Cyberangriffe IT-Sicherheitsgesetz 2.0 treibt KRITIS vor sich her

Anbieter zum Thema

Materna Virtual Solution GmbH

GISA GmbH

Fujitsu Technology Solutions GmbH

Das IT-Sicherheitsgesetz ist für Betreiber kritischer Infrastrukturen (KRITIS) die maßgebliche Grundlage für die Ausgestaltung ihrer Sicherheitsmaßnahmen. Die neue Fassung erweitert nicht nur die Liste der betroffenen Unternehmen, sondern definiert auch mehr Pflichten. Sie schließen die mobile Kommunikation der Mitarbeiter ein.

Niemand will sich die Folgen eines erfolgreichen Hacks auf ein Wasserwerk oder auf ein Atomkraftwerk vor Augen führen. Oder sich ausmalen, wenn es Kriminellen gelänge, den Strom flächendeckend abzuschalten. Die Branchen, die zur kritischen Infrastruktur zählen, sind zahlreich und decken viele Bereiche des täglichen Lebens ab. Dazu zählen außer Energie und Wasser auch Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Staat und Verwaltung sowie Medien und Kultur.

Alle Unternehmen und Institutionen haben eines gemeinsam: Kommt es zu einer Störung, sind nachhaltig wirkende Versorgungsengpässe, erhebliche Gefahren für die öffentliche Sicherheit oder andere dramatische Folgen für Wirtschaft, Staat und Gesellschaft möglich. Was das bedeutet, zeigt ein aktueller Cyberangriff in den USA: Colonial Pipeline, die fast die Hälfte des an der Ostküste verwendeten Kraftstoffs liefern, stellte nach einer Ransomware-Attacke den Betrieb ein. Die Hacker hatten das industrielle Kontrollsystem (ICS) ins Visier genommen, mit dem die Pipeline und der Fluss von Benzin, Diesel, Heizöl und Kerosin gesteuert werden. Das Abschalten löste eine Reihe von Dominoeffekten aus – darunter Panikkäufe an den Zapfsäulen und eine leichte Angst innerhalb der Regierung, dass sich der Schaden schnell auf andere Bereiche wie Massenverkehrsmittel, chemische Fabriken oder Raffineriebetriebe ausbreiten könnte.

Mehr Vorschriften, aber deswegen mehr Sicherheit?

Angesichts dieser weitreichenden Konsequenzen sind deutsche Einrichtungen und Unternehmen dazu aufgefordert, die KRITIS-Verordnung des BSI zur Umsetzung des IT-Sicherheitsgesetzes sowie das BSI-Gesetz für Betreiber Kritischer Infrastrukturen zu befolgen. Die Politik hat gerade das parlamentarische Gesetzgebungsverfahren für die Version 2.0 des IT-Sicherheitsgesetzes (IT-SiG 2.0) beendet. Zwar müssen zentrale Detailvorgaben noch über Verordnungen geregelt werden, nach der Unterzeichnung des Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt Ende Mai 2021 können nun aber bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.

Und das betrifft immer mehr Unternehmen und Institutionen in Deutschland: So wurden die Sektoren der kritischen Infrastrukturen um den Bereich Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen können. Daneben enthält das IT-SiG 2.0 die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Darunter fallen unter anderem die Rüstungsindustrie, alle Unternehmen mit hoher volkswirtschaftlicher Bedeutung, aber auch Hersteller von IT-Produkten zur Verarbeitung von Verschlusssachen.

Cyberkriminalität, Datenschutz

Entwurf für IT-Sicherheitsgesetz 2.0 beschlossen

Alle müssen die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ absichern. Im Rahmen des IT-SiG 2.0 sind sie zudem verpflichtet, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken. Kommt es zu Verstößen, werden künftig analog zu den DSGVO-Regelungen Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig.

Gleichzeitig erhält die zuständige Kontrollbehörde – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – deutlich mehr Rechte. So darf das BSI Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden) einsetzen. Für diese staatlichen Backdoors gibt es von Sicherheitsspezialisten keinen Beifall. Genauso in der Kritik stehen unverbindliche Formulierungen, die ungewollte Überschreitungen zumindest in der Theorie möglich machen: Auf verpflichtende Standards wie etwa die Ende-zu-Ende-Verschlüsselung hat die Politik verzichtet.

Nichtsdestotrotz sollten sich die betroffenen Unternehmen mit der Verschärfung ihrer Sicherheitsmaßnahmen auseinandersetzen. Das IT-Sicherheitsgesetz ist ein sogenanntes Artikel- oder Mantelgesetz. Das bedeutet, es ist die Grundlage für Veränderungen in zahlreichen anderen regulatorischen Vorgaben wie dem BSI-Gesetz (BSI-Kritisverordnung), dem Energiewirtschaftsgesetz, dem Telemediengesetz oder dem Telekommunikationsgesetz. Hinzu kommt die NIS2-Richtlinie, mit der die EU-Kommission die Resilienz auf dem Gebiet der Cybersicherheit in den Mitgliedsstaaten stärken will. Im Hinblick auf die Verpflichtung, EU-Gesetze zeitnah in nationales Recht umzusetzen, ist damit mehr oder weniger der Startschuss für ein IT-SiG 3.0 gefallen.

Mobile Kommunikation bietet viele Angriffspunkte

Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, brauchen KRITIS-Unternehmen stärker als je zuvor geeignete Sicherheitsmaßnahmen für die wichtigsten Schwachstellen. Das schließt die mobile Kommunikation der Mitarbeiter ein. Sie verbinden sich immer wieder aus Unachtsamkeit per Smartphone über ungeschützte oder nicht vertrauenswürdige WLANs mit dem Internet, installieren mit Malware verseuchte Apps, besuchen potenziell bösartige Webseiten oder lassen ihr mobiles Gerät unbeaufsichtigt liegen, möglicherweise sogar ohne Geräte-PIN. Gelangt das mobile Device dann in die falschen Hände, haben die Täter Zugriff auf die gespeicherten Daten und schlimmstenfalls auf das Firmennetz. Gleichzeitig vermischen sich durch die berufliche Nutzung privater Smartphones oder Tablets auch die unterschiedlichen Daten. Dies stellt nicht nur eine Verletzung der DSGVO dar, sondern kann auch weitere Sicherheitsverstöße nach sich ziehen.

Auf der sicheren Seite sind die Betreiber kritischer Infrastrukturen nur, wenn die auf dem jeweiligen mobilen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit sogenannten Container-Lösungen. Sollte ein Angreifer sich tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, steht er vor einem einbruchsicheren Tor: Die Daten und Dokumente sind nach höchsten Standards verschlüsselt (Data at Rest) und werden auch verschlüsselt übertragen (Data in Transit). Der Zugriff auf einen Container wird durch eine PIN und biometrische Verfahren wie Touch und Face ID abgesichert. Für höchste Sicherheitsansprüche wie im Behördenumfeld kann der Zugriff zusätzlich mit einer Smartcard geschützt werden. Dies ist eine Voraussetzung für eine BSI-Zulassung für „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD).

Grundsätzlich sind die Daten bei einer Container-Lösung Ende-zu-Ende verschlüsselt. So können die Nachrichten ausschließlich von ihren tatsächlichen Sendern und Empfängern gelesen werden. Gleichzeitig ist durch die strikte Trennung der Daten die Einhaltung der DSGVO garantiert: Keine private App ist in der Lage, auf geschäftliche Kontaktdaten zuzugreifen, die innerhalb einer Container-Lösung gespeichert sind – und umgekehrt. Auch können Mitarbeiter keine Kontaktdaten per Copy-and-Paste in den jeweilig anderen Bereich übertragen. Die Vermischung von dienstlichen und privaten Daten ist mit einer Container-Lösung ausgeschlossen.

Die Cyberangriffe auf KRITIS-Unternehmen in den letzten Monaten haben gezeigt, wie weitreichend die Folgen eines Hacks sein können. Der Schutz kritischer Infrastrukturen erfordert im digitalen Zeitalter also auch bei der mobilen Kommunikation neue Wege und Mittel. Die gute Nachricht ist: Wirkungsvolle Lösungen sind vorhanden. IT-Abteilungen müssen sie nur noch implementieren.

*Der Autor: Dr. Hermann Granzer ist CTO bei der Virtual Solution AG.

(ID:47469266)