:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kritische Infrastrukturen KRITIS(ch) betrachtet
Wie „sicher“ ist sicher genug? Das regulatorische Rahmenwerk rund um den Betrieb kritischer Infrastrukturen will diese Frage verbindlich beantworten. Zwei neue Direktiven auf EU-Ebene müssen demnächst wieder in nationales Recht einfließen. Inzwischen nimmt die novellierte KRITIS-Verordnung 2.0 deutsche Unternehmen nach verschärften Vorgaben in die Pflicht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Am 1. Januar 2022 trat die neue KRITIS-Verordnung (KritisV1.5) der Bundesregierung vom 18. August 2021 in Kraft. Das Bundeskabinett konkretisiert darin das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), welches bereits am 28. Mai 2021 Gesetzeskraft erlangte, und erweitert den Wirkungsgrad des BSIG (Bundessicherheitsgesetzes).
Betreiber „kritischer Infrastrukturen“ hatten schon zuvor besondere regulatorische Vorgaben einzuhalten. Das IT-SiG 2.0 hat ihnen neue Pflichten auferlegt und dem Staat erweiterte Befugnisse zugestanden.
:quality(80)/images.vogel.de/vogelonline/bdb/1822700/1822734/original.jpg "Nach zwei Jahren und fünfzehn Artikeln ist unsere Serie zur Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen Deutschlands wohl noch lange nicht am Ende. (MH - stock.adobe.com)")
IT-Sicherheit mit besonderen Anforderungen
Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen (KRITIS)
Im Wirbelsturm der KRITIS-Regulierung
Mit der novellierten KRITIS-Verordnung kommen auf Betroffene pünktlich zum Silvesterkater unter anderem deutlich höhere Strafen zu. Sie könnten bis zu 20 Millionen Euro aus der Bilanz wegwischen. (Die Begeisterung darüber hält sich verständlicherweise in Grenzen.)
In den Anwendungsbereich der Regulierung fallen dann auch wesentlich mehr Firmen als zuvor. Im Jahre 2021 waren es bundesweit etwa 1.600 Organisationen. Am 1. Januar 2022 könnte die Zahl auf ca. 1870 ansteigen. Die betroffenen Unternehmen müssen das Erreichen der KRITIS-Schwellenwerte selbst erkennen und die erforderlichen Schritte rechtzeitig einleiten. Eine Vorwarnung bekommen sie nicht und die Übergangsfrist ist weggefallen.
Auf EU-Ebene sollen in den kommenden Wochen noch die EU-Direktiven NIS2 (Network and Information Security Directive) und EU RCE (Directive on the resilience of critical entities) Gültigkeit erlangen und ihre Vorgänger EU NIS und ECI (European Critical Infrastructures) ablösen. Doch sie finden in Deutschland keine direkte Anwendung. Sie müssen erst noch in nationales Recht der Mitgliedsstaaten einfließen.
In der Zwischenzeit setzt sich der regulatorische Rahmen für deutsche KRITIS-Betreiber hauptsächlich aus dem IT-SiG 2.0 und der KRITIS-Verordnung 2.0 zusammen. Auch damit haben die Verantwortlichen in Unternehmen ohnehin bereits beide Hände voll zu tun.
:quality(80)/images.vogel.de/vogelonline/bdb/1803700/1803785/original.jpg "Im Podcast redet sich Klaus Landefeld ein wenig in Rage und ordnet das IT-Sicherheitsgesetz in einen größeren Kontext ein. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 33
Das IT-Sicherheitsgesetz, oder: 5 Sätze zuviel
Die „kritische Masse“
Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz sind all jene Unternehmen und sonstige Organisationen, die bei der Versorgung der Bevölkerung eine kritische Rolle spielen und sich dabei auf digitale Infrastrukturen a.k.a. „Anlagen“ stützen. Als „Anlagen“ gelten nun nicht nur Maschinen und Geräte im weitesten Sinne, sondern auch „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“.
Für verschiedene Wirtschaftssektoren – Informationstechnik, Telekommunikation, Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr – gelten genaue Schwellenwerte, so zum Beispiel:
- das Transportvolumen,
- die Produktionsmenge,
- die produzierte Energie.
Die Novelle der KRITIS-Verordnung in der Version 2.0 hat die einzelnen zahlenmäßigen Bemessungspunkte herabgesetzt. Die Schwellenwerte zielen darauf ab, jene Unternehmen ausfindig zu machen, die mehr als eine halbe Million Menschen versorgen.
Betroffene Unternehmen müssen bereits ab dem ersten Werktag, an dem sie die Schwellenwerte erreichen, unter Androhung von Bußgeldern sämtliche Anforderungen erfüllen – eine Vorabankündigung bekommen sie nicht. Der Wegfall der Übergangsfrist dürfte den einen oder anderen Neuzugang unter den KRITIS-Betreibern kalt erwischen.
Betreiber kritischer Infrastrukturen müssen KRITIS-Anlagen im eigenen Betrieb identifizieren. Dafür haben sie Zeit bis Ende März auf Basis der Vorjahreszahlen. Des Weiteren müssen sie sich beim BSI registrieren und eine Kontaktstelle mit Rund-um-die-Uhr-Verfügbarkeit, sieben Tage die Woche, für das Amt einrichten.
Weitere erforderliche Maßnahmen umfassen die Einhaltung von Mindestsicherheitsstandards, also unter anderem (hoffentlich wirksame) Sicherheitsmaßnahmen im Bereich der Angriffsfrüherkennung wie IDS (Intrusion Detection Systems) und SIEM (Security Information and Event Management), aber auch SOC (Security Operation Center) und CSIRT (Computer Security Incident Response Services), des Weiteren auch organisatorische Vorkehrungen zur Vermeidung von Cyberrisiken (Stichwort BCMS und ISMS) sowie der Einsatz fortschrittlicher Technologien zur Cyber-Verteidigung der IT und OT. (Siehe hierzu auch: „Cybercrime mit Hilfe künstlicher Intelligenz. Ransomware und DDoS gegen IoT-Systeme“ Besondere Sicherheitsanforderungen betreffen die sogenannten kritischen Komponenten kritischer Infrastrukturen (siehe weiter unten).
Informationspflichten und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (kurz „BSI“) umfassen unter anderem die Auflistung aller IT-Produkte, die für die Funktionalität der kritischen Infrastrukturen wichtig sind, sowie die Meldung von Störungen. Siehe hierzu auch: „Der Cyber-GAU. Notfallpläne für die Cyberapokalypse“.
Das IT-Sicherheitsgesetz 2.0 (BSIG) erfasst nun auch Unternehmen, die nicht KRITIS-Betreiber sind, jedoch besonderem öffentlichen Interesse dienen. Auch diese Organisationen müssen sich beim BSI registrieren und einen für das BSI zuständigen Ansprechpartner benennen. Außerdem sind sie verpflichtet, mindestens alle zwei Jahren ab Verkündung des Gesetzes gegenüber dem BSI eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits und Prüfungen sowie die Sicherung der besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgeben.
Lieferketten unter Kontrolle: Kritische Komponenten genehmigungspflichtig
Der neue regulatorische Rahmen trägt unter anderem der Tatsache Rechnung, dass sich Cyber-Bedrohungen entlang von Versorgungsketten von Lieferanten zu Abnehmern propagieren können (a.k.a. supply-chain attacks). Siehe hierzu auch: „IoT unter Beschuss. Risiko: Supply-Chain-Attacken“.
Das neue regulatorische Rahmenwerk sieht besondere Auflagen in Bezug auf kritische Komponenten vor. Gemeint sind hiermit IT-Produkte, die in den kritischen Infrastrukturen zum Einsatz kommen und für deren Funktionsweise von Relevanz sind (da sie Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der kritischen Infrastruktur sicherstellen) und entweder auf der Basis eines Gesetzes als kritische Komponenten klassifiziert werden oder eine kritische Funktion in einem KRITIS-Unternehmen erfüllen.
Die Einsatzabsicht kritischer Komponenten bedarf einer vorherigen Anzeige beim BMI, einer Zertifizierung und einer Garantieerklärung des Anbieters. Die Garantieerklärung muss die ganze Lieferkette des Herstellers mit abdecken. Schließlich kann das BMI sowohl den erstmaligen als auch den weiteren Einsatz von kritischen Komponenten durch den Betreiber kritischer Infrastrukturen verweigern, sollte es eine Beeinträchtigung der öffentlichen Sicherheit und Ordnung feststellen. Eine Beeinträchtigung liegt dann vor, wenn der Hersteller z.B. von der Regierung eines Drittstaates kontrolliert werde oder die Verpflichtungen der Garantieerklärung nicht einhalte.
Dies schafft für die betroffenen Unternehmen, die auf kritische Komponenten aus Drittstaaten vertrauen, eine erhebliche Unsicherheit – in vielen Fällen ohne die Möglichkeit, auf alternative Versorgungsquellen kritischer Komponenten auszuweichen.
„Während die weltweite Nachfrage explodiert ist, ist der Anteil Europas an der gesamten Wertschöpfungskette, vom Design bis zur Fertigungskapazität, geschrumpft,“ so EU-Präsidentin Ursula von der Leyen in ihrer Rede „State of the European Union“ am 15. September 2021.
Die erfolgreiche Digitalisierung der deutschen Wirtschaft treibt die Abhängigkeit von Anbietern wie der taiwanischen TSMC oder der südkoreanischen Samsung auf bisher ungekannte Höhen. Die Halbleiter-Produktion findet derzeit fast ausschließlich in Südostasien statt. Die überwiegende Mehrheit führender Chip-Anbieter im Westen hat längst keinerlei eigene Fertigungsstätte mehr (Stichwort: „fabless“ in Anspielung an das Wort „fabulous“), sondern bloß Patente auf Chip-Designs. Kostenreduktion als die überragende Zielsetzung hat es vollbracht.
„Wir sind auf hochmoderne, in Asien hergestellte Chips angewiesen“, so von der Leyen.
Ein schleichendes Aufkommen von Produktions- und Lieferengpässen macht sich bereits seit Monaten bemerkbar und doch vermochte es keine grundlegenden Änderungen an der Versorgung der Wirtschaft mit kritischen Komponenten herbeizuführen, ganz im Gegenteil. Der Aufbau neuer Kapazitäten bedarf massiver Investitionen, byzantinischer Behördengänge und des Ausreitens des Amtsschimmels.
Inzwischen wächst die technologische Kluft weiter. Mit ihr nimmt die Abhängigkeit der KRITIS-Betreiber von fremden Anbietern zur Versorgung mit kritischen Komponenten zu. Jene Unternehmen können sich dem regulatorischen Regime der EU ungeschoren entziehen. Versorgungsprobleme und der akute Mangel an „sicheren“ Alternativen fallen ausschließlich den KRITIS-Betreibern zu Lasten.
European Chips Act
„Europa kann und wird nicht hinterherhinken“, so EU-Präsidentin Ursula von der Leyen. Dies sei nicht nur eine Frage der Wettbewerbsfähigkeit, sondern „auch eine Frage der technologischen Souveränität“. Die Lösung? Die Europäische Kommission hat dem EU-Parlament einen legislativen Vorschlag für einen European Chips Act vorgelegt.
Die Kommission hat auch schon mit der Gründung der beiden Initiativen „Alliance for Processors and Semiconductor technologies“ und „European Alliance for Industrial Data, Edge and Cloud“ erste Schritte unternommen.
Die Mitgliedstaaten würden auch schon bereits nationale Strategien entwickeln, um ihre Industrie- und Produktionskapazitäten auf eigenem Grund und Boden strategisch auszubauen und die eigene Abhängigkeit zu verringern, so Thierry Breton, EU-Kommissar für Interne Märkte. KRITIS-Betreiber möchten sicherlich hoffen, in diesen Prozess (stärker) mit einbezogen zu werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945875/original.jpg "Die EU-Kommission schlägt ein Chip-Gesetz vor, um die Halbleiterknappheit anzugehen und Europas technologische Führungsrolle zu stärken. (EU/Mauro Bottaro)")
EU Chips Act
Was Chips „made in EU“ für die Security bedeuten können
Fazit
Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
(ID:48115756)
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945875/original.jpg "Die EU-Kommission schlägt ein Chip-Gesetz vor, um die Halbleiterknappheit anzugehen und Europas technologische Führungsrolle zu stärken. (EU/Mauro Bottaro)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944848/original.jpg "Oliver Hanka ist Director EMEA Industrial & IoT Security bei PwC Deutschland. (PwC Deutschland)")