:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Cyberangriffe IT-Sicherheitsgesetz 2.0 treibt KRITIS vor sich her
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113900/113984/65.jpg "Materna-Bildmarke_web.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/64/60642f3bc4aeb/mgm-logo-2016-rgb.png "mgm Logo 2016 RGB.png (mgm)"){kind=logo}
Das IT-Sicherheitsgesetz ist für Betreiber kritischer Infrastrukturen (KRITIS) die maßgebliche Grundlage für die Ausgestaltung ihrer Sicherheitsmaßnahmen. Die neue Fassung erweitert nicht nur die Liste der betroffenen Unternehmen, sondern definiert auch mehr Pflichten. Sie schließen die mobile Kommunikation der Mitarbeiter ein.
Niemand will sich die Folgen eines erfolgreichen Hacks auf ein Wasserwerk oder auf ein Atomkraftwerk vor Augen führen. Oder sich ausmalen, wenn es Kriminellen gelänge, den Strom flächendeckend abzuschalten. Die Branchen, die zur kritischen Infrastruktur zählen, sind zahlreich und decken viele Bereiche des täglichen Lebens ab. Dazu zählen außer Energie und Wasser auch Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Staat und Verwaltung sowie Medien und Kultur.
Alle Unternehmen und Institutionen haben eines gemeinsam: Kommt es zu einer Störung, sind nachhaltig wirkende Versorgungsengpässe, erhebliche Gefahren für die öffentliche Sicherheit oder andere dramatische Folgen für Wirtschaft, Staat und Gesellschaft möglich. Was das bedeutet, zeigt ein aktueller Cyberangriff in den USA: Colonial Pipeline, die fast die Hälfte des an der Ostküste verwendeten Kraftstoffs liefern, stellte nach einer Ransomware-Attacke den Betrieb ein. Die Hacker hatten das industrielle Kontrollsystem (ICS) ins Visier genommen, mit dem die Pipeline und der Fluss von Benzin, Diesel, Heizöl und Kerosin gesteuert werden. Das Abschalten löste eine Reihe von Dominoeffekten aus – darunter Panikkäufe an den Zapfsäulen und eine leichte Angst innerhalb der Regierung, dass sich der Schaden schnell auf andere Bereiche wie Massenverkehrsmittel, chemische Fabriken oder Raffineriebetriebe ausbreiten könnte.
Mehr Vorschriften, aber deswegen mehr Sicherheit?
Angesichts dieser weitreichenden Konsequenzen sind deutsche Einrichtungen und Unternehmen dazu aufgefordert, die KRITIS-Verordnung des BSI zur Umsetzung des IT-Sicherheitsgesetzes sowie das BSI-Gesetz für Betreiber Kritischer Infrastrukturen zu befolgen. Die Politik hat gerade das parlamentarische Gesetzgebungsverfahren für die Version 2.0 des IT-Sicherheitsgesetzes (IT-SiG 2.0) beendet. Zwar müssen zentrale Detailvorgaben noch über Verordnungen geregelt werden, nach der Unterzeichnung des Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt Ende Mai 2021 können nun aber bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.
Und das betrifft immer mehr Unternehmen und Institutionen in Deutschland: So wurden die Sektoren der kritischen Infrastrukturen um den Bereich Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen können. Daneben enthält das IT-SiG 2.0 die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Darunter fallen unter anderem die Rüstungsindustrie, alle Unternehmen mit hoher volkswirtschaftlicher Bedeutung, aber auch Hersteller von IT-Produkten zur Verarbeitung von Verschlusssachen.
:quality(80)/images.vogel.de/vogelonline/bdb/1780400/1780478/original.jpg "Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben (oz - stock.adobe.com)")
Cyberkriminalität, Datenschutz
Entwurf für IT-Sicherheitsgesetz 2.0 beschlossen
Alle müssen die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ absichern. Im Rahmen des IT-SiG 2.0 sind sie zudem verpflichtet, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken. Kommt es zu Verstößen, werden künftig analog zu den DSGVO-Regelungen Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig.
Gleichzeitig erhält die zuständige Kontrollbehörde – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – deutlich mehr Rechte. So darf das BSI Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden) einsetzen. Für diese staatlichen Backdoors gibt es von Sicherheitsspezialisten keinen Beifall. Genauso in der Kritik stehen unverbindliche Formulierungen, die ungewollte Überschreitungen zumindest in der Theorie möglich machen: Auf verpflichtende Standards wie etwa die Ende-zu-Ende-Verschlüsselung hat die Politik verzichtet.
Nichtsdestotrotz sollten sich die betroffenen Unternehmen mit der Verschärfung ihrer Sicherheitsmaßnahmen auseinandersetzen. Das IT-Sicherheitsgesetz ist ein sogenanntes Artikel- oder Mantelgesetz. Das bedeutet, es ist die Grundlage für Veränderungen in zahlreichen anderen regulatorischen Vorgaben wie dem BSI-Gesetz (BSI-Kritisverordnung), dem Energiewirtschaftsgesetz, dem Telemediengesetz oder dem Telekommunikationsgesetz. Hinzu kommt die NIS2-Richtlinie, mit der die EU-Kommission die Resilienz auf dem Gebiet der Cybersicherheit in den Mitgliedsstaaten stärken will. Im Hinblick auf die Verpflichtung, EU-Gesetze zeitnah in nationales Recht umzusetzen, ist damit mehr oder weniger der Startschuss für ein IT-SiG 3.0 gefallen.
Mobile Kommunikation bietet viele Angriffspunkte
Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, brauchen KRITIS-Unternehmen stärker als je zuvor geeignete Sicherheitsmaßnahmen für die wichtigsten Schwachstellen. Das schließt die mobile Kommunikation der Mitarbeiter ein. Sie verbinden sich immer wieder aus Unachtsamkeit per Smartphone über ungeschützte oder nicht vertrauenswürdige WLANs mit dem Internet, installieren mit Malware verseuchte Apps, besuchen potenziell bösartige Webseiten oder lassen ihr mobiles Gerät unbeaufsichtigt liegen, möglicherweise sogar ohne Geräte-PIN. Gelangt das mobile Device dann in die falschen Hände, haben die Täter Zugriff auf die gespeicherten Daten und schlimmstenfalls auf das Firmennetz. Gleichzeitig vermischen sich durch die berufliche Nutzung privater Smartphones oder Tablets auch die unterschiedlichen Daten. Dies stellt nicht nur eine Verletzung der DSGVO dar, sondern kann auch weitere Sicherheitsverstöße nach sich ziehen.
Auf der sicheren Seite sind die Betreiber kritischer Infrastrukturen nur, wenn die auf dem jeweiligen mobilen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit sogenannten Container-Lösungen. Sollte ein Angreifer sich tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, steht er vor einem einbruchsicheren Tor: Die Daten und Dokumente sind nach höchsten Standards verschlüsselt (Data at Rest) und werden auch verschlüsselt übertragen (Data in Transit). Der Zugriff auf einen Container wird durch eine PIN und biometrische Verfahren wie Touch und Face ID abgesichert. Für höchste Sicherheitsansprüche wie im Behördenumfeld kann der Zugriff zusätzlich mit einer Smartcard geschützt werden. Dies ist eine Voraussetzung für eine BSI-Zulassung für „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD).
Grundsätzlich sind die Daten bei einer Container-Lösung Ende-zu-Ende verschlüsselt. So können die Nachrichten ausschließlich von ihren tatsächlichen Sendern und Empfängern gelesen werden. Gleichzeitig ist durch die strikte Trennung der Daten die Einhaltung der DSGVO garantiert: Keine private App ist in der Lage, auf geschäftliche Kontaktdaten zuzugreifen, die innerhalb einer Container-Lösung gespeichert sind – und umgekehrt. Auch können Mitarbeiter keine Kontaktdaten per Copy-and-Paste in den jeweilig anderen Bereich übertragen. Die Vermischung von dienstlichen und privaten Daten ist mit einer Container-Lösung ausgeschlossen.
Die Cyberangriffe auf KRITIS-Unternehmen in den letzten Monaten haben gezeigt, wie weitreichend die Folgen eines Hacks sein können. Der Schutz kritischer Infrastrukturen erfordert im digitalen Zeitalter also auch bei der mobilen Kommunikation neue Wege und Mittel. Die gute Nachricht ist: Wirkungsvolle Lösungen sind vorhanden. IT-Abteilungen müssen sie nur noch implementieren.
*Der Autor: Dr. Hermann Granzer ist CTO bei der Virtual Solution AG.
(ID:47469266)
:quality(80)/images.vogel.de/vogelonline/bdb/1920100/1920159/original.jpg "Die Energieversorgung mit Strom und Gas muss auch in der Corona-Pandemie gewährleistet sein (Eisenhans - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881700/1881764/original.jpg "(Rohde & Schwarz)")