Herr Taegener, Sie sagen, viele Unternehmen in der Energiebranche sind bisher nicht über die erste Planungsphase bei den durch das IT-SiG 2.0 geforderten Systemen zur Angriffserkennung hinausgekommen. Wo besteht hier die große Herausforderung und warum geht das so schleppend voran?
Ralf Taegener, Geschäftsführer der BOC IT-Security GmbH: In meinen Gesprächen mit Versorgungsunternehmen stelle ich immer wieder fest, dass die Relevanz des Themas IT-Sicherheit vielerorts noch nicht in den Köpfen der Entscheider angekommen ist. Die Auseinandersetzung damit erfolgt meist eher stiefmütterlich. Selbst wenn Klarheit darüber besteht, dass das eigene Unternehmen unter die KRITIS-Regelungen fällt, fehlt die Expertise in der Umsetzung der geforderten organisatorischen wie technischen Schritte.
Die Zurückhaltung lässt sich aber auch darauf zurückführen, dass bisher noch kein einziger Fall bekannt ist, in dem eine Missachtung der gesetzlichen Vorgaben sanktioniert wurde. Dabei dient das Schließen von Sicherheitslücken nicht vordergründig dem Zweck, sich mit einem Audit-Stempel Ruhe zu verschaffen. Vielmehr handeln Unternehmen, egal ob KRITIS oder nicht, angesichts der aktuellen IT-Bedrohungslage grob fahrlässig, wenn sie den Schutz ihrer IT-Strukturen auf die leichte Schulter nehmen und nicht konsequent am Ball bleiben. Es reicht – plakativ gesprochen – eben nicht mehr aus, den Serverraum jeden Abend abzuschließen oder einen Stecker zu ziehen. Durch die Digitalisierung und zunehmende Dezentralisierung im Zuge von Homeoffice und Co. ist die Angriffsfläche exorbitant gewachsen. Diese Tatsache muss jeder verinnerlichen. Nur so lässt sich ein Verständnis dafür aufbauen, worauf es bei der Absicherung ankommt und dass Transparenz in dem Zusammenhang eine entscheidende Rolle spielt.
Die Frist für solche Systeme zur Angriffserkennung ist am 1. Mai verstrichen. Was müssen Unternehmen jetzt machen, die die Systeme nicht umgesetzt haben?
Ralf Taegener: Es gilt vor allem, den Kopf nicht länger in den Sand zu stecken. Dieser Kelch wird an keinem vorübergehen und mit der im Dezember 2022 von der EU veröffentlichten NIS-2-Richtlinie lauern bereits neue Anforderungen. Systeme müssen konzeptionell sicher gemacht werden. Es ist nicht zielführend, sich von Einzelmaßnahme zu Einzelmaßnahme zu hangeln – genauso wenig, wie auf eine Technologie als „Heilsbringer“ zu warten. Anforderungen hinsichtlich Technik und Organisation sind seitens des BSI – mehr oder weniger verständlich – beschrieben.
Diese müssen in konkrete Abläufe gegossen und konsequent gelebt werden – als Summe vieler Teile und unternehmensübergreifend. Denn es bringt nichts, beispielsweise Unsummen in eine hochkarätige Firewall zu stecken, wenn auf Endgeräten nach wie vor ein lokal installierter Virenscanner die einzige Barriere bildet und Mitarbeiter nicht wissen, woran man eine Phishing-Mail erkennen kann. Neben dem klassischen Netzwerkschutz sind moderne Technologien zur Absicherung von Endgeräten jenseits der Sphäre eines physischen Standorts heute wichtiger denn je. Genau deswegen liegt hierauf das Augenmerk im Rahmen der aktuellen KRITIS-Aktion von WatchGuard.
Herr Spieckermann, können Sie präzisieren?
Jonas Spieckermann, Manager Sales Engineering Central Europe bei WatchGuard Technologies: Hacker greifen an allen Fronten an, und das zum Teil so subtil, dass sich ein Angriff ohne die Korrelation der unterschiedlichen Sicherheitsereignisse im Netzwerk und am Endpunkt kaum erkennen lässt. Eine Firewall ist auf Unternehmensseite in aller Regel etabliert, ganz anders sieht es jedoch beim Thema Endpoint Security aus. Mit entsprechend modernen Lösungen geht jedoch offensichtliches Potenzial einher – nicht nur, was die Abwehr heutiger Gefahren betrifft. Das Zusammenspiel von Technologien zum Netzwerk- und Endgeräteschutz bringt entscheidende Transparenz – ganz im Sinne eines SzA – und die Einführung einer EPDR-Lösung (Endpoint Protection, Detection & Response) führt insbesondere schnell zu vorzeigbaren Ergebnissen.
In Kundenprojekten ist es nicht nur einmal passiert, dass damit Endgeräte sichtbar wurden, die keiner auf dem Schirm hatte, die aber nach wie vor mit dem Unternehmenswerk verbunden sind – in einem Fall handelte es sich um eine Workstation, die seit mehreren Jahren in der Ecke stand und nur alle Jubeljahre benutzt wurde. Das Fatale: Der letzte Sicherheitspatch reichte Versionsgenerationen zurück. Und genau solche Momente, in denen die Gefahr „greifbar“ wird, sorgen nicht zuletzt für Awareness. Dieses Bewusstsein ist der wichtigste Schritt zur Problemlösung. Und wer jetzt wieder ans IT-SiG-2.0-Audit denkt: Mit der EPDR-Lösung von WatchGuard, die sich inklusive der erforderlichen Dokumentation kurzfristig einführen lässt, werden die in § 8a (1a) BSIG formulierten Anforderungen an ein SzA-System vollumfänglich abgedeckt.
Damit sind Unternehmen auf der sicheren Seite?
Ralf Taegener: Auf jeden Fall können Versorger damit dem künftig zweijährlich anstehenden Prüftermin entspannt entgegensehen. Und noch viel wichtiger: Auffälliges Verhalten von Benutzern, Computern und Prozessen wird zu jeder Zeit erkannt und blockiert. Auf diese Weise lässt sich zum Beispiel unter anderem Ransomware auf die Schliche kommen, die in jüngster Vergangenheit doch etliche Energiemarktakteure in die Bredouille gebracht hat. Damit sind wir wieder bei der Kontinuität als wichtigster Stellschraube. Es reicht nicht, wenn sich Energieversorgungsunternehmen mal drei Monate Zeit nehmen, um die Weichen für ein Audit zu stellen und danach hinsichtlich der sicherheitsrelevanten Prozesse wieder in Lethargie verfallen – bis zum nächsten Prüftermin. Wichtig ist, alle Angriffsvektoren rund um die Uhr im Auge zu behalten, und die jeweiligen Logging- und Reporting-Informationen miteinander abzugleichen – ob dies via XDR (Extended Detection and Response)-, SIEM (Security Information and Event Management )-, oder ISMS (Information Security Management System)-Lösung erfolgt, ist eigentlich nebensächlich.
Mein abschließender Tipp – auch in Kenntnis der angespannten Personallage in den IT-Abteilungen: Bei der Auswahl sollte vor allem auf Benutzerfreundlichkeit, Integrationsfähigkeit, Automatisierung, Skalierbarkeit und intuitive Darstellungsmöglichkeiten geachtet werden. Effektivität und Einfachheit müssen sich nicht ausschließen und tragen massiv dazu bei, den Schutz der IT-Strukturen – vorgabenkonform und im Sinne des eigenen Unternehmens – auf ein solides Fundament zu stellen. (sg)
