IT-SiG und NIS Die IT-Sicherheit geht in die zweite Runde

Von Natalie Ziebolz

Anbieter zum Thema

Cybersicherheit ist ein Prozess, neue Sicherheitsvorkehrungen halten Cyberkriminelle schließlich nicht dauerhaft fern. Sowohl auf Bundes- als auch auf EU-Ebene wurden daher richtungsweisende Sicherheitsbestimmungen angepasst.

Behörden müssen ihre Security-Maßnahmen regelmäßig überprüfen und an neue Bedrohungen und gesetzliche Vorgaben anpassen
Behörden müssen ihre Security-Maßnahmen regelmäßig überprüfen und an neue Bedrohungen und gesetzliche Vorgaben anpassen
(© valerybrozhinsky – stock.adobe.com)

Erst wurden eMails im Namen des Rathauses Bissingen verschickt, die dubiose Links enthielten, dann übernahmen Hacker vollständig die Kontrolle – und zwar filmreif: Sämtliche Drucker des Rathauses wurden aus der Ferne gestartet. Ein Papier nach dem anderen stapelte sich in den Ausgabefächern. Darauf nur ein englischer Satz, der darüber informierte, dass nun alle Daten verschlüsselt seien. Das Rathaus war zunächst handlungsunfähig, nur Papier und Stift blieben zum Arbeiten.

Ähnliche Erfahrungen hat im Juni die Stadtreinigung Kassel machen müssen: „Wir haben den Telefon-Service verstärkt und sogar unsere Fax-Geräte wieder aktiviert“, erklärte eine Unternehmenssprecherin, nachdem das Unternehmensnetzwerk der Stadtreinigung lahmgelegt worden war.

IT-Sicherheitsgesetz 2.0

Damit stehen Bissingen und Kassel nicht alleine da: „Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland fest“, heißt es von Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dies gelte auch für Kritische Infrastrukturen. „Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.“

Dabei sollten die Verantwortlichen auch immer die aktuellsten gesetzlichen Vorgaben im Blick haben. So läuft im Mai 2023 etwa die Übergangsfrist für das IT-Sicherheitsgesetz 2.0 ab. „Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum“, erklärte der ehemalige Bundesinnenminister Horst Seehofer in diesem Zusammenhang. Für KRITIS-Betreiber ergeben sich daraus folgende neue Pflichten:

  • Meldepflicht: Die Zuständigen müssen sich unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI registrieren. Bei erheblichen Störungen müssen dem BSI auf Nachfrage Informationen zur Störungsbewältigung überlassen werden.
  • Kritische Komponenten: KRITIS-Betreiber müssen dem Innenministerium den Einsatz kritischer Komponenten anzeigen. Diese dürfen darüber hinaus nur mit einer Vertrauenswürdigkeitserklärung des Herstellers eingesetzt werden.
  • Angriffserkennung: Systeme zur Angriffserkennung gehören ab 1. Mai 2023 verpflichtend zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen und müssen in KRITIS-Prüfungen nachgewiesen werden.

Systeme zur Angriffserkennung: Den Hackern voraus

Für die Angriffserkennung sieht das BSI Maßnahmen und Systeme vor, die a) zur Protokollierung von Logdaten gedacht sind, b) zur Erkennung von Cyber-Angriffen beitragen und c) bei der Reaktion auf Vorfälle helfen. Dazu zählen unter anderem:

  • Security Information and Event Management (SIEM): Das softwarebasierte Technologiekonzept zielt darauf ab, durch das Sammeln, Korrelieren und Auswerten von Meldungen sowie Logfiles verdächtige Ereignisse sichtbar zu machen.

  • Schwachstellenmanagement: Das Schwachstellenmanagement hilft dabei, die digitale Umgebung des Betriebs zu überwachen und so Sicherheitslücken und Fehlkonfigurationen in der Software und dem System des Betriebs zu erkennen.

  • Network Behavior Analytics (NBA): Bei der verhaltensbasierten Netzwerkanalyse wird der Datenverkehr eines Netzwerks überwacht. Ungewöhnliche Muster können auf eine Bedrohung hindeuten.

  • Endpoint Detection & Response (EDR): EDR analysiert das Verhalten der Endgeräte und bietet bei verdächtigem Verhalten automatisierte Reaktionen zur Abwehr.

Europäischer Rahmen für Cybersicherheit

Doch nicht nur auf Bundesebene werden die Vorkehrungen verschärft. Im Mai dieses Jahres hat die EU die zweite Version der Richtlinie zur Netz- und Informationssicherheit (NIS), dem europäischen Rahmen für Cyber Security in KRITIS, inhaltlich fertiggestellt. „Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden“, so die Verantwortlichen. Das schließt auch öffentliche Verwaltungseinrichtungen auf zentraler und regionaler Ebene ein. Ob auch lokale Institutionen berücksichtigt werden ist den Mitgliedstaaten selbst überlassen. Für die betroffenen Unternehmen und Organisationen sieht die NIS-Direktive unter anderem folgende Neuerungen vor:

  • Sie benötigen einen Risikomanagementansatz. Dieser muss auch die Lieferketten sowie Abhängigkeiten von Partnerunternehmen berücksichtigen.
  • Die Verantwortlichen müssen die Meldepflichten einhalten. Kommt es zu einem Cybersicherheitsvorfall, muss diese Information künftig innerhalb von 24 Stunden an die zuständige Behörden weitergegeben werden.

Nationale Behörden erhalten eine dementsprechende Überwachungs- und Kontrollfunktion. Werden die Richtlinien nicht eingehalten, ist eine Strafzahlung vorgesehen. Hier sind lediglich öffentliche Stellen ausgenommen. Vorstände und Aufsichtsräte können hingegen für die Nichtumsetzung zur Verantwortung gezogen werden. Der fertige Gesetzesentwurf muss allerdings noch vom Rat und vom Europäischen Parlament gebilligt werden. Dies könnte noch in diesem Jahr geschehen. Anschließend haben die EU-Mitgliedstaaten 21 Monate Zeit, um die Vorgaben umzusetzen.

Auf der nächsten Seite: Laurie Iacono, Associate Managing Director für Cyber Risk bei Kroll, spricht über die Gefahr durch Ransomware.

(ID:48624159)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung