Ein Gastbeitrag von: Rene Golembewski, Director Technical Solutions Engineering EMEA bei Tanium
Im April 2021 wurde die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“ vom Innenministerium formuliert und im August desselben Jahres vom Bundeskabinett beschlossen. Der Beschluss und die darin formulierten Pflichten für Betreiber kritischer Infrastrukturen sind heute aktueller denn je. Musste man sich in Zeiten des Friedens vornehmlich gegen Angriffe privater Akteure schützen, müssen die Sicherheitsverantwortlichen heute mehr denn je Cyberangriffe von staatlichen Akteuren antizipieren und im Notfall in der Lage sein, diese erfolgreich abzuwehren.
Zu den KRITIS-Betreibern zählen, neben den gewohnten Bereichen wie beispielsweise Energie- & Wasserversorgung, nun auch „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“.
Pflichten für KRITIS-Betreiber
Zu den in der BSI-Kritisverordnung vorgegebenen Verpflichtungen zählen vor allem eine lückenlose IT-Sicherheitsstrategie, die den Betrieb der jeweiligen KRITIS-Infrastruktur gegen jedwede Angriffe absichern soll.
Um die Wirksamkeit der getroffenen Sicherheitsmaßnahmen nachzuweisen und zu zertifizieren, müssen KRITIS-Betreiber in regelmäßigen Abständen unabhängige Audits durchführen. Die Ergebnisse werden daraufhin vom BSI begutachtet. Im Falle von signifikanten Abweichungen oder groben Versäumnissen können neben der Anordnung von erforderlichen Nachbesserungen auch Strafen vom BSI ausgesprochen werden.
Abgerundet werden die Pflichten für KRITIS-Betreiber durch eine strikte Meldepflicht. "Jeder Vorfall, der zu einer „Störung[…] der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme“ führen kann, muss unverzüglich nach ihrer Erkennung an die Bonner Behörde gemeldet werden.
Information Security Management – ein nötiger, aber nicht hinreichender Baustein
Das Information Security Management System (ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Der aktuelle Status Quo in KRITIS-Betrieben ist eng an die gesetzlichen Mindestanforderungen gekoppelt. Aus rein betriebswirtschaftlicher Sicht ist dies zwar nachvollziehbar, aber leider nicht nachhaltig. Kein Unternehmen möchte sich vermeintlich unnötige Kosten aufbürden, die keinen direkten Return on Investment versprechen. In diesem Zuge haben KRITIS-Betreiber ISMS implementiert und in der Vergangenheit bereits Audit-Zyklen absolviert. Sie sind mit den Routinen und Anforderungen vertraut und sind durch die gesetzlichen Vorgaben über das geforderte Mindestmaß im Bilde.
Möglichst vollständige Automatisierung als Ziel
In der Folge haben Sie die vorgeschriebenen Sicherheitsmaßnahmen implementiert und wähnen sich nun auf der sicheren Seite. Zumindest für die Rechtssicherheit mag das auch zutreffen. Es zeigt sich jedoch, dass viele Prozesse und Verfahren noch immer manuell durchgeführt werden, teils nur stichprobenartig verifiziert sind, und zudem einen hohen Personalaufwand erfordern. Lücken im Patch- oder Vulnerability-Management werden oft sehr spät identifiziert.
Doch besonders im Bereich der IT-Sicherheit ändert sich die Gefahrenlage ständig. Sobald eine Zero-Day Schwachstelle bekannt wird, verbreitet sie sich in Windeseile durch Hackerforen im Darknet, bevor die Informationen darüber ans Tageslicht der Öffentlichkeit gelangen. Selbst ein Zeitfenster von wenigen Tagen oder Stunden bietet Angreifern genug Zeit, sich unbemerkt in die IT-Infrastruktur einzunisten und von dort aus schweren Schaden für den KRITIS-Betrieb und alle von ihm abhängigen Gesellschaftsbereiche zu verursachen.
Daher gilt es, die Absicherung von KRITIS-Einrichtungen nicht nur an den gesetzlichen Mindestanforderungen zu orientieren, sondern das gesamte Sicherheitsniveau auf das nächste Level zu heben und wenn möglich, vollständig zu automatisieren.
24/7 Sichtbarkeit aller Endpunkte ist der Grundstein jeder IT-Sicherheitsstrategie
Die systematische Absicherung aller Endgeräte in einem Netzwerk ist nicht nur entscheidend für das Bestehen von Audits. Sie ermöglicht es den Sicherheitsverantwortlichen auch, jegliche Schwachstelle zum frühestmöglichen Zeitpunkt zu entdecken und somit Cyberangriffen zuvorzukommen. Es muss oberste Priorität haben, dass die Reaktionsfähigkeit gegen Cyberattacken zu jedem Zeitpunkt und lückenlos garantiert werden kann.
Die gesetzlich auferlegten Pflichten dienen zur Sensibilisierung und Mobilisierung der IT-Sicherheitsbeauftragten und sollen Ihnen als Anleitung für ein wohl durchdachtes Sicherheitskonzept dienen. Letztendlich steht aber die faktische Absicherung gegen durch Cyberangriffe bedingte Betriebsausfälle an oberster Stelle. Es gilt nichts mehr, als einen Versorgungsnotstand in der Bevölkerung zu vermeiden.
Automatisierung hilft bei Fachkräftemangel
Doch in Zeiten von Fachkräftemangel und begrenzter finanzieller Mittel, ist es für KRITIS-Betreiber nicht immer einfach, ein makelloses Sicherheitskonzept in die Tat umzusetzen. Umso wichtiger ist es, die verfügbaren Mittel optimal einzusetzen und die Sicherheitsstrategie auf effizienten und zielführenden Lösungsansätzen aufzubauen.
Nur durch Automatisierung der ISMS-Prozesse kann ein lückenloser Echtzeit-Schutz gewährleistet werden. Es fehlt oft das nötige Personal, um die Wirksamkeit aller Maßnahmen auf allen Endgeräten manuell zu überwachen. Eine automatisierte und proaktive Absicherung, sowie eine ständige Überprüfung jedes einzelnen Endgeräts in Echtzeit ist daher entscheidend.
Rechtssicherheit allein darf beim Schutz unserer kritischen Infrastruktur nicht das Maß aller Dinge sein. Sollte eine kritische Säule wegbrechen, die für das reibungslose Funktionieren unserer Gesellschaft essenziell ist, steht das Wohlergehen unzähliger Menschen auf dem Spiel. Mit dieser Verantwortung im Hinterkopf, sollten zusätzliche Bemühungen um die bestmögliche Absicherung aller KRITIS-Betriebe als Notwendigkeit betrachtet werden. (sg)
