Weil sie für den reibungslosen Betrieb unserer Gesellschaft so wichtig sind, stellen Kritische Infrastrukturen (KRITIS) besonders beliebte Ziele für Cyber-Angriffe dar. Die Angst vor der Manipulation der COVID-Impfstoffversorgung oder der Ransomware-Angriffe gegen Kraftstoff-Pipeline-Systeme sind nur zwei hochaktuelle Beispiele für die Cyber-Herausforderungen, denen sich KRITIS-Betreiber gegenübersehen.
Wie sich KRITIS-Betreinber effektiv absichern können, verrät Tanja Hofmann, Lead Security Engineer bei McAfee Enterprise.
Die jüngsten Vorfälle zeigen: Immer mehr Branchen und Unternehmen mit Kritischen Infrastrukturen – selbst jene, von denen man es auf dem ersten Blick nicht erwarten würde – sind von Informationssystemen abhängig, um den Betrieb und somit auch die Gesellschaft aufrechtzuerhalten. Mit zunehmender Digitalisierung und Vernetzung machen sie sich jedoch auch angreifbarer für Cyber-Kriminelle.
Unter Kritischen Infrastrukturen – kurz KRITIS – versteht man Unternehmen bzw. Einrichtungen, die einen essentiellen Beitrag zum staatlichen Gemeinwesen leisten. Diese lassen sich neun Sektoren zuordnen: Staat und Verwaltung, Energie, Wasser, Gesundheitswesen, Informationstechnik und Telekommunikation, Transport und Verkehr, Finanz- und Versicherungswesen, Ernährung sowie Medien und Kultur.
Kommt es in Unternehmen dieser Branchen zu erheblichen Störungen oder gar Ausfällen, kann sich dies durch Versorgungsengpässe oder die Beeinträchtigung der öffentlichen Sicherheit schwerwiegend und nachhaltig auf die Gesellschaft auswirken.
Handlungsmaßnahmen zur Absicherung Kritischer Infrastrukturen
Das IT-Sicherheitsgesetz des Bundesministeriums trat 2015 in Kraft und legt verbindliche Mindestanforderungen an die IT-Sicherheit Kritischer Infrastrukturen fest und erst im vergangenen Mai billigte der Bundesrat das IT-Sicherheitsgesetz 2.0, um Schutzmechanismen und Abwehrstrategien weiter zu erhöhen.
Außerdem stehen betroffene Unternehmen seitdem in der Pflicht, IT-Sicherheitsvorfälle zu melden. Auf diese Weise soll sichergestellt werden, dass KRITIS zunehmenden Cyber-Bedrohungen effektiv entgegenwirken können. Trotzdem ist zu bedenken, dass jede Branche aufgrund unterschiedlicher Regulierungsgrade ihre eigenen, individuellen Anforderungen besitzen, um ihre Netzwerke abzusichern.
Mithilfe der folgenden drei Maßnahmen können Organisationen und Unternehmen wesentlich zur Verbesserung ihrer Sicherheit beitragen:
- Security by Design: Sicherheit von Anfang an
Oftmals können die IT-Systeme Kritischer Infrastrukturen später nicht mehr gepatcht oder geändert werden, da Unternehmen dann mit schwerwiegenden Ausfällen zu rechnen haben. Nachträgliche Änderungen der Systeme können außerdem dazu führen, dass sie – oder zumindest bestimmte Komponenten der Systeme – damit ihre ursprüngliche Betriebserlaubnis verlieren.
Daher ist es wichtig, bereits vor der Installation dieser IT-Umgebungen Hersteller und Anbieter zu wählen, die den Sicherheitsaspekt von Anfang an und während des gesamten Entwicklungsprozesses berücksichtigen. Durch diesen „Security-by-Design“-Ansatz erhalten KRITIS Gerätschaften oder Systeme an die Hand, die vorkonfiguriert und sicher einsatzbereit sind.
- Mehrschichtige Strategie und technische Lösungen: Ganzheitlich sicher
Sollte doch erst im Nachhinein, also nach Installation, für Sicherheitsmaßnahmen gesorgt werden müssen, bedarf es technischer Lösungen, die den Betrieb bereits bestehender Kritischer Infrastrukturen nicht gefährden und gleichzeitig ganzheitlich schützen. Netzwerksegmentierung und Whitelisting-Lösungen sind erste wichtige Elemente, reichen allein jedoch nicht aus.
Um die gesamte IT-Umgebung Kritischer Infrastrukturen nachhaltig und effektiv zu schützen, braucht es eine mehrschichtige und ganzheitliche Sicherheitsstrategie. Diese reicht von der Bewertung bereits existierender Cyber-Sicherheitsmaßnahmen über IT-Pentests – also die Simulation eines Cyber-Angriffs im Betriebskontext – bis hin zu technischen Lösungen. Security Information and Event Management Tools (SIEM) erkennen Anomalien in Datenströme und identifizieren dadurch potenzielle Bedrohungen.
In Sachen Cyber-Sicherheit darf die Absicherung von Cloud-Systemen heutzutage nicht zu kurz kommen: Ganzheitliche Cloud- und Device-to-Cloud-Lösungen nutzen die Stärken von Data Loss Prevention (DLP), Cloud Access Security Brokern (CASB) und Secure Web Gateways, um für umfassende Sicherheit zu sorgen – und das, ohne Ausfallzeiten riskieren zu müssen.
- Cyber-Sicherheitsverbände: Gemeinsam stark
Unternehmen mit Kritischen Infrastrukturen können von einer Mitgliedschaft in Verbänden oder Kooperationen maßgeblich profitieren. So konzentriert sich beispielsweise der öffentlich-private Umsetzungsplan (UP) KRITIS vornehmlich auf KRITIS und fördert den Austausch dieser zumeist privaten Unternehmen.
Zentrale Ziele des UP KRITIS sind unter anderem die Kommunikation über Cyber-Vorfälle, die Sensibilisierung und Aufklärung hinsichtlich der aktuellen Bedrohungslage, der Ausbau von Krisen-Management-Strukturen sowie die Durchführung von Notfallübungen.