:quality(80)/p7i.vogel.de/wcms/68/88/68882a8c6a43ba9df9a29fde90ba9f1e/0114261589.jpeg "Gemeinsam die Digitalisierung der Verwaltung voranbringen: Dirk Schrödter, Digitalisierungsminister und Chef der Staatskanzlei Schleswig-Holstein, und Nextcloud-Geschäftsführer Frank Karlitschek haben am 19. September 2023 eine enge Zusammenarbeit angekündigt. (Bild: Staatskanzlei Schleswig-Holstein)")
:quality(80)/p7i.vogel.de/wcms/6e/38/6e38b57feddc881a5a7702260dfb1740/0114289640.jpeg "Bernd Schlömer (© MID/R.Hartmann)")
:quality(80)/p7i.vogel.de/wcms/ff/b4/ffb44b52f0a7b58980f2c8d60283670e/0114288511.jpeg "(Bild: vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/b2/09b22972929323197375c70d7e7831bf/0114366638.jpeg "Im jährlich erscheinenden eGovernment-Benchmark der EU Kommission finden sich relevante Kennzahlen aus dem Public Sector aller Mitgliedsstaaten wider. (© denizbayram - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/21/b2213c94bef734965fc6d14d527733c8/0114285905.jpeg "Deepfakes können Wahlen beeinflussen (© magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/10/89109d2cfaa0fbb408d9dfe570f51542/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/26/0226cb05084fed93621063df30ba0d22/0114285584.jpeg "(Bild: FAMILY STOCK – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/34/9b349d85bd9f6adc586fd267e756b24a/0114284075.jpeg "(Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/fa/91/fa91f3b2fabc5fb83149056d77d03202/0114119452.jpeg "Marc Reinhardt, neuer Präsident der Initiative D21 (© Initiative D21 / Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/96/71/96714e4d656b3b1bee061b01ddca7413/0114065929.jpeg "(Bild: Konstantin Gastmann)")
:quality(80)/p7i.vogel.de/wcms/bd/2e/bd2e66c6ecc1571607525dce691638a8/0114002104.jpeg "Auf der Smart Country Convention werden die neuesten Trends aus dem Public Sector vorgestellt. (Bild: Bitkom )")
:quality(80)/p7i.vogel.de/wcms/6e/76/6e7651e9ee9583f39d09cb584b1e1f8c/0114288259.jpeg "(© Contechnet)")
:quality(80)/p7i.vogel.de/wcms/26/8a/268a16abf472b766d121228bf259e286/0114269066.jpeg "(© Splunk)")
:quality(80)/p7i.vogel.de/wcms/a5/91/a59182415300a4b5cde339f0bfaf7070/0113788916.jpeg "(©iStock)")
:quality(80)/p7i.vogel.de/wcms/75/1a/751a07c16d5a89a2686b647de2a0d302/0113981690.jpeg "(© iStock.com)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/f0/d8/f0d8f2fbdeed8a0e306705f4ae21ddcd/0113906887.jpeg "Benannte Stellen sind für die neutrale Konformitätsbewertung von Produkten zuständig (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/67/7767b76f57a39cc505008db2bc5c9102/0113906704.jpeg "eForms: Neue elektronische Standardformulare für öffentliche Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/cf/d2cf4b3ffd87567b8355fdbe97bd451a/0113851120.jpeg "Vergabetransformationspaket der Bundesregierung: Gesetz zur Vereinfachung öffentlicher Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
IT-Sicherheit KRITIS: Angriffsziel Nummer eins?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Das Bundesinnenministerium beschreibt kritische Infrastrukturen als die „Lebensadern moderner, leistungsfähiger Gesellschaften“. Doch ihre enorme Bedeutung für das Funktionieren des Gemeinwesens hat auch Schattenseiten, denn ein Ausfall kann schwerwiegende Konsequenzen nach sich ziehen. So griffen Hacker erst kürzlich den Energieversorger Entega an. Auch wenn die kritische Infrastruktur in diesem Fall noch einmal glimpflich davonkam, wurde deutlich, wie vulnerabel diese Netzwerke sein können, insbesondere in Zeiten internationaler Auseinandersetzungen.
Südbaden im März 2022: Zeitgleich mit dem russischen Angriffskrieg auf die Ukraine werden die Satellitenverbindungen zahlreicher Windkraftanlagen gestört. Ihr Betrieb muss gestoppt, und Teile müssen ausgetauscht werden. Insgesamt sind europaweit etwa 5.800 Windkraftanlagen von Hackerangriffen betroffen. Dieses Beispiel zeigt: Besonders in Konflikt- und Krisenzeiten ist die kritische Infrastruktur eines Landes gefährdet. Ihr Funktionieren ist, wie der Name bereits andeutet, entscheidend für die Versorgung und Sicherheit eines Landes oder einer Region. So geraten sie während internationaler Konflikte schnell ins Visier militärisch motivierter Cyberangriffe.
Auch die Sicherheitsexperten sind sich dieser Gefahren bewusst. So veröffentlichten US-Behörden vor kurzem ein Security-Advisory gegen das Hacker-Tool Pipedream, welches gezielt zum Angriff auf industrielle Steuerungs- und Automatisierungssysteme entwickelt wurde. Auch das BSI warnt inzwischen vor diesem neuen Toolkit für Hacker. Laut BSI besitzen die Betreiber kritischer Infrastrukturen ein besonders hohes Schadenspotenzial und der Schutz ihrer Cybersysteme sei für das Gemeinwesen von hohem Interesse. Es stellt sich also weiterhin die Frage: Wie kann kritische Infrastruktur insbesondere in Zeiten zunehmender internationaler Konflikte geschützt werden?
Die Besonderheiten kritischer Infrastruktur
Auch das BSI legt ein besonderes Augenmerk auf den Schutz kritischer Infrastrukturen, Grundlage dafür ist die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“. Insgesamt werden neun Sektoren zur Kritischen Infrastruktur (KRITIS) gezählt. Dabei wird zwischen technischen Basisinfrastrukturen (z. B. Energieversorgung oder Transport und Verkehr) und sozioökonomischen Dienstleistungsinfrastrukturen (z. B. Gesundheitswesen & Ernährung oder Finanz- und Versicherungswesen) unterschieden. KRITIS zeichnen sich dabei durch sehr komplexe IT-Systeme aus, deren technische Komponenten oft lange im Einsatz sind. So ist es eine besondere Herausforderung, notwendige Sicherheitsupdates schnell und regelmäßig durchzuführen.
Zudem können die einzelnen Sektoren und Betreiber dabei keineswegs losgelöst voneinander betrachtet werden. Im Gegenteil: Die gegenseitige Vernetzung spielt besonders bei kritischen Infrastrukturen eine gewichtige Rolle. Wird also ein Betreiber angegriffen, ist die Gefahr eines Ausfalls weiterer kritischer Infrastruktur groß – der sogenannte Kaskaden- oder Dominoeffekt. Ein Cyberangriff wiegt also meist schwerer, als es im ersten Moment den Anschein hat.
Gemeinsame Lösungen statt Alleingänge
Um diese Herausforderungen zu stemmen, setzt die Politik auch auf einen europäischen Ansatz. Die neue „Network Information Security Directive“ der Europäischen Union (NIS2) setzt einen besonderen Fokus auf KRITIS. So nimmt die EU nun drei zusätzliche Sektoren mit ins Portfolio auf: Abwasser, Raumfahrt und Öffentliche Verwaltung. Auch wenn die NIS2 bereits vor dem russischen Angriff auf die Ukraine durch den Gesetzgebungsprozess ging, kommt ihr in Konfliktzeiten eine besondere Rolle zu.
Einheitliche Standards und Meldepflichten sollen dabei helfen, Gefahren möglichst schnell zu erkennen und dementsprechend zu handeln. Höhere Bußgelder bei Verstoß gegen die Richtline sollen dafür sorgen, dass Unternehmen ihre Sicherheitsvorkehrungen möglichst schnell auf den neuesten Stand bringen.
Auch die Lieferketten sollen resilienter gemacht werden, denn besonders diese waren in der Vergangenheit häufig Einfallstor für Angreifer.
Angreifer nutzen Komplexität aus
IT-Systeme, egal ob von KRITIS oder nicht, werden immer komplexer. Sicherheitsfachleute müssen den Überblick über immer größere und weit verzweigte Strukturen behalten. Hinzu kommt, dass die Angriffsstrategien der Eindringlinge immer ausgeklügelter und gezielter werden. Statt ihre Attacken breit zu streuen, wird die Schadsoftware gezielt auf bestimmte Ziele, beispielsweise die Systeme von Versorgern, losgelassen. Nachdem das System infiltriert wurde, verhalten sich die Angreifer zeitweise unauffällig, um keinen Verdacht zu erregen und möglichst viele Informationen über die Beschaffenheit des Netzwerks zu sammeln. So fliegen sie unter dem Radar vieler Sicherheitssysteme. Doch wie können Betreiber kritischer Infrastrukturen hier gegensteuern?
Automatisierung als Rettungsanker
Zunehmende Komplexität spielt der steigenden Bedeutung von Automatisierungsprozessen und künstlicher Intelligenz (KI) in die Hände. Auch im Security-Bereich ist dieser Trend zu beobachten. XDR-Lösungen basieren auf KI und verstärken die Endpoint-Security, indem sie das Verhalten der sich im Netzwerk befindenden Personen analysiert und in Beziehung setzt. Auch unauffällige Angreifer können so ausfindig gemacht werden. Die Betreiber kritischer Infrastrukturen können davon profitieren. Nichtsdestotrotz sollte der menschliche Faktor nicht vernachlässigt werden. Angreifer nehmen Mitarbeitende immer noch am häufigsten ins Visier, da sie diese als Schwachstelle ausgemacht haben.
Zudem müssen auch die Performance der automatisierten Systeme dauerhaft überprüft und etwaige Fehler sofort korrigiert werden. Denn zieht eine KI einmal die falschen Schlüsse, kann das gefährliche Folgen haben: Automatisierung/KI muss also immer mit menschlicher Expertise begleitet werden. Außerdem führt kein Weg an einer regelmäßigen Schulung der Mitarbeitenden vorbei.
Nur nicht stehen bleiben
Die Bedeutung kritischer Infrastruktur ist in den letzten Jahren noch einmal stark gewachsen. Denn neben den „klassischen“ Sektoren, wie Wasser-, Energie- oder Gesundheitsversorgung, sind auch neue Bereiche hinzugekommen, wie etwa Medien & Kultur. Eine hochtechnisierte, globalisierte Gesellschaft, in der wir heute leben, ist an vielen Stellen angreifbar. Um die Resilienz der kritischen Systeme zu bewahren, muss ein internationaler Ansatz gefunden werden, der der globalisierten Zeit gerecht wird.
Die NIS2-Direktive, welche KRITIS besondere Aufmerksamkeit schenkt, ist hier ein Schritt in die richtige Richtung. Betreiber müssen sich bewusst sein, dass mit zunehmender Vernetzung und Komplexität auch neue Strategien und Maßnahmen gefunden werden müssen. Moderne Ansätze, wie Extended Detection & Response, sind dabei ein guter Weg, um den besonders komplexen IT-Systemen in kritischer Infrastruktur gerecht zu werden.
* Der Autor: Gergely László Lesku, Head of Business Development, SOCWISE
(ID:48495442)
:quality(80)/p7i.vogel.de/wcms/14/fc/14fc7376b313c93e270344cb2e95da8b/0108369084.jpeg "0108369084 (Bild: GettyImages/Daniel Balakov)")
:quality(80)/p7i.vogel.de/wcms/ad/f8/adf8c26cf659b84aec25eaadb6bc4045/0111417221.jpeg "NIS 2 – die EU-Richtlinie zur Stärkung der Cyber-Sicherheit in Firmen und Organisationen (©aga7ta – stock.adobe.com)")