Donnerstag, 21. November 2024

IT-SicherheitKRITIS-Regeln ­verschärft

[12.04.2023] Das IT-Sicherheitsgesetz 2.0 hat die Regelungen für Betreiber Kritischer Infrastrukturen verschärft. Zudem fallen nun deutlich mehr Versorgungsunternehmen unter die KRITIS-Verordnung und müssen entsprechende Maßnahmen umsetzen.
Das IT-Sicherheitsgesetz 2.0 hat die Regelungen für Betreiber Kritischer Infrastrukturen verschärft.

Das IT-Sicherheitsgesetz 2.0 hat die Regelungen für Betreiber Kritischer Infrastrukturen verschärft.

(Bildquelle: RVNW/stock.adobe.com)

Mit dem im Mai 2021 in Kraft getretenen IT-Sicherheitsgesetz 2.0 und der daraufhin aktualisierten KRITIS-Verordnung sehen sich zahlreiche Unternehmen der Tatsache gegenüber, dass ihre Anlagen nun als Kritische Infrastrukturen gelten – und sie damit verschärften Regulierungen unterliegen. Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber einen ganzheitlichen Ansatz mit einem Fokus auf vernetzten Systemen. IT-Sicherheit wird nicht mehr als Angelegenheit eines Einzelnen betrachtet, sondern als Gemeinschaftsaufgabe. Zu den bereits bestehenden rund 1.600 KRITIS-Betreibern kommen geschätzt 270 neue hinzu.
Das IT-Sicherheitsgesetz 2.0 beinhaltet vier wesentliche Neuerungen, so etwa die Verpflichtung, bis zum 1. Mai 2023 ein Angriffserkennungssystem (Instrusion Detection System, IDS) einzuführen, das kontinuierlich den Netzwerkverkehr analysieren und Bedrohungen anhand von Mustern erkennen kann. Damit wird es möglich, automatisiert und in Echtzeit über potenzielle Sicherheitsvorfälle informiert zu werden.

BSI erhält offensive Möglichkeiten

Zudem ist der Einsatz kritischer Komponenten für KRITIS-Betreiber nun meldepflichtig. Zusätzlich müssen die Hersteller der Komponenten eine Garantieerklärung hinsichtlich der Vertrauenswürdigkeit entlang der gesamten Lieferkette abgeben. Bei berechtigten Zweifeln darf das Bundesministerium des Innern und für Heimat (BMI) den Einsatz einer kritischen Komponente untersagen.
Des Weiteren werden die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. Agierte dieses bislang eher defensiv, erhält es mit dem IT-Sicherheitsgesetz 2.0 eine Vielzahl offensiver Möglichkeiten. So reicht zukünftig bereits der Verdachtsfall auf ein nicht ausreichend geschütztes, öffentlich erreichbares IT-System bei einem KRITIS-Betreiber aus, damit das BSI ohne vorherige Bekanntgabe eigene Maßnahmen wie Portscans oder eine aktive Schwachstellensuche durchführen darf, um mögliche Sicherheitslücken zu detektieren. Zu guter Letzt werden mit dem IT-Sicherheitsgesetz 2.0 die Bußgelder – analog zur Datenschutz-Grundverordnung (DSGVO) – verschärft.

UBI als neue Kategorie

Die Liste der KRITIS-Sektoren wird darüber hinaus um den Sektor „Siedlungsabfallentsorgung“ erweitert. Außerdem wird mit den „Unternehmen im besonderen öffentlichen Interesse (UBI)“ eine neue Kategorie neben den KRITIS-Betreibern geschaffen. In einigen KRITIS-Sektoren werden zudem die Schwellenwerte angepasst. Das hat insbesondere für den Sektor Energie große Auswirkungen. Lag der Schwellenwert für die Einstufung als Kritische Infrastruktur für Stromerzeugungsanlagen zuvor bei 420 Megawatt (MW) Nettonennleistung, wurde er jetzt auf 104 MW abgesenkt. Ist die Anlage für die Erbringung von Primärregelleistung zuständig, gilt sogar ein Schwellenwert von nur 36 MW – wobei schwarzstartfähige Anlagen immer als Kritische Infrastruktur gelten. Waren zuvor also selbst große Windparks an Land außen vor, fallen nun geschätzt fast 170 neue Betreiber allein im Energiesektor in den KRITIS-Bereich.

Notwendige Maßnahmen

Im ersten Schritt ist für Unternehmen, die bislang nicht unter die KRITIS-Verordnung gefallen sind, zu prüfen, ob sie aufgrund der neuen Regelungen nun als Betreiber Kritischer Infrastrukturen gelten. Sollte dies der Fall sein, sind strenge Maßnahmen umzusetzen: Zuallererst gilt es, ein Information Security Management System (ISMS) nach ISO 27001 einzuführen, mehr Informationen zu dokumentieren, in den meisten Fällen die internen Prozesse anzupassen, einen Ansprechpartner für das BSI zu benennen und bei einer IT-Störung der entsprechenden Meldepflicht nachzukommen. Als registrierter KRITIS-Betreiber durchläuft man hierfür eine Zertifizierung, die regelmäßig überprüft wird.

Verschärfung der Regelungen

Auch für diejenigen, die schon vorher KRITIS-Betreiber waren, verschärft das IT-Sicherheitsgesetz 2.0 wie oben erwähnt die Regelungen. Eine Herausforderung besteht in der fehlenden Konkretisierung. So ist für das künftig vorgeschriebene Angriffserkennungssystem etwa dessen Funktionsweise definiert, es gibt aber keine Vorgabe, welche konkreten Systeme den Regelungen entsprechen. Ähnlich gelagert ist die Anforderung, nur validierte kritische Komponenten in KRITIS-Anlagen einzusetzen. Aktuell finden Erzeuger in der Energie- und Wasserversorgung weder spezifische Regelungen noch Whitelists, welche Technologien verbaut werden dürfen. Eine zusätzliche Hürde ist der Umstand, dass vielen Mitarbeitenden derzeit noch das notwendige Hintergrundwissen fehlt, um mit den neuen Anforderungen umgehen zu können.
Mit der nächsten Version des IT-Sicherheitsgesetzes und der Umsetzung der Richtlinie EU NIS 2 ist zudem mit einer weiteren Verschärfung der Sicherheitsanforderungen zu rechnen, aus dem sich zunehmend auch ein Handlungsbedarf für kleinere Stadtwerke ergibt. Ist aktuell etwa der Einsatz eines Angriffserkennungssystems erforderlich, könnte der nächste Schritt eine umfassendere Betrachtung der eigenen Sicherheitslage mittels eines Security Information and Event Management (SIEM) sein, bei dem zusätzlich eine Vielzahl an Log-Nachrichten und Statusmeldungen ausgewertet wird.

Ausweitung des Fokus

In Zukunft werden zudem sektorübergreifende Abhängigkeiten und bislang nicht erfasste Infrastrukturen im Fokus stehen. Nach der Richtlinie EU NIS 2 sollen Kritische Infrastrukturen zukünftig zum Beispiel nur noch nach Unternehmensgröße (Mitarbeiter und Umsatz) eingestuft werden, wodurch sich die Anzahl der KRITIS-Anlagen signifikant erhöhen könnte.
Die Energiebranche ist aufgrund ihrer hohen Bedeutung für Wirtschaft und Gesellschaft ein beliebtes Angriffsziel für Cyber-Kriminelle. Angriffe auf Infrastrukturen der Energie führen aufgrund der Vernetzungen und Abhängigkeiten zwischen den KRITIS-Sektoren nicht selten zu einem Domino- oder sogar Kaskadeneffekt. Wurden früher Opfer noch gezielt ausgewählt, sind heute breit angelegte Angriffswellen üblich. Es ist also nur eine Frage der Zeit, bis eine Anlage attackiert wird. Umso wichtiger ist die Vorbereitung darauf – im gesamten Unternehmen.

Marcel Kühne

Der Autor, Marcel KühneMarcel Kühne ist wissenschaftlicher Mitarbeiter im Lernlabor Cyber-Sicherheit für die Energie- und Wasserversorgung am Institutsteil für angewandte Systemtechnik AST des Fraunhofer IOSB. Sein Schwerpunkt ist die Erarbeitung und Durchführung von praxisnahen Trainings für Versorgungsunternehmen.



Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...