Am 23. April hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. Neben erweiterten Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden Anforderungen an die Cybersicherheit verschärft. Kritische Infrastrukturen wie Energieversorger und Wasserversorger sowie nun auch Abfallentsorger und Großunternehmen mit volkswirtschaftlicher Bedeutung werden mit der Novellierung verpflichtet, ein System zur Angriffserkennung umzusetzen.
Dieses sollte laut der Erläuterung zum Gesetzestext die Kommunikationstechnik der Betreiber Kritischer Infrastrukturen möglichst umfassend schützen, also die gesamte Infrastruktur berücksichtigen, um »fortwährend Bedrohungen zu identifizieren und zu vermeiden.« Damit rücken auch die Fernwirk-, Prozess- und Netzleittechnik der Betreiber in den Fokus, die in Abgrenzung zur Unternehmens-IT als Operational Technology (OT) bezeichnet wird.
Änderungen für KRITIS-Betreiber
Für Betreiber Kritischer Infrastrukturen (KRITIS) enthält die neue Fassung einige relevante Änderungen:
- Der Sektor der Siedlungsabfallentsorgung wird nun auch als Kritische Infrastruktur im Sinne des BSIG klassifiziert. Es bestehen dieselben Pflichten wie für Unternehmen der anderen Sektoren.
- Nach Inkrafttreten der Regelung gilt für alle neuen KRITIS-Unternehmen eine angemessene Übergangsfrist, in der sie ihre IT-Systeme den gesetzlichen Anforderungen anpassen und dies durch ein KRITIS-Audit nachweisen müssen. Sprich, die Frist wurde von zwölf auf 24 Monate verlängert.
- Betreiber Kritischer Infrastrukturen werden nun ausdrücklich aufgefordert, ein System zur Angriffserkennung einzusetzen. Bislang ergab sich diese Vorgabe nur implizit aus dem Erfordernis zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS), z.B. entsprechend der ISO/IEC 27001 bzw. dem Branchenstandard B3S. Mit der neuen Fassung erhöhen sich zudem die Anforderungen an das System zur Angriffserkennung, da das BSI hierzu konkrete Vorgaben macht
- Die Bußgelder für Nichteinhaltung der gesetzlichen Vorgaben wurden in der neuen Fassung deutlich auf bis zu 2 Millionen Euro erhöht. In speziellen Fällen können Bußgelder sogar verzehnfacht werden, also auf bis zu 20 Millionen Euro steigen.
- Erfährt das BSI von Sicherheitslücken in IT-Systemen von Unternehmen, so muss die Bonner Behörde diese den betroffenen Unternehmen unverzüglich mitteilen. Künftig wird die Behörde den "Stand der Technik" für IT-Sicherheitssysteme unter Berücksichtigung bestehender Normen und Standards sowie der Einbeziehung der betroffenen Wirtschaftsverbände, beschreiben und veröffentlichen
Gefahr: Zusammenwachsen von OT und IT
»Auch wenn das Gesetz in großen Teilen bezüglich seiner Ausgestaltung unscharf bleibt, ist die Forderung nach einem ganzheitlich wirkenden System zur Angriffserkennung absolut überfällig«, bestätigt Rhebo-CEO Klaus Mochalski. Damit werde sowohl die gewachsene Relevanz der OT-Cybersicherheit als auch der Trend der Konvergenz von Unternehmens-IT und OT berücksichtigt.
Und weiter: "Bei Monitoringprojekten und Risikoanalysen etwa bei Energieversorgern und Industrieunternehmen identifizieren wird seit vielen Jahren Gefährdungen, die über die Schnittstellen der einst getrennt geführten Netzwerke laufen. Dadurch steigt nicht nur das Risiko, dass Cyberangriffe über die OT erfolgen. Auch die Gefahr, dass industrielle Prozesse wie Energieversorgung und Produktion nachhaltig gestört werden, hat in den letzten Jahren signifikant zugenommen«.
So belegt die Auswertung der 2020 öffentlich gewordenen Cyberangriffe auf Energieversorgungsunternehmen eine Zunahme um weltweit 38 Prozent im Vergleich zum Vorjahr. Für Industrieunternehmen ergab sich laut dem Online-Portal hackmageddon.com eine Steigerung um 111 Prozent.
24 Monate zur Umsetzung
Betreibern Kritischer Infrastrukturen bleiben nun 24 Monate, um das System zur Angriffserkennung umzusetzen. In den ersten Entwürfen des ITSiG 2.0 hatte das BSI noch eine Umsetzung binnen zwölf Monaten gefordert. Aufgrund der Komplexität einiger Kritischer Infrastrukturen wurde der Zeitraum für die Implementierung erst in den letzten Wochen der Verhandlungen verdoppelt.
»In Bezug auf die aktuelle Gefährdungslage wäre eine kurzfristige Verpflichtung wünschenswert gewesen«, kommentiert Mochalski die Anpassung in letzter Minute. »Insbesondere weil es längst Ansätze und Technologien gibt, die eine schnelle Absicherung selbst komplexer Infrastrukturen ermöglichen. Einige unserer Kunden betreiben beispielsweise eine Vielzahl von Umspannwerken, Erneuerbare-Energieanlagen und anderen Unterstationen. Die Íntegration unseres industriellen Netzwerkmonitorings mit Anomalieerkennung kann hier in sehr kurzer Zeit erfolgen. Das ist auch möglich, weil wir unsere Lösung ohne weiteres auf bereits bestehenden Netzwerkkomponenten integrieren können«.
Zulieferer werden in die Pflicht genommen
Eine weitere Neuerung des ITSiG 2.0 ist die Ausweitung der Gesetzgebung auf große Zulieferer für Kritische Infrastrukturen. Damit wird einer zunehmend komplexen Cybergefahr-Landschaft Rechnung getragen, bei der die gesamte Lieferkette berücksichtigt werden muss.
»Auch wenn diese Regelung vermutlich auf ausländische Zulieferunternehmen für das 5G-Netz abzielt, ist dies auch der richtige Schritt für alle Betreiber Kritischer Infrastrukturen oder volkswirtschaftlich relevanten Unternehmen«, unterstreicht Mochalski. »Nicht zuletzt der Vorfall SolarWinds hat dies verdeutlicht«.
Mit der als Supply Chain Compromise bekannten Angriffstechnik hatten die Angreifer Ende 2020 zuerst den IT-Plattformdienstleister SolarWinds kompromittiert, um von dort Zugriff auf ihre eigentlichen Ziele ‒ SolarWinds Kunden ‒ zu erhalten. »Wir arbeiten aus diesem Grund bereits länger mit verschiedenen Herstellern von OT-Komponenten und kritischen IoT-Anlagen zusammen«, sagt Mochalski.
So schützt Rhebo seit 2019 die Energiespeichersysteme des deutschen Herstellers Sonnen GmbH, die weltweit zum Einsatz kommen. Anfang 2021 wurde Rhebo durch den führenden Anbieter für Energiemanagement-Lösungen Landis+Gyr übernommen (siehe dazu auch: Landis+Gyr übernimmt Cybersecurity-Spezialisten).
Der zweite Durchgang des Gesetzes im Bundesrat wird für den 7. oder 28. Mai erwartet. (sg)
