Für KRITIS-Betreiber wird es kritisch
KRITIS-Betreiber stehen vor so hohen Herausforderungen wie nie: Die Anforderungen an den Schutz ihrer Systeme vor Cyberangriffen sind drastisch gestiegen. Durch die EU und die Bundesregierung neu eingeführte Vorgaben und Schwellenwerte haben dazu geführt, dass mehr Unternehmen unter die KRITIS-Definition fallen als bisher.
Besonders für diese neu hinzugekommenen Unternehmen und Betriebe stellen die Anforderungen der EU- (die NIS- und RCE-Richtlinien) und deutschlandweiten Vorgaben, das IT-Sicherheitsgesetz 2.0 des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), eine erhebliche Belastung dar. Sie müssen bis zum Mai dieses Jahres strengste Sicherheitsmaßnahmen ergreifen, um ihre Widerstandsfähigkeit gegen böswillige Akteure gewährleisten zu können. Verstöße gegen die o.g. Vorschriften des BSIG haben schwerwiegende Konsequenzen: Es drohen Geldbußen von bis zu 20 Millionen Euro.
Wer ist nun aber genau von diesen Anforderungen betroffen und zählt zu KRITIS?
Was ist KRITIS?
KRITIS steht für alle Einrichtungen der sog. „KRITischen InfraStruktur“. Diese Einrichtungen spielen eine zentrale Rolle bei der Sicherheit und Stabilität Deutschlands. Deshalb müssen sie besonders geschützt werden. Sollten sie angegriffen oder beeinträchtigt werden, könnte das verheerende Auswirkungen auf große Teile der Gesellschaft haben – von langanhaltenden Versorgungsengpässen, die Bürgern massiv schaden, bis zu daraus möglicherweise resultierenden öffentlichen Unruhen.
Zur Kritischen Infrastruktur gehören Unternehmen und Einrichtungen aus folgenden Bereichen. Grundsätzlich gelten alle Unternehmen als von KRITIS-Regulierungen betroffen, die mehr als 500 000 Personen mit einer kritischen Dienstleistung versorgen.
Was ist eine kritische Dienstleistung?
Das IT-Sicherheitsgesetz definiert für Deutschland acht Bereichen in drei Kategorien, die unter die KRITIS-Regularien fallen.
| Grundversorgung | Versorgung | Dienstleistungen |
| Energie, Wasser, Ernährung, Gesundheit | Verkehr & Transport, Entsorgung | IT & Telekommunikation, Finanzen & Versicherungen |
Seit dem Bestehen des IT-Sicherheitsgesetz 2.0 (einer Anpassung des erstmalig 2015 beschlossenen BSIG im Jahr 2021) zählen ebenfalls Unternehmen und Einrichtungen dazu, die im besonderen öffentlichen Interesse stehen (sog. UBI). Auf diese kommen angepasste Richtlinien („KRITIS-light“) zu, die je nach Gruppe 2023 oder 2024 umgesetzt sein müssen.
| Rüstung | Wertschöpfung | Gefahrstoffe |
| UBI 1 | UBI 2 | UBI 3 |
| Rüstungsunternehmen und -hersteller für staatliche Verschlussachen. | Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, deren Störung gesamtgesellschaftliche Folgen hätte. | Betriebe der Chemie und produzierender Industrie, deren Produkte in die oberste Gefahrenstufe gemäß Störfall-Ordnung einzustufen sind. |
Verantwortung, Vorgaben und Verpflichtung
Ab dem 01. Mai 2023 werden laut dem BSIG § 8a Absatz 1a die Betreiber Kritischer Infrastrukturen verpflichtet, Systeme zur Erkennung von Angriffen (SzA) einzusetzen; und zwar unter Einhaltung des aktuellen Standes der Technik und durch ordnungsgemäßen Einsatz dieser Erkennungssysteme. Dies muss sich dann nach § 8a Absatz 3 BSIG gegenüber dem BSI nachweisen lassen.
Die eingesetzten Systeme zur Angriffserkennung müssen bestimmte Voraussetzungen erfüllen und in der Lage sein, Bedrohungen fortlaufend zu erkennen, zu vermeiden und zu beseitigen. Betreiber kritischer Infrastrukturen sind gesetzlich dazu verpflichtet worden, spätestens zwei Jahre nach Eintreten der Gesetztespflicht dafür zu sorgen und fortlaufend alle zwei Jahre einen Nachweis gegenüber dem BSI zu führen, dass ihre Strukturen sicher sind.
Am 28. Mai 2021 traten vielfältige Änderungen in dem bereits im Jahr 2015 eingeführten BSIG in Kraft – das sog. „IT-Sicherheitsgesetz 2.0“. So wurden die oben genannten Systeme zur Angriffserkennung in § 8a Absatz 1a BSIG insoweit eingefügt, als eine Pflicht zum ordnungsgemäßen Einsatz dieser Systeme ausgesprochen worden ist. Dabei wurden die SzA genauer definiert als datengetriebene Erkennungssysteme, die technisch und organisatorisch in Betriebsprozesse eingebunden sein müssen (vgl. § 2 Absatz 9b BSIG).
Bereits im August 2015 hatte zusätzlich die Bundesnetzagentur mit ihrem IT-Sicherheitskatalog Anforderungsprofile zum Schutz vor Bedrohungen formuliert (vgl. § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG)). Dies betrifft besonders Betreiber von Energieanlagen und andere nach der KRITIS-Verordnung eingestufte Betriebe. Auch mit dem IT-Sicherheitskatalog ging bereits eine Verpflichtung einher, dort für Schutz zu sorgen, wo eine Gefährdung für den Netzbetrieb möglich ist.
Die verpflichtende Verantwortung die Vorgaben einzuhalten und das zu melden ist somit anzunehmen.
Abhängigkeiten als Herausforderung
Die stetige Zunahme von Abhängigkeiten der Betriebe von Informations- und Kommunikationstechnologien (IKT) hat das Risiko erhöht, dass betriebliche Funktionen durch Angriffe auf die IKT beeinträchtigt werden können. Dazu gehören Cyberattacken, globale Interessenskonflikte, Wirtschaftsspionage sowie Sabotageversuche.
Angriffe richtigen sich dabei meist großflächig gegen mehrere Anlagen, sodass ein einfaches Ausweichen auf nicht betroffene Anlagen zunehmend wegfällt. Einzelne Anlagen dürfen nicht mehr derart anfällig sein, dass sie Angreifern unter Umständen als Einfallstor oder gar als Werkzeug für weiterreichende Attacken dienen.
Die Lösung: Einsatz der SzA
Was genau sind nun diese Systeme zur Angriffserkennung? Wie genau können diese eingesetzt werden und inwiefern ist ihr Nutzen auch abhängig von der jeweiligen Branche der betroffenen Betriebe?
Gemäß der Definition aus § 2 Absatz 9b Satz 1 BSIG sind SzA Prozesse, die im Betrieb durch technische Werkzeuge und organisatorische Einbindung angewendet werden. Betont wird hierbei ausdrücklich, dass auch die organisatorische Einbindung eine Rolle spielt und nicht nur die technische.
Nicht nur technisch – auch organisatorisch
Zusätzlich konkretisiert § 8 Absatz 1a BSIG die SzA folgendermaßen weiter. Sie „müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ können. Dabei wird die Beschaffenheit der Auswertung ebenfalls bestimmt (§ 2 Absatz 9b BSIG): Sie ist ein „Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“ Schlussendlich sollen die Systeme „dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§ 8a Absatz 1a Satz 3 BSIG).
Mit letzterem wird noch einmal die Wichtigkeit der organisatorischen Einbindung verdeutlicht. Die wesentlichen Aufgaben der SzA sind demnach: zunächst die Protokollierung, Detektion und Reaktion. Das heißt: Fortlaufende Auswertung gesammelter Informationen, das Erkennen von sicherheitsrelevanten Ereignissen (z. B. durch Anomalie-Erkennung) und als Reaktion das Ergreifen von implementierten Maßnahmen, die Störungen durch Attacken verhindern. Dies kann dabei sowohl technisch als auch organisatorisch gelöst werden.
Die SzA müssen dabei alle informationstechnischen Systeme, Komponenten und Prozesse beachten, die für eine sichere Funktionalität der betriebenen Kritischen Infrastruktur nötig sind. Das betrifft sowohl IT als auch OT (operative Technologien), Rechenzentren, Embedded Systems und weitere Bereiche.
Jede Branche bringt ihre eigenen Anforderungen mit. Grundsätzlich gilt aber, dass die Sicherheitsstandards der BSI-Vorgaben eingehalten werden müssen. Auch dafür gibt es konkrete Empfehlungen und Vorgaben, die sog. „Branchenspezifischen Sicherheitsstandards“ bzw. „B3S“. Vgl. dazu § 8a Absatz 2 BSIG. Diese branchenspezifischen Standards wurden für einzelne Branchen von Branchenverbänden erstellt und vom BSI freigegeben. Darin werden meist genaue Anforderungen an das sog. Managementsystem für Informationssicherheit (ISMS) erläutert. Es gibt Branchenstandards für Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr, Entsorgung, IT und TK sowie für Finanzen und Versicherungen.
Zusätzlich gibt es noch weitere, spezifische Sicherheitskataloge, die einzelne Branchen betreffen – äquivalent zum EnWG bei energiekritischer Infrastruktur (z. B. das BAIT für Banken und das TKG für die Telekommunikation.)
Die Nachweispflicht im Jahr 2023
Alle zwei Jahre wird ein Nachweis fällig. Dabei gilt, dass Nachweise, die ab dem 1. Mai 2023 vorgelegt werden, auch Aussagen darüber enthalten müssen, wie SzA gemäß § 8a Absatz 1 BSIG eingesetzt werden.
Besonders Betreiber von Energieversorgungssystemen und -anlagen, die als Kritische Infrastruktur gelten, müssen dem BSI am 1. Mai 2023 verpflichtend und dann alle zwei Jahre folgend, die Erfüllung der Anforderungen nachweisen (vgl. § 11 Absatz 1e und 1f EnWG). Gleiches gilt, wie eingangs bereits erwähnt, für alle KRITIS-Unternehmen.
Dabei wird geprüft werden, inwieweit die individuelle Umsetzung der SzA stattgefunden hat. Dies geschieht durch Nachweiserbringung einer Bewertung des ISMS. Dafür wurde ein „Reifegradmodell“ entwickelt, das eine Entwicklung des ISMS nachverfolgen und dokumentieren kann. Zusätzlich müssen das betriebliche Kontinuitätsmanagement (Business Continuity Management Systems, BCMS) und damit verbundene Anforderungen und Maßnahmen geprüft werden. Auch hierfür wurde ein Reifegradmodell vorgegeben.
Angestrebt wird grundsätzlich jeweils die Stufe 4 von 5.[1] Aufgrund der Kurzfristigkeit durch die aktuelle Gesetzgebung ist es zulässig, bei der ersten Nachweisführung Stufe 3 zu erreichen.
Die Anforderungen sind immens. Deshalb stehen wir Ihnen mit Rat und Tat zur Seite und helfen Ihnen, sich wirklich sicher zu sein.
Ihr Team der Dr. Michael Gorski Consulting GmbH
[1] www.bsi.bund.de/OHNachweise
Kanal abonnieren
