Angriffserkennung wird zur Pflicht
Branchen fühlen sich überfordert
von Oliver Schonschek - 05.05.2022
Wirtschaftsvertreter im UP KRITIS, einer öffentlich-privaten Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, erklärten bereits im Vorfeld des neuen Gesetzes, ein zielführender Einsatz von Systemen zur Angriffserkennung erfordere neben der Einführung von geeigneter Hardware und Software den Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse im Unternehmen.
Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen, so die UP-KRITIS-Vertreter. Hierbei handelt es sich faktisch um hochspezialisierte Teams, die 24/7 tätig sind. Die Wirtschaftsvertreter kommen zu dem Schluss: Der finanzielle und personelle Aufwand, der mit der Forderung nach Systemen zur Angriffserkennung einhergeht, ist beträchtlich und für die allermeisten KRITIS-Betreiber nicht leistbar.
Auch IT-Sicherheitsanbieter sehen einen höheren Aufwand für die KRITIS-Einrichtungen. Um entsprechende Lösungen effektiv einzusetzen, müssten diese durch einen qualifizierten Administrator gewartet und überwacht werden, so etwa Joe Köller von Tenfold Software. Nur so könnten Betriebe Fehlalarme ausschließen, im schlimmsten Fall angemessen reagieren und einen Störfall zeitnah an das BSI melden.
Hohe Aufwände VS. Noch höhere Schäden
Die deutsche Industrie ist ein beliebtes Ziel für Cyberangriffe, Spionage, Sabotage und Datendiebstahl sowie andere Formen der Wirtschaftskriminalität mit jährlich verursachten Schäden in Milliardenhöhe, so der Bundesverband der Deutschen Industrie (BDI). „Es geht darum, den Standort Deutschland und damit Millionen Arbeitsplätze zu erhalten und die Handlungsfähigkeit von Unternehmen wie Politik zu gewährleisten. Eine wirksamere Abwehr bei Angriffen trägt außerdem dazu bei, die Versorgung der Menschen sicherzustellen“, mahnt Matthias Wachter, Abteilungsleiter Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im BDI.
Mit präventiven Maßnahmen wie der Einführung eines Informationssicherheits-Managementsystems oder der regelmäßigen Durchführung von Mitarbeiterschulungen können die Unternehmen Cybersicherheitsrisiken bereits deutlich reduzieren, wie der BDI betont. Wichtig seien zudem geeignete Vorkehrungen, um Cyberangriffe rechtzeitig detektieren und im Schadensfall angemessen reagieren zu können.
Genau das steckt hinter der Forderung nach Systemen zur Angriffserkennung im IT-Sicherheitsgesetz 2.0 mit Blick auf die besondere Bedrohung im KRITIS-Bereich.
Es geht um Menschenleben
Warum sich zur Absicherung von KRITIS auch hohe Aufwände lohnen und keine Zeit zu verlieren ist, zeigen die Prognosen der Marktforschungshäuser. Zum Beispiel werden laut einer Gartner-Vorhersage 30 Prozent aller Organisationen im Bereich kritische Infrastrukturen bis 2025 eine Sicherheitsverletzung erleben, die zum Stillstand eines funktions- oder unternehmenskritischen cyberphysischen Systems führen wird. „Die Regierungen vieler Länder erkennen jetzt, dass ihre relevanten nationalen Infrastrukturen seit Jahrzehnten ein undefiniertes Angriffsgebiet sind“, berichtet Ruggero Contu, Research Director bei Gartner. „Sie ergreifen jetzt Maßnahmen, um mehr Sicherheitskontrollen für die dahinterliegenden Systeme vorzuschreiben.“
Eine weitere Gartner-Prognose beschreibt die Risiken im KRITIS-Bereich: Bis 2025 könnten demnach Cyberkriminelle Betriebstechnik als Waffe nutzen, um Menschen zu verletzen oder zu töten. Attacken auf diese Operational Technology (OT), also auf Hardware und Software, die Geräte, Prozesse und Ereignisse überwachen und steuern, häuften sich, so das Research- und Beratungsunternehmen. Sie sind nicht mehr nur auf unmittelbare Prozessunterbrechungen (zum Beispiel das Herunterfahren einer Anlage) ausgelegt, sondern könnten die Industrie so gefährden, dass physische Schäden entstehen.
„Sicherheits- und Risikomanager in Betriebsumgebungen sollten sich eher um reale Gefahren für Mensch und Umwelt sorgen als um Datendiebstahl“, sagt Wam Voster, Senior Research Director bei Gartner. „Befragungen von Gartner-Kunden haben ergeben, dass Unternehmen in anlagenintensiven Branchen wie der Fertigungsindustrie, dem Rohstoffsektor oder der Versorgungswirtschaft Schwierigkeiten haben, geeignete Kontrollprozesse zu definieren.“
Umso wichtiger erscheinen vor diesem Hintergrund die Vorgaben zur IT-Sicherheit im KRITIS-Bereich wie die Einführung von Systemen zur Angriffserkennung.