IT-Sicherheit in den KRITIS-Branchen Deutschlands kritische Infrastrukturen

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Zum Abschluss unserer Serie über kritische Infrastrukturen in Deutschland sprachen wir mit Nadine Nagel, Leiterin der Abteilung „Cyber-Sicherheit für Wirtschaft und Gesellschaft“ beim BSI über Sicherheitsanforderungen, Regulierungen und die aktuelle Bedrohungslage.

Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden und in denen die IT-Systeme von Unternehmen besonderen Schutz benötigen.
Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden und in denen die IT-Systeme von Unternehmen besonderen Schutz benötigen.
(© MH - stock.adobe.com)

In den letzten Monaten haben wir uns in Form einer Serie mit der IT-Sicherheit in sämtlichen KRITIS-Sektoren befasst. Dazu haben wir mit Vertretern von Organisationen aus den Bereichen Energie- und Wasserversorgung, Banken und Versicherungen, Transport und Verkehr, Medien und vielen anderen Sicherheitsspezialisten gesprochen. Zum Abschluss unserer Serie haben wir jetzt ein Gespräch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geführt. Dabei ging es darum, ob sich unsere Erkenntnisse aus unseren Interviews mit der Sichtweise des BSI zu den neun Sektoren kritischer Infrastrukturen decken, wo es Unterschiede gibt und wie das BSI zu dem Thema steht.

Nadine Nagel, Leiterin der Abteilung “Cyber-Sicherheit für Wirtschaft und Gesellschaft” beim BSI.
Nadine Nagel, Leiterin der Abteilung “Cyber-Sicherheit für Wirtschaft und Gesellschaft” beim BSI.
(Bild: BSI)

Unser Gespräch führten wir mit Nadine Nagel, Leiterin der Abteilung “Cyber-Sicherheit für Wirtschaft und Gesellschaft” beim BSI. Zu Beginn unseres Gesprächs wiesen wir darauf hin, dass es uns aufgefallen ist, dass in vielen KRITIS-Branchen Sicherheitsmaßnahmen zum Einsatz kommen, die über die Verwendung “normaler” Security-Werkzeuge wie Firewalls und IPS-Lösungen – die auch in nicht-kritischen Institutionen Verwendung finden – hinausgehen.

Zu den in KRITIS-Branchen von uns (Security-Insider) beobachteten üblichen Maßnahmen gehören etwa eine Segmentierung der Netze und der umfassende Einsatz von Verschlüsselungslösungen. Das gleiche gilt auch für die Isolation gefährdeter Systeme, wie beispielsweise medizinischer Geräte, die ihre Zulassung verlieren, wenn auf ihnen Patches eingespielt werden.

Frau Nagel meinte dazu, dass diese Maßnahmen tatsächlich eine große Relevanz haben. Sie reichen allerdings nicht aus, um das nötige IT-Sicherheitsniveau zu garantieren, dazu sind umfassendere Maßnahmen im Rahmen eines unternehmensweiten ISMS erforderlich.

In diesem Zusammenhang ist es wichtig zu verstehen, dass die einzelnen KRITIS-Sektoren nicht einheitlich betrachtet werden können. Bei manchen von ihnen besteht eine Regulierung schon seit langer Zeit, wie zum Beispiel im Finanzwesen. Daher verfügen diese Organisationen bereits über viel Erfahrung und sind deswegen auch tendenziell besser aufgestellt. Andere Sektoren sind erst seit wenigen Jahren reguliert, so dass hier noch gewisse Aspekte zum adäquaten Schutz von IT/OT fehlen. Als Beispiel für relative "junge" Sektoren in der Regulierung nannte uns Frau Nagel die Sektoren Lebensmittelversorgung und Gesundheit. Dort legen viele Betreiber den Fokus auf die Umsetzung technischer IT-Sicherheitsmaßnahmen, während aber in vielen Fällen noch Verbesserungspotenzial bei den organisatorischen Details erkennbar ist: So haben vor allem kleinere Betreiber häufig noch keinen designierten IT-Sicherheitsbeauftragten oder führen keine Security-Schulungen für die Mitarbeiter durch, da sie durch die Erfüllung der technischen Maßnahmen bereits ausgelastet sind.

Andere Sektoren sind bereits besser aufgestellt und dem Erreichen des notwendigen Schutzniveaus näher. So weist die IT-Sicherheit von Unternehmen in den Sektoren Energie und Wasser im Allgemeinen bereits einen hohen Reifegrad auf. Mängel, die in diesen Sektoren im Rahmen von Prüfungen derzeit noch aufgedeckt werden, beziehen sich beispielsweise auf die Trennung von Netzen oder auf den Bereich der physischen Sicherheit.

Die aktuelle Bedrohungslage

Was die aktuelle Gefährdungslage angeht, so werden wir mit Bedrohungen auf einem anhaltend hohen Niveau konfrontiert, das sich in manchen Bereichen sogar verschärft hat. In diesem Zusammenhang wies Frau Nagel auf die hohe Zahl der Schadprogrammvarianten hin, die pro Tag auftreten: bis zu 320.000. Es stellt also eine ziemliche Herausforderung dar, sich vor der kursierenden Schadsoftware zu schützen. Emotet gilt nach wie vor als eine der bedeutsamsten Sicherheitsbedrohungen für Organisationen.

Ein weiteres aktuelles Problem: die Ausnutzung kritischer Schwachstellen bei Remote-Zugängen. In diesem Zusammenhang sei auf die Citrix-Problematik hingewiesen. Diese hat uns vor Augen geführt, dass Schwachstellen auch dann noch Ursache für IT-Sicherheitsvorfälle sein können, wenn die Administratoren die dazugehörigen Patches bereits eingespielt haben, falls die betroffenen Infrastrukturen bereits vor dem Patchen infiltriert wurden. Frau Nagel betonte in diesem Zusammenhang, dass das BSI wiederholt vor solchen Gefahren warnt und es nicht reicht, ausschließlich Patches einzuspielen. So sind zum Beispiel auch Penetrationstests zu empfehlen, um etwaige noch bestehende Sicherheitslücken zu identifizieren.

Wesentlich ist ebenfalls, dass die eigene IT-Infrastruktur beobachtet wird, also Systeme zur Angriffserkennung eingesetzt werden, um Angreifer, die sich bereits im System befinden zu entdecken. Auch sollten Backups nicht nur regelmäßig durchgeführt werden und so aufbewahrt werden, dass sie für einen erfolgreichen Angreifer nicht zugreifbar sind (Offline-Speicherung), sondern auch das Zurückspielen dieser Updates muss regelmäßig getestet werden.

Aktuell kommt zu den üblichen Bedrohungen noch die COVID-Problematik hinzu. Die Pandemie stellt nicht nur ein zentrales Thema bei vielen Phishing-Kampagnen dar, bei denen sie dazu dient, die Aufmerksamkeit der Anwender zu erlangen. Es ist zusätzlich auch so, dass sich der Sektor Gesundheit stärker im Fokus der Angreifer befindet als je zuvor. Das liegt an seiner größeren Sichtbarkeit, der Abhängigkeit vieler Menschen von diesem Sektor und der damit verbundenen Verwundbarkeit. Zusammenfassend kommt das BSI zum Fazit, dass sich die Bedrohungslage nach wie vor auf einem hohen Niveau befindet und die Angriffsfläche mit der zunehmenden Digitalisierung und Vernetzung zunimmt, sofern Sicherheitsanforderungen nicht von Beginn an berücksichtigt werden.

Bereiche, in denen die Unternehmen gut vorbereitet sind

Was gute Vorbereitung bei der Gefahrenabwehr angeht, so lassen sich keine einheitlichen Aussagen über alle KRITIS-Sektoren hinweg treffen. Wie bereits gesagt, ist die Situation dort zu unterschiedlich. Man kann allerdings einiges zu einzelnen Sektoren feststellen. So hat beispielsweise die KRITIS-Branche Informationstechnik ein gutes Sicherheitsverständnis, setzt schon seit vielen Jahren Security-Managementsysteme ein und verfügt zudem über ein leistungsfähiges Notfallmanagement. Vergleichbares gilt auch für den schon seit langer Zeit regulierten Finanzsektor.

Die Sektoren Gesundheit und Lebensmittel befinden sich teilweise – wie angesprochen – auf einem technisch hohen Niveau. Das ergibt sich aus der Notwendigkeit, beispielsweise im Gesundheitssektor, die kritischen personenbezogenen Daten angemessen zu schützen. Das Personal hat aber hier oftmals nur selten direkten Bezug zur IT-Sicherheit.

In den Sektoren Wasser und Energie, weist die IT-Sicherheit von Unternehmen im Allgemeinen bereits einen hohen Reifegrad auf. Natürlich bleibt weiterhin Verbesserungsbedarf. Zum Beispiel gibt es Mängel, die im Rahmen von Prüfungen aufgedeckt werden und deren Abstellung das BSI begleitet.

Die Unternehmen des Sektors Transport und Verkehr wurden 2017 mit dem zweiten Korb der BSI-KritisV als Kritische Infrastrukturen bestimmt. Hier müssen noch relativ viele Maßnahmen umgesetzt werden.

Sonstige für die IT-Sicherheit der KRITIS-Branchen relevante Faktoren

Was kritische Punkte für die IT-Security angeht, so ergibt sich für die einzelnen Sektoren ein unterschiedliches Bild. So ist es zum Beispiel im Sektor Transport und Verkehr häufig so, dass kein Informationssicherheitsmanagementsystem und kein Notfallmanagementsystem existiert. Es sind zwar technische und organisatorische Maßnahmen festzustellen, diese reichen aber für eine ganzheitliche Lösung nicht aus.

Ein weiterer Problemfall ist die Risikoanalyse. Die meisten Organisationen verfügen zwar über eine Form von Risikomanagementsystem. Die Betrachtung der Informationssicherheitsrisiken kommt dabei aber oft zu kurz. So werden beispielsweise die Risiken für die kritischen Dienstleistungen nicht hinreichend betrachtet. Es geht nicht nur darum, diese im Zuge einer Risikoanalyse zu identifizieren, zu klassifizieren und zu bewerten. Die Verantwortlichen müssen sie auch genau analysieren, um herauszufinden, welche Maßnahmen erforderlich sind, um diese zu mitigieren. Eine einfache Akzeptanz von relevanten Risiken ist im Rahmen des BSIG nicht möglich.

Zusätzliche Herausforderungen ergeben sich in praktisch allen Sektoren aus der Knappheit an IT-(Sicherheits-)Personal. Es ist zwar möglich, einzelne Prozesse der IT-Sicherheit, wie beispielsweise das Patch-Management, weitgehend zu automatisieren, was dabei hilft, den Arbeitsaufwand zu senken. Generell gilt aber, dass die Personalknappheit ein ernstzunehmendes Problem darstellt.

Typische Sicherheitsmaßnahmen für bestimmte Sektoren

Was typische Sicherheitsmaßnahmen angeht, die in bestimmten Sektoren Relevanz haben, so machte Frau Nagel deutlich, dass in den einigen Bereichen der Kritischen Infrastrukturen Geräte eingesetzt werden, die nicht ohne weiteres gepatcht werden können. Gründe hierfür können zum Beispiel eine damit erlöschende Betriebserlaubnis oder Gewährleistung (zum Beispiel im Sektor Gesundheit) sein, aber auch dass das entsprechende Gerät nicht neu gestartet werden kann, ohne dass die kritische Dienstleistung unterbrochen wird (etwa im Sektor Energie). Mögliche Lösungen für das Sicherstellen der IT-Sicherheit sind in diesem Zusammenhang die bereits zu Beginn erwähnten Segmentierungs- und Isolationsmaßnahmen in Kombination mit einer leistungsfähigen Netzwerküberwachung.

Ein weiterer Sektor, der in diesem Zusammenhang Erwähnung finden sollte, sind die Medien. Diese unterliegen derzeit nicht einer IT-Sicherheitsregulierung, spielen wegen der Verbreitung von Informationen aber trotzdem eine kritische Rolle. Hier müssen die Verantwortlichen sicherstellen, dass die Informationen – etwa im Katastrophenfall – nicht böswillig verändert, verfälscht oder blockiert werden können. Die Medien nehmen also eine Sonderrolle ein.

Zu guter Letzt wies uns Frau Nagel noch auf die Rolle der Hersteller in der IT-Sicherheit hin. Es wird immer darüber gesprochen, was Betreiber und Nutzer umsetzen müssen. “Das reicht aber nicht”, so Nagel. “Auch die Hersteller sind miteinzubinden, wenn es um die Entwicklung und Bereitstellung von standardmäßig nutzerfreundlich sicheren Produkten geht. Das heißt, die einzelnen Geräte müssen in einem Zustand beim Kunden ankommen, der die IT-Mitarbeiter und Nutzer in die Lage versetzt, ihre sichere Nutzung auf einfache Art und Weise zu realisieren. Es geht also um ‘Security by Design’ - die Sicherheit muss standardmäßig implementiert sein. Falls erforderlich können die Anwender das Sicherheitsniveau ja dann in bestimmten Bereichen senken. Es ist also die Mitarbeit der Hersteller und der Verbraucher gefragt.”

Das BSI arbeitet kooperativ mit den Betreibern der Kritischen Infrastrukturen zusammen. “Wir müssen insgesamt in diesen Infrastrukturen ein hohes Sicherheitsniveau erreichen, dazu reichen einzelne Maßnahmen nicht aus – auch wenn sie effektiv sind-, sondern es kommt auf ein umfassendes IT-Sicherheitsmanagement an. Dabei fordern und fördern wir die Betreiber bei der Sicherstellung eines ausreichend hohen IT-Sicherheitsniveaus, fügte Frau Nagel hinzu.

Übersicht über die bisherigen Veröffentlichungen in der Security-Insider KRITIS-Serie

(ID:47129369)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT