Freitag, 22. November 2024

IT-Sicherheitsgesetz 2.0Schutz kritischer Infrastrukturen

[17.08.2022] Am 1. Mai 2023 tritt die Novelle zum IT-Sicherheitsgesetz 2.0 in Kraft. Mit Ablauf der Übergangsfrist müssen die Betreiber Kritischer Infrastrukturen (KRITIS) neue Auflagen erfüllen. Mit einem Cyber Defense Center (CDC) lassen die sich effektiv umsetzen.
Cyber Defence Center helfen KRITIS-Betreibern dabei

Cyber Defence Center helfen KRITIS-Betreibern dabei, gesetzliche Vorgaben zu erfüllen.

(Bildquelle: rawpixel/123rf.com)

Cyber-Kriminelle nehmen immer häufiger Betreiber Kritischer Infrastrukturen (KRITIS) und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung ins Visier. Dies kann nicht nur zu millionenschweren Produktionsausfällen und Versorgungsengpässen führen, sondern hat im schlimmsten Fall die Gefährdung der öffentlichen Sicherheit zur Folge. Zudem müssen sich KRITIS-Betreiber vor monetär motivierten Erpressungsversuchen schützen. Auch politisch motivierte Angriffe als Teil einer hybriden Kriegsführung sind mittlerweile zu einer realen Bedrohung geworden.
Der deutsche Gesetzgeber hat bereits im Jahr 2021 mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – auf diese Gefahren reagiert. Hiermit wurde das bestehende BSI-Gesetz um weitere Punkte ergänzt.
So müssen neben den traditionellen KRITIS-Betreibern künftig auch Unternehmen im so genannten besonderen öffentlichen Interesse, etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Damit einhergehend wurde der Kreis der kritischen Infrastrukturen um Sektoren wie die Abfallentsorgung und Rüstungsherstellung erweitert.

Die neuen Auflagen im Überblick

Betreiber kritischer Infrastrukturen müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementieren. Auch müssen KRITIS-Betreiber den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesministerium des Innern und für Heimat (BMI) anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht. Die Unternehmen im besonderen öffentlichen Interesse werden außerdem zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Hiermit müssen sie darlegen, welche Zertifizierungen im Bereich der IT-Sicherheit in den zurückliegenden zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden.
KRITIS-Betreiber und Unternehmen, die ihre IT und Leittechnik vor Cyber-Angriffen schützen müssen, benötigen deshalb integrierte Lösungen, die im Einklang mit dem IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie der ISO-Norm 27001 zur Informationssicherheit stehen. Auf der Technologieseite sollten daher mehrere Detektionsmodule eingesetzt werden.

Maßnahmen zum Schutz kritischer Infrastrukturen

Zum einen braucht es eine Log-Daten-Analyse (LDA) oder ein Security Information and Event Management (SIEM). Hierunter ist das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen zu verstehen. Dadurch wird die Alarmierung bei Sicherheitsproblemen oder potenziellen Risiken möglich. Um manipulierte Software schnell erkennen zu können, ist außerdem das so genannte Vulnerability Management samt Compliance (VMC) wichtig. Das Schwachstellen-Management sorgt mit kontinuierlichen, internen und externen Schwachstellen-Scans bei umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung. Im Rahmen der Software Compliance wird die autorisierte Software-Verwendung für jeden Server und jede Server-Gruppe mithilfe eines Regelwerks und einer kontinuierlichen Analyse festgestellt.
Ebenfalls sollten KRITIS-Betreiber über ein Network Condition Monitoring (OT-Modul) verfügen. Dieses meldet in Echtzeit Kommunikationsvorgänge, die auf eine Störung im Betrieb hinweisen. Technische Überlastungszustände, physische Beschädigungen, Fehlkonfigurationen und eine Verschlechterung der Netzwerkleistung werden damit nicht nur umgehend erkannt. Auch die Fehlerquellen werden direkt ausgewiesen. Die Netzwerkverhaltensanalyse (Network Behavior Analytics) wiederum erkennt gefährliche Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines. Um Anomalien auf Computerrechnern (Hosts) zu erkennen und zu überwachen, braucht es außerdem eine Endpoint-Detection-and-Response (EDR)-Lösung. Sie sorgt für aktive Schutzaktionen und eine sofortige Alarmierung.

Betrieb im Cyber Defense Center (CDC)

Die Weiterverarbeitung der sicherheitsrelevanten Informationen aus diesen Modulen ist komplex und wird von Sicherheitsspezialisten durchgeführt. Aus einer riesigen Datensammlung bewerten und priorisieren sie die automatisiert gewonnenen Erkenntnisse. Die Ergebnisse dieser Analyse sind die Basis, auf der das hausinterne Fachpersonal die richtigen Gegenmaßnahmen einleiten kann.
Für eine bestmögliche Datensicherheit ist die Einrichtung von On-Premise-Lösungen zu empfehlen. Sie gelten als die sicherste Form der Software-Verteilung. Zwar geht der Trend vermehrt Richtung Cloud. Hinsichtlich der hohen Datensensibilität im KRITIS-Bereich ist dies jedoch problematisch.
Mit einem Cyber Defense Center (CDC) – auch Security Operations Center (SOC) genannt – können KRITIS-Betreiber und Unternehmen alle oben genannten Punkte effektiv umsetzen. In solch einem CDC lässt sich ein durchgängiges, integriertes Sicherheitskonzept für die IT- und OT-Infrastruktur implementieren. Das Defence Center umfasst Technologien, Prozesse und Experten, die für die Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind. Es sammelt in Echtzeit Daten aus den Netzwerken, Servern, Endpunkten und anderen digitalen Ressourcen des Unternehmens und nutzt die intelligente Automatisierung, um potenzielle Bedrohungen der Cyber-Sicherheit zu erkennen, zu priorisieren und darauf zu reagieren. Das alles leistet das CDC rund um die Uhr, sodass Bedrohungen schnell eingedämmt und neutralisiert werden können.

Europäische Sicherheitstechnologien nutzen

Um die Anforderungen etwa der EU-Datenschutzgrundverordnung (DSGVO) oder des BSI-Gesetzes einfacher umsetzen zu können, sollten die KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse außerdem auf europäische Sicherheitstechnologien setzen. Erleichtert wird so beispielsweise der laut BSI-Gesetz erforderliche Nachweis über die Vorsorgemaßnahmen zum Schutz der Funktionsfähigkeit der betriebenen kritischen Infrastrukturen. Andererseits wird die Prüfung kritischer Komponenten seitens des BSI erleichtert, die sicherstellen soll, dass der EU-datenschutzwidrige Zugriff auf sensible Informationen durch Drittstaaten-Akteure zu keiner Zeit gelingen kann. Das ist umso wichtiger in Zeiten des inaktiven Privacy Act zwischen der USA und Europa.
Es ist damit zu rechnen, dass Attacken auf Europas kritische Infrastrukturen weiter zunehmen werden. Auf der geopolitischen Bühne ist das vor allem jetzt während des Ukraine-Kriegs sichtbar. Mit einer ganzheitlichen Cyber-Defense-Center-Lösung können deutsche KRITIS-Betreiber ihre Cyber-Resilienz deutlich steigern, und sich so gegen Angriffe verteidigen.

Ali Carl Gülerman ist CEO und General Manager bei Radar Cyber Security.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...