Schutz von KRITIS und industriellen Anlagen – Teil 1: Gesetzliche Grundlagen und Anforderungen
Manipulation und Sabotage betrieblicher Anlagen kommen von den verschiedensten Seiten. Sollen Schutzkonzepte effektiv sein, müssen sie viele Faktoren berücksichtigen, um eine angemessene Absicherung gegen unberechtigte Eingriffe zu gewährleisten. In einem zweiteiligen Beitrag befassen sich Dr. Kai Nürnberger von Fraunhofer FKIE, Jochen Sauer von Axis Communications und Jörg Brasas von Phoenix Contact mit den normativen Grundlagen und Anforderungen sowie der Firmware als potentieller Schwachstelle. Der folgende erste Teil behandelt die gesetzlichen Regelungen sowie die zukünftigen Anforderungen, die sich aus ihnen ergeben.
„There must be fifty ways to leave your lover”, heißt es in einem bekannten Ohrwurm von Paul Simon. In Anlehnung daran könnte man sagen, dass es vermutlich ebenso viele Möglichkeiten gibt, unberechtigt in betriebliche Anlagen einzudringen, auf sensible Bereiche zuzugreifen, diese zu manipulieren oder zu sabotieren. Vorgehen und Zielsetzung hängen maßgeblich von den Interessen, Intentionen und Fähigkeiten der Tätergruppen ab. Das Spektrum der Angriffsvektoren ist breit und kann die Lieferkette, die physische Infrastruktur, technische Systemkomponenten, das Personal oder die IT-Systeme betreffen.
Anlagen und Dienstleistungen mit kritischer Bedeutung für die Aufrechterhaltung des öffentlichen Lebens müssen naturgemäß ein besonders hohes Sicherheitsniveau erfüllen. Die entsprechenden Anforderungen sind daher in einer europäischen Richtlinie (EU 2022/2557) geregelt und werden in der nationalen Gesetzgebung (KRITIS-Dachgesetz) implementiert. Aufgrund der zunehmenden Bedeutung der Cybersicherheit gibt es mit EU NIS2 (= Network and Information Security) eine zusätzliche europäische Direktive, die Mindeststandards der IT-Sicherheit für Betreiber kritischer Infrastrukturen verbindlich festlegt. Sie ist in nationales Recht umzusetzen (NIS2 Umsetzungsgesetz).
Eine klare Regelung der Pflichten und der damit einhergehenden technischen Anforderungen ist wichtig. Das kann einen Innovationsschub auslösen. In einem sehr dynamischen Umfeld ist jedoch zu befürchten, dass gesetzliche Vorgaben schnell von der Realität überholt werden, da sich diese vor allem auf bekannte Bedrohungen beziehen. Regelmäßige Überprüfungen und Novellierungen sind daher essenziell. Weiterhin hängt die Durchschlagskraft jeglicher Gesetzgebung von der konkreten Umsetzung und eigenverantwortlichen Aufrechterhaltung eines hohen Sicherheitsniveaus in einer komplexen Infrastruktur durch den Betreiber ab. Das erfordert differenzierte, flexible und aktualisierbare Konzepte, die schnell auf neue Täterwerkzeuge und veränderte Angriffsmethoden reagieren können.
Relevante gesetzliche Regelungen
Die zunehmende Digitalisierung und Vernetzung vergrößern die Angriffsflächen für Cyber-Attacken. Darüber hinaus werden die Täter und ihre Methoden immer professioneller. Verbesserte Cybersicherheit ist daher für Unternehmen existenziell, um das Wissen (z. B. Patente, Konstruktionspläne, Verfahren), sensible Daten (z. B. Kundendaten, Vertragskonditionen) und Wertschöpfungsprozesse zu schützen. Darüber hinaus können Cybervorfälle das Vertrauen der Kunden, Partner und Investoren in ein Unternehmen beeinträchtigen – hier gilt es also vorzusorgen.
Unternehmen sind grundsätzlich zur Einhaltung gesetzlicher Vorschriften zum Datenschutz verpflichtet. Für kritische Infrastrukturen gelten weitergehende gesetzliche Vorgaben zur Umsetzung der Cybersicherheit, die durch die NIS2-Richtlinie der EU zukünftig auf viele weitere Unternehmen ausgedehnt werden. Prinzipiell betreffen die erforderlichen Maßnahmen zwei Domänen:
- Information Technology (IT)
- Operational Technology (OT)
Zum Schutz beider Bereiche wird in der IT ein Informationssicherheits-Managementsystem (ISMS) eingeführt (ISO 27001/2), das in Richtung der OT erweitert werden soll. Die Anforderungen an ein ISMS umfassen sowohl technische als auch organisatorische Aspekte. Die technischen Anforderungen können mit Hilfe der Norm IEC 62443-2-1 für Industrial Automation and Control Systems (IACS) auf Maßnahmen in der OT übertragen werden. Konkrete Anforderungen dieser Normenreihe sind unter anderem:
- Konfiguration und Segmentierung von Netzwerken
- Schutz der Daten bei der Speicherung und Übertragung
- Authentifizierung der Benutzerinnen und Benutzer
- Überwachung und Protokollierung von Benutzer- und Systemaktionen
- Sicherheitshärtung der eingesetzten Geräte
- Konfiguration, Updates, Backup und Restore
- Organisatorische Anforderungen an den Betrieb des Systems
Gemeinsam bieten die beiden Normen einen ganzheitlichen Ansatz zum Schutz vor Cyber-Bedrohungen. Dieses Maßnahmenpaket war bisher nur für kritische Infrastrukturen gesetzlich vorgeschrieben. Mit der neuen EU-Richtlinie NIS2 ändert sich das grundlegend.
EU NIS2-Richtlinie
Um Systeme vor Cyber-Attacken zu schützen, verpflichtet die NIS2-Richtlinie die Betreiber öffentlicher oder privater Einrichtungen zur Einführung geeigneter Sicherheitsinstrumente. Im Vergleich zur bestehenden NIS1 weitet sie die Regelungen auf mittelgroße Unternehmen mit mehr als 50 Mitarbeitenden und einem Umsatz von mehr als zehn Millionen Euro aus und gilt damit für viele ‚wesentliche und wichtige Einrichtungen‘ in der EU. Unter dem Begriff ‚wesentliche Einrichtungen‘ versteht man Unternehmen, die in kritischen Infrastrukturen tätig sind, z. B. in den Bereichen Erzeugung, Speicherung und Übertragung von Strom und Gas, Transport auf Wasser, Straße und Schiene, Betrieb von Anlagen für Trinkwasserversorgung und Abwasserentsorgung sowie von Anlagen der digitalen Infrastruktur. Die ‚wichtigen Einrichtungen‘ werden aus einer Liste von sieben Sektoren nach ihrer Kritikalität und Art der Dienstleistung ausgewählt (z. B. Herstellung und Vertrieb von Lebensmitteln und Chemikalien oder Produktion von elektrischen Geräten, Maschinen und Fahrzeugen).
Cyber Resilience Act (CRA)
Der CRA liegt bislang als Entwurf vor. Er nimmt nach Inkrafttreten die Hersteller in die Pflicht, Security-by-Design-Produkte zu entwickeln, um eine CE-Kennzeichnung zu erhalten. Dazu werden Mindestanforderungen an die Cybersicherheit definiert, die je nach Produktklasse durch eine Konformitätsprüfung oder durch die nachweisliche Anwendung der Normvorgaben bei der Herstellung dokumentiert werden müssen. Hersteller sind verpflichtet, innerhalb einer vorgegebenen Frist entsprechende Anpassungen vorzunehmen, um konforme Produkte auf dem Unionsmarkt in Verkehr bringen zu können.
Die essenziellen Anforderungen des CRA zielen auf einen sicheren Wertschöpfungsprozess, von der Konzeption über die Entwicklung bis hin zur Produktion, ab. Zusätzliche Bestandteile sind das Schwachstellenmanagement und Regelungen für die Dauer der Bereitstellung von Sicherheitsupdates. Um die Anforderungen an das Schwachstellenmanagement zu erfüllen, ist es wichtig, dass für alle Produkte eine standardisierte Software Bill of Material (SBOM) zur Verfügung steht. Dabei handelt es sich faktisch um eine Liste, die alle Software-Komponenten eines Produkts beschreibt. Zusätzlich müssen bekannte Schwachstellen in einem standardisierten digitalen Format wie dem Common Security Advisory Framework (CSAF) dokumentiert sein. Dadurch soll sichergestellt werden, dass die Fristen für die Meldung und Behebung von Schwachstellen eingehalten werden.
Betrachtet man die Komplexität der oben skizzierten Normen und Gesetze, so wird deutlich, dass sowohl für Hersteller als auch Systemintegratoren und Betreiber Handlungsbedarf besteht. Die Umsetzung der entsprechenden Regelungen muss einem strikten Vorgehensmodell folgen.
Denmächst auf GIT-SICHERHEIT.de lesen Sie den zweiten und abschließenden Teil dieses Beitrags. Er wird sich mit dem Risikofaktor Firmware beschäftigen.
