IT-Sicherheit mit besonderen Anforderungen Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen (KRITIS)

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Die Digitalisierung in Staat, Wirtschaft und Gesellschaft hat Deutschland in nur wenigen Jahren grundlegend verändert. Deutschlands kritische Infrastrukturen sind deshalb nicht nur durch Naturkatastrophen, Unfälle und Terrorismus bedroht, sondern auch durch staatliche und nicht-staatliche Hackerangriffe und Malware-Attacken.

Firma zum Thema

Nach zwei Jahren und fünfzehn Artikeln ist unsere Serie zur Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen Deutschlands wohl noch lange nicht am Ende.
Nach zwei Jahren und fünfzehn Artikeln ist unsere Serie zur Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen Deutschlands wohl noch lange nicht am Ende.
(© MH - stock.adobe.com)

In den letzten zwei Jahren haben wir bei Security-Insider.de nach und nach die Situation von Unternehmen und Einrichtungen beleuchtet, die zu den kritischen Infrastrukturen zählen, also eine wichtige Bedeutung für das staatliche Gemeinweisen haben. Dazu gehören die Bereiche "Energie", "Gesundheit", "Staat und Verwaltung", "Ernährung", "Transport und Verkehr", "Finanz- und Versicherungswesen", "Informationstechnik und Telekommunikation", "Medien und Kultur" sowie "Wasser". In all diesen Branchen und Sektoren sind besondere Anforderungen an die IT-Sicherheit zu erfüllen, die wir jeweils im Detail unter die Lupe genommen haben. Dieser Artikel fasst die ganzen in diesem Zusammenhang erschienen Beiträge kurz zusammen.

Die Serie startete mit einem Grundlagenbeitrag, der sich mit der Netzwerksicherheit im Allgemeinen befasste. Dieser Beitrag, der unter Grundlagen der Netzwerksicherheit zur Verfügung steht, zeigt, welche Maßnahmen Einrichtungen und Organisationen ergreifen sollten, um ihr IT-Netz abzusichern. Die hier beschriebenen Aktionen treffen im Prinzip auf jedes Unternehmen zu, nicht nur auf kritische Infrastrukturen. Da die genannten Sicherheitsmaßnahmen aber auch die Grundlage der IT-Security in den KRITIS-Sektoren darstellen, haben wir sie an dieser Stelle einmal zusammengefasst.

Im Artikel zur Netzwerksicherheit in der Energie- und Wasserwirtschaft sprachen wir mit einem Vertreter des entsprechenden Bundesverbands. Er betonte, dass in dieser Branche die Sicherheit der informationstechnischen Systeme einen traditionell sehr hohen Stellenwert hat, da die Energiewirtschaft zu den am stärksten regulierten Bereichen überhaupt gehört. Außerdem wünscht er sich, die Hersteller der IT-Komponenten stärker in den Schutz kritischer Infrastrukturen einzubinden.

Um uns über den Zustand im Gesundheitssektor zu informieren, kommunizierten wir mit dem Lukaskrankenhaus Neuss. Im Beitrag Netzwerksicherheit in Krankenhäusern informierten wir uns über die Maßnahmen, die das Krankenhaus ergriffen hat, nachdem es Opfer einer Ransomware-Attacke geworden war. Zusätzlich erklärten uns die Verantwortlichen, welche Bedeutung die Netzwerksegmentierung zum Schutz von nicht patchbaren Systemen hat.

Was den Sektor „Staat und Verwaltung“ angeht, so sprachen wir mit insgesamt vier Ansprechpartnern, um möglichst viele Aspekte dieses weitreichenden Feldes abzudecken. Zunächst informierten wir uns auf kommunaler Ebene über die Netzwerksicherheit bei der Stadt Köln. Hier lernten wir, dass Köln eine eigene Infrastruktur betreibt, die die Stadt selbst verwaltet und auch selbst gebaut hat. Auch das Mail-System wird intern gehostet.

Um die Situation auf Landesebene unter die Lupe zu nehmen, sprachen wir mit der Landesverwaltung NRW. Auch die Landesverwaltung Nordrhein-Westfalen verfügt über ein eigenes physikalisches Netz, über das die Behörden untereinander kommunizieren. Der Zugriff auf das Internet erfolgt über eine besonders abgesicherte, zentrale Stelle.

In den letzten beiden Beiträgen zu diesem Sektor befassten wir uns mit länderübergreifenden Institutionen. In diesem Zusammenhang ist zunächst einmal der Deutsche Landkreistag zu nennen. Bei den Landkreisen liegt ein sehr heterogenes Umfeld vor, bei dem auch die Home Office-Nutzung eine große Rolle spielt. Der zweite Beitrag befasst sich mit der Bundeswehr. Die Landesverteidigung steht im Fokus vieler Cyber-Angreifer und bedarf daher besonderen Schutzes. Auch bei der Bundeswehr spielt die Netzwerksegmentierung eine wesentliche Rolle bei Sicherstellen eines hohen Security-Niveaus.

In Bezug auf die Netzwerksicherheit in der Ernährungsbranche sprachen wir mit einem Vertreter des Systemhauses Agotech, das die Verantwortung für die IT der Byodo Naturkost GmbH trägt. Hier wird kaum im Home Office gearbeitet und die IT-Ausstattung des Lagers stellt eine besondere Herausforderung dar. Auch die Logistik hat in der Ernährungsbranche eine fundamentale Bedeutung.

Für den Sektor „Transport und Verkehr“ stellte sich Hapag-Lloyd als Ansprechpartner zur Verfügung. Die Reederei hat einen Outsourcing-Vertrag mit IBM geschlossen und alle ihre Kernanwendungen laufen in einem Dual-Hochverfügbarkeitsrechenzentrum. In den Niederlassungen werden nur Basisdienste bereitgestellt.

Für die Versicherungsbranche ergriff der Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat das Wort. Der Gesamtverband der Deutschen Versicherungswirtschaft betreibt ein Krisenreaktionszentrum, das den einzelnen Versicherungen eine Melde- und Informationsdrehscheibe zur IT-Sicherheit zur Verfügung stellt. Über diese tauschen die Unternehmen nicht nur Informationen über Bedrohungen aus, sondern auch Patches und Lösungen.

Was den Sektor „Telekommunikation“ angeht, so war die Deutsche Telekom als Gesprächspartner verfügbar. Zentrales Thema des Interviews: Die Absicherung des Telekommunikationsnetzes mit 35 Millionen Kunden im Mobilfunk- und Festnetzbereich. Auch Consumer-Geräte wie Speed-Ports spielten eine Rolle.

Wenden wir uns nun dem Bereich „Medien und Kultur“ zu. Hier war die ProSiebenSat.1 Media SE unser Ansprechpartner. Zu den wichtigsten Themen gehörten die Anforderungen an die IT-Infrastruktur durch die verschiedenen Segmente wie Fernsehen, Streaming und Vertrieb sowie der Aufbau des verwendeten Netzes mit Speicherkapazitäten, Containern und so weiter.

Für den letzten Sektor „Wasser“, nahmen wir Kontakt mit den Berliner Wasserbetrieben auf. Hier spielen die vielen ins Netz zu integrierenden IoT-Komponenten eine wichtige Rolle. Viele Komponenten wurden in ein getrenntes, so genanntes Automatisierungsnetz ausgelagert, das über keine Schreibzugänge verfügt.

Zum Abschluss der Serie sprachen wir mit dem BSI über unsere aus den anderen Gesprächen gewonnenen Erkenntnisse sowie über Sicherheitsanforderungen, Regulierungen und die aktuelle Bedrohungslage. Der entsprechende Beitrag findet sich unter „Deutschlands kritische Infrastrukturen“.

Es scheint allerdings so, dass diese Serie noch nicht am Ende angekommen ist. Wenn es nach dem Willen der Bundesregierung und dem aktuellen Entwurf des IT-Sicherheitsgesetz 2.0 geht, wird es nicht nur einen neuen KRITIS-Sektor „Abfallwirtschaft geben, sondern auch neue, weitreichende Bestimmungen für Unternehmen und Organisationen, die nicht zu den kritischen Infrastrukturen gehören. „Unternehmen im besonderen öffentlichen Interesse“ müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden.

Alle KRITIS-Artikel noch einmal im Kurzüberblick

(ID:47361930)