Das Thema Cybersicherheit bleibt virulent. "Unternehmen sehen sich weiter zunehmend Cyberangriffen ausgesetzt. Insbesondere die Zahl von Ransomware-Angriffen nimmt weiterhin stark zu", sagt Jan Sanders, der als Referatsleiter beim Bundesamt für Sicherheit in der Informationstechnik tätig ist.
Vor allem Geschäftsmodelle wie "Ransomware as a Service" ließen diese Art von Angriffen zum Massengeschäft werden. "Immer stärker betroffen sind kleine und mittlere Unternehmen, aber auch Kommunen, Universitäten und Forschungseinrichtungen".
Beim VKU-Stadtwerkekongress in Hannover am 3. und 4. September wird Sanders am zweiten Kongresstag an einer Podiumsdiskussion zum Thema "Cyberbedrohungslage Deutschland – wie resilient sind unsere Kritischen Infrastrukturen aufgestellt?" teilnehmen. Mit auf dem Podium wird unter anderem auch Michael Böddeker, der Geschäftsführer der Stadtwerke Neumünster, sitzen und über die Krisenbewältigung nach einem Hackerangriff im vergangenen Jahr sprechen. Mehr zum Programm des VKU-Stadtwerkekongresses finden Sie hier.
BSI gewährleistet Monitoring der Reifegrade
Erfolgreiche Angriffe auf Betreiber Kritischer Infrastrukturen (Kritis) könnten nicht nur zu wirtschaftlichen Schäden führen, sondern sich auch auf die Versorgung der Bevölkerung mit kritischen Dienstleistungen auswirken, sagt Sanders. Um dieser Herausforderung zu begegnen, müssten Betreiber ein hohes Niveau an Cybersicherheit erreichen und halten.
Die turnusmäßigen Nachweise der Kritis-Betreiber enthielten eine Einschätzung zur Wirksamkeit der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS). Die prüfende Stelle bewerte mittels eines Reifegradmodells der Implementierung beim geprüften Betreiber. Das BSI gewährleiste durch das Monitoring der Reifegrade dieser zentralen Managementsysteme, dass bei den Betreibern neben technischen Maßnahmen auch die organisatorischen Rahmenbedingungen für eine IT-Sicherheit auf dem Stand der Technik gegeben seien.
"Enge Kooperation von Staat, Wirtschaft und Gesellschaft"
Zu den technischen Maßnahmen, die Kritis-Betreiber umsetzen müssten, gehöre die Pflicht zur wirksamen Implementierung von Systemen zur Angriffserkennung (SzA), die im Mai 2021 mit dem 2. IT-Sicherheitsgesetz in das BSI-Gesetz aufgenommen wurde. SzA stelle eine effektive Maßnahme zur frühzeitigen Erkennung von Cyberangriffen dar und unterstütze insbesondere die Schadensreduktion.
"Die Stärkung der Resilienz gegen Cyberangriffe wird vor allem durch eine enge Kooperation von Staat, Wirtschaft und Gesellschaft erreicht", sagt Sander. Diese Kooperation werde zum Beispiel im "UP KRITIS" zwischen Betreibern Kritischer Infrastrukturen, ihren Verbänden und den zuständigen staatlichen Stellen seit vielen Jahren erfolgreich gelebt. (hoe)
