreicht Mochalski. »Nicht zuletzt der Vorfall SolarWinds hat dies verdeutlicht«. Mit der als Supply Chain Compromise bekannten Angriffstechnik hatten die Angreifer Ende 2020 zuerst den IT-Plattformdienstleister SolarWinds kompromittiert, um von dort Zugriff auf ihre eigentlichen Ziele ‒ SolarWinds Kunden ‒ zu erhalten. »Wir arbeiten aus diesem Grund bereits länger mit verschiedenen Herstellern von OT-Komponenten und kritischen IoT-Anlagen zusammen«>. So schützt Rhebo seit 2019 die Energiespeichersysteme des deutschen Herstellers Sonnen GmbH, die weltweit zum Einsatz kommen. Anfang 2021 wurde Rhebo durch den führenden Anbieter für Energiemanagement-Lösungen Landis+Gyr übernommen. Mit der Integration von Rhebo in die Advanced Metering Infrastructure von Landis+Gyr erhalten zukünftig Kritische Infrastrukturen weltweit eine sichere Lösung für die weitere Digitalisierung und Automatisierung ihrer Dienstleistungen.

Mehr bei Rhebo.com

 


Rhebo GmbH

Rhebo entwickelt und vermarktet innovative industrielle Monitoringlösungen und -services für Energieversorger, Industrieunternehmen und Kritische Infrastrukturen. Das Unternehmen ermöglicht ihren Kunden, sowohl die Cybersicherheit als auch die Verfügbarkeit ihrer OT- und IoT-Infrastrukturen zu gewährleisten und somit die komplexen Herausforderungen bei der Absicherung industrieller Netze und Smart Infrastructures zu meistern. Rhebo ist seit 2021 eine 100%ige Tochter von Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft mit weltweit rund 5.500 Mitarbeitern. Rhebo ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und engagiert sich aktiv beim Teletrust – Bundesverband IT-Sicherheit e.V. und Bitkom Arbeitskreis Sicherheitsmanagement für die Erarbeitung von Sicherheitsstandards.

 


 

Passende Artikel zum Thema

EU-NIS2-Direktive: Wie bereiten sich Unternehmen am besten vor?

Von der Neuauflage der EU-NIS2-Direktive sind viele Unternehmen betroffen. Mit ihr erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. ➡ Weiterlesen

EU-NATO-Papier: KRITIS vor Cyberangriffen schützen

EU-NATO-Taskforce über die Resilienz der Kritischen Infrastruktur (KRITIS) in Europa erklärt Energie, Verkehr, digitale Infrastruktur und Weltraum als besonders schützenswerte ➡ Weiterlesen

Cyber-Risiko: Ladestationen für Elektrofahrzeuge

Ladestationen und Anwendungen für Elektrofahrzeuge sind oft nur unzureichend gegenüber Sicherheitsrisiken geschützt. Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen Aktionen von ➡ Weiterlesen

Drastische Zunahme von Malware-Bedrohungen

Sicherheitsbedrohungen in OT- und IoT-Umgebungen nehmen stark zu. Das Gesundheitswesen, der Energiesektor und die Fertigung sind besonders davon betroffen. Die ➡ Weiterlesen

iOS 16: Simulierter Flugmodus als versteckter Hack

Jamf Threat Labs hat auf iOS16 eine Technik entwickelt, die den Flugmodus simulieren kann. Konkret bedeutet das: Hacker könnten diese ➡ Weiterlesen

E-Mail-Erpressung auf dem Vormarsch

Bei Erpressungs-E-Mails drohen Cyberkriminelle damit, kompromittierende Informationen ihrer Opfer zu veröffentlichen, etwa ein peinliches Foto, und fordern eine Zahlung in ➡ Weiterlesen

Zero Trust: Endpoint-Agents als VPN-Ersatz

Unternehmen können jetzt die Vorteile einer Zero-Trust-Architektur voll ausschöpfen und gleichzeitig das Design des Netzwerks drastisch vereinfachen. Neue Endpoint-Agents für ➡ Weiterlesen

Risiken des Quantencomputings in der Automobilbranche

Auswirkungen der Quantencomputer-Technologie auf die Automobilindustrie, die potenziellen Cybersicherheitsrisiken der neuen Technologie und die Möglichkeiten der Risikominderung für die Automobilhersteller. ➡ Weiterlesen