Ab Mai 2023 sind Systeme zur Angriffserkennung bei Betreibern kritischer Infrastrukturen vorgeschrieben. Diese Frist ist ambitioniert, doch eigentlich müsste es noch viel schneller gehen.
Unternehmen, die kritische Dienstleistungen für die Versorgung der Bevölkerung erbringen, müssen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2019 nachweisen, dass Cyberangreifer bei ihnen kein leichtes Spiel haben, so das BSI. Die Betreiber kritischer Infrastrukturen (KRITIS) müssen dafür IT-Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen.
Was als Stand der Technik gilt und damit zu den verpflichtenden IT-Sicherheitsmaßnahmen gehört, ändert sich, zum einen durch die fortschreitende Entwicklung in der IT-Security, zum anderen durch neue gesetzliche Vorgaben. Mit dem IT-Sicherheitsgesetz 2.0 wurden die Richtlinien zur „Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ erweitert: „Die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.“
Das Gesetz erläutert für einen Rechtstext relativ ausführlich, was ein solches System können muss: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Auch wenn das Gesetz die Forderung nach einem System zur Angriffserkennung erläutert, sind damit die betroffenen KRITIS-Einrichtungen noch lange nicht in der Lage, die Anforderung gesetzeskonform umzusetzen.
Branchen fühlen sich überfordert
Wirtschaftsvertreter im UP KRITIS, einer öffentlich-privaten Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, erklärten bereits im Vorfeld des neuen Gesetzes, ein zielführender Einsatz von Systemen zur Angriffserkennung erfordere neben der Einführung von geeigneter Hardware und Software den Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse im Unternehmen.
Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen, so die UP-KRITIS-Vertreter. Hierbei handelt es sich faktisch um hochspezialisierte Teams, die 24/7 tätig sind. Die Wirtschaftsvertreter kommen zu dem Schluss: Der finanzielle und personelle Aufwand, der mit der Forderung nach Systemen zur Angriffserkennung einhergeht, ist beträchtlich und für die allermeisten KRITIS-Betreiber nicht leistbar.
Auch IT-Sicherheitsanbieter sehen einen höheren Aufwand für die KRITIS-Einrichtungen. Um entsprechende Lösungen effektiv einzusetzen, müssten diese durch einen qualifizierten Administrator gewartet und überwacht werden, so etwa Joe Köller von Tenfold Software. Nur so könnten Betriebe Fehlalarme ausschließen, im schlimmsten Fall angemessen reagieren und einen Störfall zeitnah an das BSI melden.
Hohe Aufwände VS. Noch höhere Schäden
Die deutsche Industrie ist ein beliebtes Ziel für Cyberangriffe, Spionage, Sabotage und Datendiebstahl sowie andere Formen der Wirtschaftskriminalität mit jährlich verursachten Schäden in Milliardenhöhe, so der Bundesverband der Deutschen Industrie (BDI). „Es geht darum, den Standort Deutschland und damit Millionen Arbeitsplätze zu erhalten und die Handlungsfähigkeit von Unternehmen wie Politik zu gewährleisten. Eine wirksamere Abwehr bei Angriffen trägt außerdem dazu bei, die Versorgung der Menschen sicherzustellen“, mahnt Matthias Wachter, Abteilungsleiter Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im BDI.
Mit präventiven Maßnahmen wie der Einführung eines Informationssicherheits-Managementsystems oder der regelmäßigen Durchführung von Mitarbeiterschulungen können die Unternehmen Cybersicherheitsrisiken bereits deutlich reduzieren, wie der BDI betont. Wichtig seien zudem geeignete Vorkehrungen, um Cyberangriffe rechtzeitig detektieren und im Schadensfall angemessen reagieren zu können.
Genau das steckt hinter der Forderung nach Systemen zur Angriffserkennung im IT-Sicherheitsgesetz 2.0 mit Blick auf die besondere Bedrohung im KRITIS-Bereich.
Es geht um Menschenleben
Warum sich zur Absicherung von KRITIS auch hohe Aufwände lohnen und keine Zeit zu verlieren ist, zeigen die Prognosen der Marktforschungshäuser. Zum Beispiel werden laut einer Gartner-Vorhersage 30 Prozent aller Organisationen im Bereich kritische Infrastrukturen bis 2025 eine Sicherheitsverletzung erleben, die zum Stillstand eines funktions- oder unternehmenskritischen cyberphysischen Systems führen wird. „Die Regierungen vieler Länder erkennen jetzt, dass ihre relevanten nationalen Infrastrukturen seit Jahrzehnten ein undefiniertes Angriffsgebiet sind“, berichtet Ruggero Contu, Research Director bei Gartner. „Sie ergreifen jetzt Maßnahmen, um mehr Sicherheitskontrollen für die dahinterliegenden Systeme vorzuschreiben.“
Eine weitere Gartner-Prognose beschreibt die Risiken im KRITIS-Bereich: Bis 2025 könnten demnach Cyberkriminelle Betriebstechnik als Waffe nutzen, um Menschen zu verletzen oder zu töten. Attacken auf diese Operational Technology (OT), also auf Hardware und Software, die Geräte, Prozesse und Ereignisse überwachen und steuern, häuften sich, so das Research- und Beratungsunternehmen. Sie sind nicht mehr nur auf unmittelbare Prozessunterbrechungen (zum Beispiel das Herunterfahren einer Anlage) ausgelegt, sondern könnten die Industrie so gefährden, dass physische Schäden entstehen.
„Sicherheits- und Risikomanager in Betriebsumgebungen sollten sich eher um reale Gefahren für Mensch und Umwelt sorgen als um Datendiebstahl“, sagt Wam Voster, Senior Research Director bei Gartner. „Befragungen von Gartner-Kunden haben ergeben, dass Unternehmen in anlagenintensiven Branchen wie der Fertigungsindustrie, dem Rohstoffsektor oder der Versorgungswirtschaft Schwierigkeiten haben, geeignete Kontrollprozesse zu definieren.“
Umso wichtiger erscheinen vor diesem Hintergrund die Vorgaben zur IT-Sicherheit im KRITIS-Bereich wie die Einführung von Systemen zur Angriffserkennung.
Technische Systeme allein reichen nicht
IT-Sicherheitslösungen zur Angriffserkennung werden das Angriffsrisiko im KRITIS-Sektor aber nicht allein senken können. Aus gutem Grund fordert das IT-Sicherheitsgesetz 2.0 neben technischen Maßnahmen auch organisatorische. „Ein KRITIS-Projekt ist kein IT-Projekt, sondern ein Organisationsprojekt, in das alle Unternehmensbereiche integriert werden müssen“, so Jörg Zimmermann, Fachmann für Informationssicherheit beim TÜV Rheinland. „Es ist nicht damit getan, das Thema allein an die IT zu geben.“
Die erfolgreiche und wirksame Umsetzung von Sicherheitsmaßnahmen muss alle zwei Jahre durch ein Audit nachgewiesen werden. „Besonders Unternehmen, die sich bisher nicht haben zertifizieren lassen, müssen sich gründlich auf diese Audits vorbereiten und sollten vorab ein Test-Audit durchführen“, empfiehlt Zimmermann.
Dienstleister sparen Aufwände und Zeit
Nicht nur für die Suche nach Schwachstellen in der Absicherung können Dienstleister für KRITIS-Einrichtungen sinnvoll sein. Auch die Einführung und der Betrieb eines Systems zur Angriffserkennung kann durch die Nutzung entsprechender Security-Services erleichtert werden.
Cloudbasierte und von Drittanbietern verwaltete Lösungsansätze wie SIEMaaS (Security Information and Event Management as a Service) seien eine zeitgemäße Alternative für die Angriffserkennung und -auswertung mit gut kalkulierbaren Kosten, erklärt der Bundesverband IT-Sicherheit in seiner „Handreichung zum Stand der Technik“.
Bedenkt man, dass selbst die Umsetzungsfrist bis Mai 2023 schon zu großzügig sein kann, um folgenschwere KRITIS-Vorfälle zu verhindern, dann sind Services, die zu einer schnelleren Einführung der Angriffserkennung beitragen, umso wichtiger. Spezialisierte Security-Services für den KRITIS-Bereich sind auf dem Markt bereits verfügbar. KRITIS-Einrichtungen sollten keine Zeit verlieren und entsprechende Lösungen für sich prüfen.