Samstag, Juni 10, 2023
Aktuelles:

Com-Sys Blog

Tagesaktuelle News aus der Welt der IT

Com-Sys Blog
Allgemeines BSI Com-Sys Datenschutz IT-Security IT-Sicherheitsgesetz KRITIS Managed Security Managed Services Management & Monitoring Schulungen & Workshops Security Awareness Trainings SIEM 

Wenn IT-Sicherheit zur Pflicht wird: Gesetzesänderung zum 1. Mai

Ann Jasmin Wiesen , , , ,

Der Countdown läuft: Bis zum 1. Mai 2023 müssen die Betreiber von kritischen Infrastrukturen (KRITIS) erweiterte IT-Sicherheitsmaßnahmen umsetzen, wie vom IT-Sicherheitsgesetz 2.0 gefordert. Dieses Gesetz ergänzt und erweitert das bereits seit 2015 bzw. 2021 geltende IT-Sicherheitsgesetz – in welchem das Bundesamt für Sicherheit in der Informationstechnik (BSI) das übergeordnete Ziel formulierte, dass das IT-Sicherheitsgesetz maßgeblich dazu beitragen muss, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“.

Ok – Challenge accepted!
Und weil wir dieses Gesetz sehr wichtig finden – aber genauso wichtig finden, es zu verstehen bzw. Verständnis dafür aufzubringen, haben wir in diesem Blogartikel die wichtigsten Änderungen und Möglichkeiten zur Umsetzung dieser zusammengefasst. Außerdem gilt wie immer: Bei Fragen und Vorhaben rund um die IT-Security könnt ihr euch zu jeder Zeit bei uns melden!
Wir verstehen eure Unsicherheiten und ersetzen sie gemeinsam mit euch durch Sicherheit!

Die Entwicklungen des IT-Sicherheitsgesetzes 2.0 in aller Kürze:

  • Grundlage des IT-Sicherheitsgesetzes (IT-SiG) war das seit 2009 bestehende Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes.
  • Das IT-Sicherheitsgesetz 1.0 wurde 2015 vom deutschen Bundestag verabschiedet und soll die Sicherheit informationstechnischer Systeme erhöhen und kritische Infrastrukturen schützen.
  • 2021 wurde das IT-Sicherheitsgesetz 2.0 verabschiedet. Dies konkretisierte die Anforderungen an die IT-Sicherheit für Betreiber von kritischen Infrastrukturen (KRITIS) und weitete diese aus.
  • Ab 1. Mai 2023 entfaltet das Gesetz seine volle Wirkung – und gilt.

Neuerungen:

  1. KRITIS Betreiber sind nun dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen, beispielsweise SIEM-Lösungen, um Datenverkehr und Protokolle auf Angriffe zu prüfen.
  2. Zudem ist es für KRITIS Betreiber verpflichtend, Reaktionspläne und Präventionsmaßnahmen auszuarbeiten.
  3. Mithilfe von Desaster-Recovery-Szenarien soll bei massiven Versorgungsstörungen ein möglichst effektives Instandsetzen der Arbeitsfähigkeit gewährleistet werden.

Außerdem neu:

  1. Alle KRITIS-Betreiber müssen ihre IT-Systeme auf den neusten Stand der Technik bringen, der zukünftig vom BSI definiert wird.
  2. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen (z.B. ISO 27001) erbracht werden.
  3. Die Unternehmen, die zum Sektor Siedlungsabfallentsorgung oder zur neuen Kategorie Unternehmen im besonderen öffentlichen Interesse (UBI) gehören, müssen gemäß des IT-SiG 2.0 den neusten Stand der Technik alle zwei Jahre nachweisen.

Zu den UBI gehören nicht nur die wirtschaftlich stärksten Unternehmen, sondern auch beispielsweise Unternehmen, die „im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind.“ (BSI)

Kritische Infrastrukturen beschreiben Bereiche, die für die Funktion einer Gesellschaft unerlässlich sind. Dazu gehören die Energieversorgung, Wasserversorgung, Luft- und Raumfahrt, Lebensmittelversorgung, das Finanz- und Versicherungswesen, Gesundheitswesen, die Informationstechnik, Telekommunikation, Abfallwirtschaft, sowie Medien und Kultur, Staat und Verwaltung, Transport, Logistik und Verkehr.

 

Eine sichere Infrastruktur ist für die Aufrechterhaltung
einer funktionierenden Gesellschaft und Wirtschaft also
von entscheidender Bedeutung!

 

Wenn die oben genannten Bereiche ausfallen oder beeinträchtigt sind, kommt es also zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Szenarien. Martin Voss, Professor für Krisen- und Katastrophenforschung an der Freien Universität Berlin, sagte am 09.01.2023 in der tagesschau zum Thema KRITIS in Gefahr: „Wir haben uns die Schwachstellen in der digitalen Infrastruktur so gezimmert, dass Cyberangriffe weitgehend unterschätzt werden. Was schon alles an Daten abgeflossen ist, kann in der Regel niemand sagen.“

Cyberbedrohungen auf kritische Bereiche nehmen weiterhin massiv zu.
Gegenmaßnahmen auch.

Cyberangriffe werden nicht nur komplexer, sie werden vor allem aggressiver, intelligenter und perfider. Die Bundesregierung hat verschiedene Maßnahmen ergriffen, um die Kritischen Infrastrukturen hierzulande zu schützen. Zu den wichtigsten Maßnahmen zählen u.a.

  • die Schaffung eines Nationalen Sicherheitsrats,
  • die Einrichtung einer Cyberabwehrzentrale,
  • die Stärkung der Zusammenarbeit zwischen den Behörden und der Wirtschaft,
  • das Bundesgesetz über die Sicherheit Kritischer Infrastrukturen (BSI-Gesetz),
  • und das IT-Sicherheitsgesetz 2.0.

Das IT-Sicherheitsgesetz 2.0 fordert von KRITIS-Betreibern ab 1. Mai 2023 explizit Systeme zur Angriffserkennung. Dazu heißt es in §8a (1a) des Gesetzes: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“

Damit ist klar: Um diesen Anforderungen bezüglich des aktuellen Standes der Technik gerecht werden zu können, kommen KRITIS-Betreiber nicht länger an Technologien wie dem Security Incident Event Management (SIEM) und professionellen Managed Security Services vorbei.

Unser Beitrag zum Schutz der Kritischen Infrastrukturen

KRITIS-Betreiber sehen sich in der aktuellen geopolitischen Lage unverhofft realen Bedrohungsszenarien ausgesetzt. Ihre Betriebe und Systeme sind beliebte Angriffsziele.
Gleichzeitig sind sie mit komplexen regulatorischen Rahmenbedingungen konfrontiert.

Die eigenständige Umsetzung eines SIEM führt zu hohen finanziellen und personellen Aufwänden. Eine Situation, die ein ganzes Unternehmen überfordern kann – aber noch schlimmer: die ein ganzes Unternehmen lahmlegen kann. Umso wichtiger, sich professionelle Hilfe zu holen. Und das schreiben wir nicht aus eigennützigen Gründen, sondern weil wir die Bedrohungslage für KRITIS Betreiber sehr sehr ernst nehmen und uns vorstellen können, dass die Entscheidung, alle eigenen Systeme aufzurüsten und abzusichern, nicht von heute auf morgen gefällt werden kann.

Muss sie jetzt aber.

Wie helfen gerne!

Zur Unterstützung in dieser Phase können wir beispielsweise

  • klare Handlungsempfehlungen aussprechen, wenn es um nachhaltige Maßnahmen zur Sicherung der kritischen Infrastrukturen geht,
  • Sicherheitskonzepte erstellen und umsetzen,
  • branchentypische Sicherheitsbestimmungen und Sicherheitsstandards einhalten,
  • die technische, personelle und organisatorische Überwachung und Kontrolle von Anlagen und Einrichtungen durchführen,
  • Sicherheitslösungen gezielt implementieren und sie kontinuierlich an sich ändernde Anforderungen anpassen,
  • dank 24/7 Echtzeit-Erkennung schnell auf Vorfälle reagieren,
  • alles unter Berücksichtigung bestehender Zertifizierungen.

Mit unserem SIEM und unseren Managed Security Services haben KRITIS-Unternehmen außerdem die Chance, Systeme zur Angriffserkennung wirtschaftlich nachzuweisen – also sprecht uns wirklich gerne an!

Denn wenn wir etwas lieben, dann sind es sichere Infrastrukturen. So so sehr.

Hier geht’s zu unserem Kontaktformular.