Im Mai diesen Jahres trat das neue IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft und ergänzt das erste Gesetz von 2015. Neben den zusätzlichen Kompetenzen, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übertragen werden, konkretisiert das Gesetz die informations-sicherheitsrelevanten Pflichten, denen Betriebe mit kritischen Infrastrukturen (KRITIS) nachkommen müssen.
Worin diese Änderungen und Neuerungen genau bestehen, was das für KRITIS-Betriebe bedeutet und wie sie den neuen Anforderungen nachkommen können, erklärt Tanja Hofmann, Lead Security Engineer bei McAfee Enterprise.
Das BSI spielt eine zentrale Rolle im neuen IT-Sicherheitsgesetz 2.0. Es erhält einen größeren Aufgabenbereich und mehr Handlungsbefugnisse als zuvor. Unter anderem fungiert das BSI ab sofort als zentrale Meldestelle für IT-Sicherheit und darf zur Bedrohungserkennung und -abwehr Informationen zu Angriffen und Schadprogrammen sammeln.
Außerdem steigt es zur nationalen Behörde für Cybersicherheitszertifizierungen auf. Als unabhängige Beratungsstelle zeigt es sich von nun an verantwortlich für den Verbraucherschutz und soll ein transparentes IT-Sicherheitskennzeichen für Bürgerinnen und Bürger einführen.
Darüber hinaus hält das IT-SiG 2.0 ebenfalls für KRITIS-Betriebe – also Unternehmen mit kritischen Infrastrukturen, die aufgrund ihres wirtschaftlichen und gesellschaftlichen Beitrags besonders geschützt werden müssen – einige Neuerungen bereit.
Die Siedlungsabfallentsorgung wurde offiziell in die Liste der KRITIS-Sektoren aufgenommen. Diese umfasste bislang die neun Bereiche Staat und Verwaltung, Energie, Wasserversorgung, Gesundheitswesen, Informationstechnik und Kommunikation, Transport und Verkehr, Finanz- und Versicherungswesen, Ernährung sowie Medien und Kultur.
Darüber hinaus ergeben sich für KRITIS-Betriebe folgende neue Verpflichtungen:
Die neuen Pflichten für KRITIS-Betreiber
Unternehmen mit kritischen Infrastrukturen sind ab sofort explizit dazu verpflichtet, technische und organisatorische Sicherheitsmaßnahmen in ihren Anlagen zu implementieren. Entsprechende Tools und Prozesse müssen dazu beitragen, dass potenzielle Cyber-Attacken frühzeitig erkannt werden.
Darunter fallen zum Beispiel der Einsatz von Security Information and Event Management (SIEM)-Lösungen, Extended Detection and Response (XDR)-Plattformen und die Einführung eines dedizierten IT-Security-Teams, dessen Fokus auf der Erkennung und das Abwenden von sicherheitsrelevanten Vorfällen liegt.
Sollte es doch zu einem Vorfall oder erheblichen Störungen kommen, sind KRITIS-Betreiber verpflichtet, diese umgehend zu melden und dem BSI auf Nachfrage alle zur Behebung notwendigen Informationen zukommen zu lassen.
Wurde ein Unternehmen als KRITIS-Betrieb eingestuft, ist eine unmittelbare Registrierung beim BSI nun obligatorisch. Bei Versäumen dieser Registrierung kann das BSI diese eigenständig vornehmen und Einblick in die notwendigen Unterlagen des Betreibers einfordern.
Doch nicht nur die Anmeldung eines KRITIS-Unternehmen ist vorgeschrieben: Auch der Einsatz sogenannter „kritischer Komponenten“ ist ab sofort beim BSI zu melden. Dabei handelt es sich um IT-Produkte in KRITIS-Betrieben, deren Ausfall die Funktionsfähigkeit des Betriebs beeinträchtigen würde.
Im Falle eines Verstoßes zum Beispiel in Form von fehlenden Maßnahmen, Auskünften oder Meldungen drohen KRITIS-Unternehmen ab sofort höhere Bußgelder als bisher. Diese wurden an diejenigen der EU-DSGVO angeglichen und betragen nun maximal 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Umsatzes.
Um solchen Sanktionen entgegenzuwirken und „compliant“ zu sein, gilt es für KRITIS-Betriebe, die richtigen IT-sicherheitsrelevanten Maßnahmen zu ergreifen.
Ganzheitliche IT-Sicherheit für KRITIS-Betriebe
Die Bedrohungslage hat sich in den vergangenen Monaten verschärft – Cyber-Kriminelle nehmen zunehmend KRITIS-Unternehmen aus der Finanzbranche und der Energie- und Kraftstoffversorgung sowie (Bundes-) Behörden ins Visier.
Die folgenden Maßnahmen schlagen demnach gleich zwei Fliegen mit einer Klappe: KRITIS-Unternehmen entsprechen den durch das IT-SiG 2.0 vorgegebenen Sicherheits- und Compliance-Anforderungen und schützen sich gleichzeitig vor der steigenden Cyber-Bedrohung.
Security Operations Center (SOC): Experten auf Bedrohungsjagd
Datenlecks, Malware und Cyber-Attacken zu identifizieren, zu untersuchen und zu verhindern bevor sie unternehmensweit Schaden anrichten, ist eine Aufgabe, die sehr viel Zeit und Ressourcen erfordert. Dennoch sollte sie aufgrund der sich stetig weiterentwickelnden Bedrohungslandschaft hohe Priorität genießen. Viele Unternehmen richten zu diesem Zweck ein Security Operations Center (SOC) ein.
Dabei handelt es sich um ein separates, zentrales Hub-Team, das sich ausschließlich um die IT-Sicherheit im Unternehmen kümmert. Es untersucht sämtliche Telemetrie-Daten aus der gesamten Unternehmens-IT-Infrastruktur und entscheidet, ob und wie im Falle eines sicherheitsrelevanten Vorfalls gehandelt und reagiert werden soll.
Da das SOC-Team den Überblick über sehr viele Daten innerhalb des IT- und Security Frameworks behalten müssen, sind technische Hilfsmittel notwendig, um den Sicherheitsanforderungen umfänglich gerecht zu werden.
Schutz auf technischer Ebene: Security Information and Event Management (SIEM) und Extended Detection and Response (XDR)
Security Information and Event Management – kurz: SIEM – und Extended Detection and Response (XDR) Tools unterstützen das SOC-Team maßgeblich in seiner Arbeit. Das IT-SiG 2.0 schreibt den Einsatz solcher oder ähnlicher Lösungen sogar explizit vor.
SIEM-Tools sammeln und analysieren Daten über die gesamte IT- und Security-Infrastruktur eines Unternehmens hinweg – einschließlich aller Endpoints, Netzwerke, Firewalls und der Cloud. Sie überprüfen diese Datenströme in Echtzeit auf Anomalien und können dadurch potenzielle Bedrohungen ausmachen.
Eine SaaS-basierte Extended Detection and Response (XDR)-Plattform hilft Sicherheitsteams bei der flexiblen Erkennung, Abwehr und Behebung von potenziellen sowie akuten Cyber-Angriffen. Im Zuge dessen führt sie alle internen Sicherheitsfunktionen und -daten zentral zusammen, sortiert sowie kombiniert diese mit externen Bedrohungsdaten und sorgt somit für Transparenz als auch Kontrolle über sämtliche Endgeräte, Netzwerke und die Cloud hinweg.
Die Plattform überprüft Warnmeldungen auf ihre Ursache hin und ist außerdem in der Lage, das Ausmaß des Risikos und der potenziellen Folgen abzuschätzen. Auf dieser Grundlage können Sicherheitsteams Bedrohungen und Angriffe priorisieren. Mithilfe von XDR können IT-Teams in KRITIS-Betrieben zudem präventiv gegen Bedrohungen vorgehen sowie während und nach einem Angriff Handlungsempfehlungen erhalten, wodurch IT-Systeme zu jeder Zeit bestmöglich geschützt bleiben.