:quality(80)/p7i.vogel.de/wcms/f5/98/f598a6d642a33b9684c389194f97bd7d/0111701130.jpeg "Digitalisierungsminister Pegel sieht in Taiwan ähnliche Herausforderungen bei der Digitalisierung wie in Mecklenburg-Vorpommern (Bild: Konstantin Hermann – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/cc/3fcc311534553ef9bc4c6b67dd04f5bb/0111654194.jpeg "Stephan Weil, Ministerpräsident Niedersachsens: „Wir müssen auch in Deutschland unsere kritische Infrastruktur wirksamer schützen“ (Bild: Niedersächsische Staatskanzlei/Rainer Jensen)")
:quality(80)/p7i.vogel.de/wcms/d2/7a/d27a10c8fde9b0e4a061bb515505574c/0111643548.jpeg "Mit dem Paket für die digitale Verwaltung will die Bundesregierung die im Koalitionsvertrag festgeschriebenen Ziele zur Modernisierung der deutschen Verwaltung, zum Abbau von Digitalisierungshemmnissen und zur Steigerung der Wettbewerbsfähigkeit Deutschlands untermauern (Bild: merklicht.de – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/29/2e29fdad14b6077ce9213a3b6b095253/0111625435.jpeg "Nachdem die Frist für die Umsetzung des Onlinezugangsgesetzes nicht gehalten werden konnte, soll nun ein Nachfolgegesetz die Verwaltungsmodernisierung voranbringen (Bild: Christian Horz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/f4/63f4dc9e353db0b67d8636fdb8178cfc/0111665805.jpeg "Heinz-Peter Meidinger engagiert sich seit Jahrzehnten in Berufsverbänden und gilt als renommierter Fachmann der Bildungspolitik. Ende Juni verabschiedet er sich in den Ruhestand (Bild: Deutscher Lehrerverband)")
:quality(80)/p7i.vogel.de/wcms/02/e8/02e8b3d8e10eef85e7828d81e280c99b/0111639721.jpeg "Der TÜV-Süd unterstützt Rechenzentren beim Zertifizierungsprozess „Blauer Engel“ nach DE-U/ 228 (©TÜV-Süd)")
:quality(80)/p7i.vogel.de/wcms/5f/b7/5fb7f64e5cb1e64c2e193e0f47973b86/0111686333.jpeg "Die Cloud-Plattform ist für Verschlusssachen gedacht (© DNY59, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/af/59/af592359e2dbb27ce511729a87384f00/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/7b/a87bfecc5f927cc79fe3596501350818/0111556710.jpeg "Die KOMMUNALE in Nürnberg bringt Entscheider der Öffentlichen Verwaltung mit Vertretern der freien Wirtschaft in Kontakt. (© KOMMUNALE)")
:quality(80)/p7i.vogel.de/wcms/b5/07/b507687cad6f633b5946875b43216670/0111470895.jpeg "Daniela Ortmann ist die neue Vorsitzende des ver.di Bundesbeamtenausschusses (© Kay Herschelmann)")
:quality(80)/p7i.vogel.de/wcms/68/70/6870e7d1b1ebc1dd259363988e4e1e3c/0111426991.jpeg "Manuel Atug (AG KRITIS) warnt auf dem KISA Kundenforum 2023 vor Hackern (© KISA)")
:quality(80)/p7i.vogel.de/wcms/b7/0a/b70a3259150992ec5292d4c62977b0d8/0111438101.jpeg "Im Bundeskanzleramt in Berlin übernimmt Frederik Blachetta ab sofort die Position des CDO (Bild: draghicich - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/21/a0219e077801ea3a97a91fa4847b7527/0111190125.jpeg "(© Computacenter)")
:quality(80)/p7i.vogel.de/wcms/47/2f/472f90c283a6dc05875b31699f425268/0111183793.jpeg "(© Axians Infoma)")
:quality(80)/p7i.vogel.de/wcms/61/45/6145082fe2d5d082ec1290cf8b4bd8b1/0110567250.jpeg "(© National Cancer Institute)")
:quality(80)/p7i.vogel.de/wcms/bd/33/bd33df83fceedc71c6fd7fc0c5ee8c5f/0110567236.jpeg "(© Suriyo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/59/ea/59eaf92ed9991222146abe4a8cea85ab/0111200130.jpeg "Machen Sie mit und wählen Sie den CIO des Jahres 2023! (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ea/4aeaf61fff726dbdc495e4ae61432ec4/0111416905.jpeg "(© regisafe)")
:quality(80)/p7i.vogel.de/wcms/af/aa/afaabca5b950364133618dc00c3416e0/0111674953.jpeg "3rd Level Support: höchste Eskalationsstufe im Kundendienst (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/a9/26a90eda36e087cd9836ebdbbb173383/0111674095.jpeg "2nd Level Support: Bindeglied zwischen 1st Level Support und 3rd Level Support (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/45/2045b59fd6df7e7fa8a2492a7f361e78/0111673527.jpeg "Eine adaptive Sicherheitsrichtlinie erlaubt es Administratoren, sich schnell an die sich ständig ändernde Bedrohungslandschaft anzupassen (Bild: aga7ta – stock.adobe.com)")
Cyberangriffe IT-Sicherheitsgesetz 2.0 treibt KRITIS vor sich her
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/121200/121205/65.jpg "zonder slogan large.jpg ()")
Das IT-Sicherheitsgesetz ist für Betreiber kritischer Infrastrukturen (KRITIS) die maßgebliche Grundlage für die Ausgestaltung ihrer Sicherheitsmaßnahmen. Die neue Fassung erweitert nicht nur die Liste der betroffenen Unternehmen, sondern definiert auch mehr Pflichten. Sie schließen die mobile Kommunikation der Mitarbeiter ein.
Niemand will sich die Folgen eines erfolgreichen Hacks auf ein Wasserwerk oder auf ein Atomkraftwerk vor Augen führen. Oder sich ausmalen, wenn es Kriminellen gelänge, den Strom flächendeckend abzuschalten. Die Branchen, die zur kritischen Infrastruktur zählen, sind zahlreich und decken viele Bereiche des täglichen Lebens ab. Dazu zählen außer Energie und Wasser auch Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Staat und Verwaltung sowie Medien und Kultur.
Alle Unternehmen und Institutionen haben eines gemeinsam: Kommt es zu einer Störung, sind nachhaltig wirkende Versorgungsengpässe, erhebliche Gefahren für die öffentliche Sicherheit oder andere dramatische Folgen für Wirtschaft, Staat und Gesellschaft möglich. Was das bedeutet, zeigt ein aktueller Cyberangriff in den USA: Colonial Pipeline, die fast die Hälfte des an der Ostküste verwendeten Kraftstoffs liefern, stellte nach einer Ransomware-Attacke den Betrieb ein. Die Hacker hatten das industrielle Kontrollsystem (ICS) ins Visier genommen, mit dem die Pipeline und der Fluss von Benzin, Diesel, Heizöl und Kerosin gesteuert werden. Das Abschalten löste eine Reihe von Dominoeffekten aus – darunter Panikkäufe an den Zapfsäulen und eine leichte Angst innerhalb der Regierung, dass sich der Schaden schnell auf andere Bereiche wie Massenverkehrsmittel, chemische Fabriken oder Raffineriebetriebe ausbreiten könnte.
Mehr Vorschriften, aber deswegen mehr Sicherheit?
Angesichts dieser weitreichenden Konsequenzen sind deutsche Einrichtungen und Unternehmen dazu aufgefordert, die KRITIS-Verordnung des BSI zur Umsetzung des IT-Sicherheitsgesetzes sowie das BSI-Gesetz für Betreiber Kritischer Infrastrukturen zu befolgen. Die Politik hat gerade das parlamentarische Gesetzgebungsverfahren für die Version 2.0 des IT-Sicherheitsgesetzes (IT-SiG 2.0) beendet. Zwar müssen zentrale Detailvorgaben noch über Verordnungen geregelt werden, nach der Unterzeichnung des Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt Ende Mai 2021 können nun aber bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.
Und das betrifft immer mehr Unternehmen und Institutionen in Deutschland: So wurden die Sektoren der kritischen Infrastrukturen um den Bereich Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen können. Daneben enthält das IT-SiG 2.0 die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Darunter fallen unter anderem die Rüstungsindustrie, alle Unternehmen mit hoher volkswirtschaftlicher Bedeutung, aber auch Hersteller von IT-Produkten zur Verarbeitung von Verschlusssachen.
:quality(80)/images.vogel.de/vogelonline/bdb/1780400/1780478/original.jpg "Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben (oz - stock.adobe.com)")
Cyberkriminalität, Datenschutz
Entwurf für IT-Sicherheitsgesetz 2.0 beschlossen
Alle müssen die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ absichern. Im Rahmen des IT-SiG 2.0 sind sie zudem verpflichtet, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken. Kommt es zu Verstößen, werden künftig analog zu den DSGVO-Regelungen Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig.
Gleichzeitig erhält die zuständige Kontrollbehörde – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – deutlich mehr Rechte. So darf das BSI Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden) einsetzen. Für diese staatlichen Backdoors gibt es von Sicherheitsspezialisten keinen Beifall. Genauso in der Kritik stehen unverbindliche Formulierungen, die ungewollte Überschreitungen zumindest in der Theorie möglich machen: Auf verpflichtende Standards wie etwa die Ende-zu-Ende-Verschlüsselung hat die Politik verzichtet.
Nichtsdestotrotz sollten sich die betroffenen Unternehmen mit der Verschärfung ihrer Sicherheitsmaßnahmen auseinandersetzen. Das IT-Sicherheitsgesetz ist ein sogenanntes Artikel- oder Mantelgesetz. Das bedeutet, es ist die Grundlage für Veränderungen in zahlreichen anderen regulatorischen Vorgaben wie dem BSI-Gesetz (BSI-Kritisverordnung), dem Energiewirtschaftsgesetz, dem Telemediengesetz oder dem Telekommunikationsgesetz. Hinzu kommt die NIS2-Richtlinie, mit der die EU-Kommission die Resilienz auf dem Gebiet der Cybersicherheit in den Mitgliedsstaaten stärken will. Im Hinblick auf die Verpflichtung, EU-Gesetze zeitnah in nationales Recht umzusetzen, ist damit mehr oder weniger der Startschuss für ein IT-SiG 3.0 gefallen.
Mobile Kommunikation bietet viele Angriffspunkte
Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, brauchen KRITIS-Unternehmen stärker als je zuvor geeignete Sicherheitsmaßnahmen für die wichtigsten Schwachstellen. Das schließt die mobile Kommunikation der Mitarbeiter ein. Sie verbinden sich immer wieder aus Unachtsamkeit per Smartphone über ungeschützte oder nicht vertrauenswürdige WLANs mit dem Internet, installieren mit Malware verseuchte Apps, besuchen potenziell bösartige Webseiten oder lassen ihr mobiles Gerät unbeaufsichtigt liegen, möglicherweise sogar ohne Geräte-PIN. Gelangt das mobile Device dann in die falschen Hände, haben die Täter Zugriff auf die gespeicherten Daten und schlimmstenfalls auf das Firmennetz. Gleichzeitig vermischen sich durch die berufliche Nutzung privater Smartphones oder Tablets auch die unterschiedlichen Daten. Dies stellt nicht nur eine Verletzung der DSGVO dar, sondern kann auch weitere Sicherheitsverstöße nach sich ziehen.
Auf der sicheren Seite sind die Betreiber kritischer Infrastrukturen nur, wenn die auf dem jeweiligen mobilen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit sogenannten Container-Lösungen. Sollte ein Angreifer sich tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, steht er vor einem einbruchsicheren Tor: Die Daten und Dokumente sind nach höchsten Standards verschlüsselt (Data at Rest) und werden auch verschlüsselt übertragen (Data in Transit). Der Zugriff auf einen Container wird durch eine PIN und biometrische Verfahren wie Touch und Face ID abgesichert. Für höchste Sicherheitsansprüche wie im Behördenumfeld kann der Zugriff zusätzlich mit einer Smartcard geschützt werden. Dies ist eine Voraussetzung für eine BSI-Zulassung für „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD).
Grundsätzlich sind die Daten bei einer Container-Lösung Ende-zu-Ende verschlüsselt. So können die Nachrichten ausschließlich von ihren tatsächlichen Sendern und Empfängern gelesen werden. Gleichzeitig ist durch die strikte Trennung der Daten die Einhaltung der DSGVO garantiert: Keine private App ist in der Lage, auf geschäftliche Kontaktdaten zuzugreifen, die innerhalb einer Container-Lösung gespeichert sind – und umgekehrt. Auch können Mitarbeiter keine Kontaktdaten per Copy-and-Paste in den jeweilig anderen Bereich übertragen. Die Vermischung von dienstlichen und privaten Daten ist mit einer Container-Lösung ausgeschlossen.
Die Cyberangriffe auf KRITIS-Unternehmen in den letzten Monaten haben gezeigt, wie weitreichend die Folgen eines Hacks sein können. Der Schutz kritischer Infrastrukturen erfordert im digitalen Zeitalter also auch bei der mobilen Kommunikation neue Wege und Mittel. Die gute Nachricht ist: Wirkungsvolle Lösungen sind vorhanden. IT-Abteilungen müssen sie nur noch implementieren.
*Der Autor: Dr. Hermann Granzer ist CTO bei der Virtual Solution AG.
(ID:47469266)
:quality(80)/images.vogel.de/vogelonline/bdb/1920100/1920159/original.jpg "Die Energieversorgung mit Strom und Gas muss auch in der Corona-Pandemie gewährleistet sein (Eisenhans - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942800/1942847/original.jpg "Anonymus machte in der Vergangenheit bereits durch Angriffe auf die NSA, den Ku-Klux-Klan, Scientology und den Islamischen Staat auf sich aufmerksam (issaronow – stock.adobe.com)")