Cybersecurity für KRITIS-Betreiber: Bundesregierung erhöht die Anforderungen
Kritische Infrastrukturen, oder KRITIS, sind für die Sicherheit von Staat und Gesellschaft essenziell. Daher stehen die Betreiber Kritischer Infrastrukturen in der Pflicht, ihre sensiblen und meist komplexen Systeme optimal und mit oberster Priorität langfristig zu schützen. Diese Intention verfolgt auch der Referentenentwurf für das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG 2.0), den das Bundesministerium des Innern, für Bau und Heimat 2019 vorgelegt hat. Der Referentenentwurf befindet sich derzeit noch in der Ressortabstimmung der beteiligten Bundesministerien. Wie sehen die Grundzüge des Referentenentwurfs der Bundesregierung aus?
Das ITSiG 2.0 würde das Bundesamt für Sicherheit in der Informationstechnik mit mehr Autorität ausstatten und beispielsweise Hackeraktivitäten und den Betrieb verbotener Marktplätze im Darknet kriminalisieren. Zudem soll ein neues Kennzeichen die IT-Sicherheit von Produkten sichtbar machen. Der Fokus soll in Zukunft auf allgemein vernetzten Systemen oder IoT-Geräten liegen.
KRITIS-Betreiber wie Energieversorger, Verkehrsunternehmen oder Sicherheitsbehörden müssen künftig strengere Sicherheitskriterien und Prozesse einhalten und sogenannte Systeme zur Angriffserkennung und -bewältigung, oder SIEM (Security Incident & Event Management Systeme), sowie Informationssicherheitsmanagementsysteme (ISMS) wirksam betreiben. Das BSI gibt dafür bestimmte Mindeststandards vor: Es dürfen nur Komponenten von Herstellern verbaut werden, die das Sicherheitskennzeichen tragen. Insbesondere für mittlere und kleine Unternehmen könnten aus den neuen Anforderungen Probleme erwachsen, denn ihnen fehlen häufig die internen Ressourcen und das Knowhow. Die Lösung für sie könnte lauten: Managed Security – der Weg zur sicheren und zukunftsorientierten Infrastruktur.
Die steigende Komplexität von Technologien für Infrastrukturen, Anwendungen, virtuelle Maschinen, Clouds, Endgeräte und das Internet der Dinge, oder IoT, birgt ein verstärktes Risiko von Hackerangriffen und Ausfällen durch menschliches Versagen. Für IT-/OT-Infrastrukturen ist daher die kontinuierliche Kontrolle aller digitalen Prozesse, Netzkomponenten und eingebundenen Geräte erforderlich. Nur so ist Transparenz in der kompletten Infrastruktur gewährleistet. Bei der herkömmlichen IT stehen Kommunikation und Vertraulichkeit im Mittelpunkt, während in der OT - Operational Technology - besonders Verfügbarkeit und Sicherheit wichtig sind.
Gerade für mittlere und kleine Unternehmen bietet es sich an, mit Spezialisten zusammenzuarbeiten, die ihnen mit einem ganzheitlichen Ansatz und solider Erfahrung in den Bereichen Sicherheit, Netze und Prozesse zur Seite stehen. Spezialisierte Systemintegratoren bieten beispielsweise umfassende Sicherheitslösungen und Dienstleistungen aus einer Hand, die diese Kriterien erfüllen und Kunden in den KRITIS-Bereichen mit einem rechtssicheren Gesamtpaket unterstützen. Von der Schwachstellenanalyse über die Netzplanung mit Notfallkonzept bis zur UmSpezialisierte Systemintegratoren bieten beispielsweise umfassende Sicherheitslösungen und Dienstleistungen aus einer Hand, die diese Kriterien erfüllen und KRITIS-Kunden mit einem rechtssicheren Gesamtpaket unterstützen. Von der Schwachstellenanalyse über die Netzplanung mit Notfallkonzept bis zur Umsetzung von Managed-Security-Konzepten inklusive Echtzeitüberwachung erhalten Kunden eine jeweils bedarfsorientierte und schlüsselfertige Lösung. Managed-Security-Lösungen beinhalten sowohl SIEM-Sicherheitstools als auch skalierbare Supportleistungen für den Schutz von IT-/OT-Umgebungen sowie maßgeschneiderte Lösungen für Multi-VendorUmgebungen. Hierzu steht fortschrittliche Hard- und Software inklusive maschinelles Lernen und Künstliche Intelligenz zur Verfügung, um den Datenfluss lückenlos zu überwachen. Umfangreiche Korrelationsinformationen und Algorithmen lösen Alarme aus und weisen auf verdächtige Bedrohungen hin.
Netzwerkplattformen, die solche Analytics-Funktionen bereits in ihrer Architektur implementiert haben, sind etwa Cisco DNA (Distributed Network Architecture) und Cisco ISE (Cisco Identity Services Engine). Auf der Basis von KI und maschinellem Lernen ermöglicht Cisco DNA eine einfache Verwaltung aller Geräte und Dienste, löst Netzwerkprobleme und sorgt für eine bessere Benutzerfreundlichkeit im gesamten Netzwerk. Mit einer umfangreichen Umbrella-Funktion erlaubt Cisco ISE unter anderem die richtliniengesteuerte Zugriffskontrolle in der gesamten Infrastruktur, was für maximale Sicherheit vom Kabel- über das Wirelessbis hin zum VPN-Netzwerk sorgt. Das zentrale Management verschafft einen transparenten Überblick über Benutzer und Geräte im Netzwerk. Einen integrierten Schutz vor Bedrohungen während und nach einem Angriff bietet Cisco Firepower, die erste vollständig integrierte Next Generation Firewall (NGFW) mit Unified Management. Firepower-Geräte unterstützen die Integration mit SIEM-Tools von Drittanbietern.
Die eingesetzten Lösungen erkennen Bedrohungen und schützen die Infrastruktur. Zusätzlich ist ein sogenanntes Security Operation Center, oder SOC, erforderlich. Ein SOC verfügt über ein Team von ausgebildeten Experten, welches Netzwerke kontinuierlich überwacht, proaktiv nach Bedrohungen sucht, sie erkennt und neutralisiert. Der Aufbau eines SOC – oder die generelle Schaffung einer solchen Funktion im Unternehmen – ist eine kostspielige und zeitaufwändige Aufgabe, die ständige Anpassungsmaßnahmen erfordert, um effektiv zu sein. Zahlreiche Unternehmen entscheiden sich dafür, kein eigenes SOC aufzubauen. Stattdessen wählen sie andere Optionen zur Sicherheitsüberwachung wie etwa die Beauftragung eines Managed-Security-Service von spezialisierten Sicherheitsfirmen. Sie sparen somit erhebliche Investitionen. Ein komplettes Managed-Security-Portfolio eines spezialisierten Sicherheitsunternehmens kann unter anderem 24/7 Netzwerküberwachung und Bedrohungserkennung, Echtzeit-Alarme und schnelle Reaktion sowie die Behebung von Angriffen und Ausfällen beinhalten.
Das noch im Abstimmungsverfahren befindliche ITSiG 2.0 wird die Anforderungen an den besonderen Schutz der ITK-Systeme kritischer Infrastrukturen nochmals erhöhen. Grundvoraussetzung zur Erfüllung der Anforderungen ist ein ganzheitlicher Ansatz, der die Menschen, Prozesse und Systeme einbezieht. Denn nur so lassen sich die richtigen Lösungen finden und etablieren. Eine durchdachte Strategie für Cybersecurity eröffnet Unternehmen neue Möglichkeiten: Sie schaffen dadurch nicht nur Innovation und Wachstum, sondern können sich auch als vertrauenswürdige Geschäftspartner positionieren.