Am 1. Januar 2022 ist eine neue Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Kritische Infrastrukturen (Kritis) in Kraft getreten. Sie erweitert den Kreis der als „Kritis“ eingestuften Unternehmen und Organisationen. Vor allem Energie- und Transportunternehmen sowie die Abfallwirtschaft sind betroffen.
Rohde & Schwarz Cybersecurity erklärt, was die neuen Kritis-Unternehmen beachten müssen, um ihre IT-Sicherheit wie gefordert zu erhöhen:
Ein flächendeckender Stromausfall oder der Aufnahmestopp in der Notaufnahme eines Krankenhauses aufgrund eines Serverausfalls – solche Worst-Case-Szenarien nach Cyberattacken sind keine Utopie mehr. Sogenannte Kritis – also Unternehmen und Organisationen, die systemrelevant sind und zu denen auch Krankenhäuser und Energieunternehmen zählen – sind immer öfter Opfer von Cyberangriffen. Zu diesem Schluss kommt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). „Cyberangriffe sind für Kritis-Betreiber aller Branchen beinahe an der Tagesordnung“, heißt es im Bericht des BSI zur „Lage der IT-Sicherheit in Deutschland 2021“.
Mitte Juli 2021 nahmen beispielsweise Cyberkriminelle das städtische Klinikum im niedersächsischen Wolfenbüttel mit einem Verschlüsselungstrojaner ins Visier, um Lösegeld zu erpressen. Mehrere Tage waren die IT-Systeme der Klinik außer Betrieb. Weiteres Beispiel: Die Stadtwerke Wismar befanden sich nach einem Hackerangriff im Herbst 2021 Ende des Jahres noch immer im Notbetrieb. Folgen für die Versorgung der Bevölkerung hatte dieser Vorfall zwar nicht. Doch die Beispiele zeigen, wie akut die Bedrohungslage für Kritis-Betreiber derzeit ist.
Neue Kriterien
Am 1. Januar 2022 trat nun eine Anpassung der BSI-Kritis-Verordnung Kritis-V in Kraft, um systemrelevante Unternehmen und Organisationen besser vor solchen Angriffen zu schützen. Die „Zweite Verordnung zur Änderung der BSI-Kritis-Verordnung“ erweitert den Kreis der als kritische Infrastrukturen zugeordneten Unternehmen. Solche „Kritis“sind besonderen IT-Sicherheitsvorkehrungen unterworfen, die im IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) als strenge Schutzmaßnahmen und Meldepflichten definiert sind.
Nun wurden die Schwellenwerte und Anlagentypen, die das BSI zur Einordnung von „Kritis“ festlegt, in der neuen Verordnung angepasst. Zu den aktuell rund 1.600 bestehenden Kritis-Betreibern werden voraussichtlich weitere 252 hinzukommen.
Zuwachs an „Kritis“ im Energiesektor
Besonders stark betroffen von den Anpassungen ist der Energiesektor: Mit weit über 100 zusätzlichen Betreibern und Anlagen wird die Branche den größten Zuwachs an neuen „Kritis“ haben. Der Grund: Der Schwellenwert zur Einstufung von Stromerzeugungsanlagen liegt nicht mehr wie bisher bei 420 Megawatt, sondern nur noch bei 36 Megawatt. Diese signifikante Änderung geht auf eine Empfehlung der Bundesnetzagentur zurück. Ebenfalls aufgenommen werden Schwarzstartanlagen – Kraftwerke also, die nach einem Stromausfall in der Lage sind, die Versorgung vollständig autonom wiederherzustellen – sowie Betreiber aus der Mineralölwirtschaft, von Gashandelssystemen und Gasgrenzübergabestellen.
Betroffen von den Änderungen ist auch der Sektor Transport und Verkehr. Logistikunternehmen mit mehr als 53,2 Millionen Sendungen pro Jahr fallen nun genauso unter die Kritis-Verordnung wie Nahverkehrsbetriebe mit 125 Millionen Fahrgästen jährlich. Da auch Schwellenwerte im Luftverkehr sowie in der See- und Binnenschifffahrt angepasst wurden, erhöht sich die Anzahl in diesem Sektor um mehr als 70 Betreiber. Dazu gehören zum Beispiel künftig die Flugsicherung und Verkehrszentralen von Fluggesellschaften.
Abfallwirtschaft
Auch das neue IT-SiG 2.0 erweitert den Kreis der Kritis-Branchen. Erstmals kommen der Sektor Abfallwirtschaft hinzu sowie Unternehmen im besonderen öffentlichen Interesse. Dazu zählen die Rüstungsindustrie, Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung und solche aus dem Sektor Gefahrstoffe.
Das IT-SiG 2.0 verpflichtet auch Zulieferer und Hersteller von kritischen Komponenten zu mehr IT-Sicherheit, sodass die gesamte Lieferkette abgesichert ist. Dazu gehören IT-Produkte, die in „Kritis“ eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder einer erheblicher Beeinträchtigung der Funktionsfähigkeit oder sogar Gefährdungen für die öffentliche Sicherheit führen können.
Neu ist im IT-SiG 2.0 auch, dass Geldbußen drastisch erhöht wurden und der Gesetzgeber für Verstöße maximal bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes vorsehen kann.
Das Internet absichern
Um sich angemessen schützen zu können und die Vorgaben des BSI zu erfüllen, brauchen sowohl neue als auch bestehende Kritis-Unternehmen geeignete IT-Sicherheitsmaßnahmen. Ein Virenscanner allein reicht heute längst nicht mehr aus, um die IT vor den immer häufigeren und raffinierteren Cyberangriffen zu schützen. Denn die Zahl der Angriffsvarianten nimmt stetig zu. Inzwischen agieren Cyberkriminelle in hochprofessionell organisierten Gruppen – wie die Hackernetzwerke „Hive“ und „Emotet“ zeigen.
Vor allem das Internet birgt enorme Gefahren: 35 Prozent der Kritis-Unternehmen waren laut einer aktuellen Studie von techconsult in den zurückliegenden Monaten Opfer eines Hackerangriffs gewesen. 56 Prozent der Angriffe resultieren aus Phishing-Mails. Beunruhigend in diesem Zusammenhang: Knapp die Hälfte der 200 Teilnehmer der Umfrage setzt in solchen Fällen ausschließlich auf die Eigenverantwortung der Belegschaft – verbunden mit der Aufforderung, Anhänge prinzipiell nicht zu öffnen. Ein solcher Hinweis auf das Nicht-Öffnen von Anhängen ist jedoch ein völlig unzureichender Schutz vor Cyberangriffen. Der Mensch macht Fehler und solche Fehler können gravierende Folgen haben. Um sich vor schädlichen Anhängen oder Links in E-Mails zu schützen, sollten diese Unternehmen stattdessen geeignete technische Mittel einsetzen.
Isolation statt Abwehr
Der beste Schutz vor solchen externen Angriffen aus dem Internet – etwa durch Ransomware und Malware – ist ein virtueller Browser. Kommt dieser zum Einsatz, haben auch neue Virusvarianten keine Chance, denn die Lösung setzt nicht auf ein reaktives Erkennen und Abwehren, sondern auf eine proaktive Isolation. Setzt man dabei auf den „R&S Browser in the Box“ von Rohde & Schwarz Cybersecurity kommt ein Sicherheits-Tool zum Einsatz, das im Auftrag des BSI entwickelt wurde. Solche für das BSI entwickelten Produkte erfüllen ebenso wie vom BSI zugelassene Lösungen besonders strenge Vorgaben und hohe Sicherheitsstandards. Sie erhöhen die IT-Sicherheit in „Kritis“ daher maßgeblich.
Noch mehr Sicherheit mit „Zero Trust“
Immer wichtiger für die IT-Sicherheit in Unternehmen wird das Konzept „Zero-Trust“. Das bedeutet: IT-Sicherheitsprodukte müssen heutzutage nicht nur in der Lage sein, Gefahren von außen abzuwehren. Um wirkliche Sicherheit zu erlangen, brauchen Unternehmen auch einen Schutz vor potenziell unsicheren Komponenten im Betriebssystem. Spezielle „Zero-Trust-Produkte“ arbeiten daher unabhängig vom Windows-Betriebssystem. Angriffe etwa aufgrund von Sicherheitslücken laufen dann ins Leere. Der „R&S Trusted VPN Client“ von Rohde & Schwarz Cybersecurity verfügt beispielsweise über eine solche vom Windows-Betriebssystem unabhängige Zero-Trust-Plattform.
Autor/Quelle: Clemens A. Schulz, Director Desktop Security, Rohde & Schwarz Cybersecurity
