Satelliten zählen natürlich zur kritischen Infrastruktur – nach dem Gesetz als „KRITIS“ reguliert ist bisher jedoch nur ein kleiner Teil ihrer Bodenstationen. Die Veranstaltung eco meets DLR im April beleuchtete die künftigen rechtlichen Auswirkungen der NIS2 und des KRITIS Dachgesetzes und gab konkrete Beispiele, um sich auf Angriffe bestmöglich vorzubereiten.
Im Weltall gibt es keine Müllabfuhr. Die Abfälle, die sich auf der Internationalen Raumstation ISS ansammeln, verfrachten die Astronautinnen und Astronauten in eines der Versorgungsmodule, die regelmäßig an der Station andocken. Ist das Modul voll, lässt man es in der Erdatmosphäre verglühen.
Ebenso wie die Müllentsorgung muss auch die Informationstechnologie (IT) zuverlässig und kontrolliert funktionieren – das gilt auf der Erde genauso wie im All. Beides zählt zur kritischen Infrastruktur (KRITIS), die für die Daseinsvorsorge unserer Gesellschaft unentbehrlich ist. Diese Infrastruktur muss daher widerstandsfähig sein, das fordern EU und Bundesregierung auch ein: Das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) fordern mehr Resilienz und physische Sicherheit für kritische Infrastrukturen und eine Stärkung der Cybersicherheit.
Welcher Schutz kritischer Infrastrukturen ist angemessen?
Die Gesetzeslage ist aktuell sehr komplex, da mit KRITIS-DachG und NIS2UmsuCG zwei Gesetze für mehr Cybersecurity und Resilienz sorgen. Das NIS2UmsuCG soll im Herbst 2024 in Kraft treten. Es überführt die EU-weiten Cybersicherheitsanforderungen der EU-Richtlinie NIS2 in die deutsche Regulierung und wird zigtausende Unternehmen in Deutschland betreffen. Im Rahmen des Treffens der eco Kompetenzgruppe KRITIS am 9. April beim Deutschen Zentrum für Luft- und Raumfahrt (DLR) gab Dr. Daniel Lichte, Abteilungsleiter Resilienz- und Risikomethodik am DLR-Institut für den Schutz terrestrischer Infrastrukturen, einen Überblick über den Stand der Dinge beim KRITIS-Dachgesetz. „KRITIS-Betreiber sind in der aktuellen Situation gezwungen, auf den finalen Gesetzentwurf zu warten. Gleichzeitig sollten sie bereits jetzt ihre interne Kompetenz zum Thema Risikomanagement stärken. Wichtig ist auch, dass die KRITIS-Betreiber sich über ihre Branchenverbände an den Verfahren zur Gesetzgebung beteiligen und an Standards zur Resilienz mitarbeiten“, sagt Daniel Lichte.
Fünf To-Dos für Betreiber kritischer Infrastrukturen
„Jetzt ist die Zeit, in der Betreiber kritischer Anlagen gut beraten sind, für mehr Cyber-Resilienz zu sorgen“, sagte Ulrich Plate, nGENn GmbH und Leiter der eco Kompetenzgruppe KRITIS. Bis zur Umsetzung im Oktober 2024 sollten die in Deutschland unmittelbar betroffenen rund 29.000 Unternehmen und Einrichtungen tunlichst NIS2-ready sein. Weil künftig auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden, fällt das nicht allen leicht. Gleichzeitig werden die Anforderungen deutlich anspruchsvoller. „Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen“, so Plate.
Neu ist aber auch: Das Gesetz gibt konkrete Vorgaben, wie sich Unternehmen verhalten müssen. Aus dem künftig verbindlichen Maßnahmenkatalog gibt Ulrich Plate fünf Tipps für die Cybersicherheits- Compliance:
- Implementieren Sie ein Business Continuity Management (BCM): Investieren Sie jetzt in technische und organisatorische Werkzeuge, mit denen Sie den Betrieb vor Krisen und bedrohlichen Ausfällen schützen – und wenn doch etwas passiert, schnell und kontrolliert wiederherstellen.
- Managen Sie Ihre Cybersecurity-Risiken: Analysieren Sie Ihre IT-Struktur – intern und bei Dienstleistern – und leiten Sie Schutzmaßnahmen ab, die dem Stand der Technik entsprechen. Das reicht von Systemen zur Angriffserkennung bis zur Cyberhygiene, die nicht nur ausreichende Längen der Passwörter meint, sondern zum Beispiel auch sicher getrennte Netzwerksegmente.
- Prüfen Sie Ihre Lieferkettensicherheit: Wenn Sie Betreiber kritischer Anlagen sind, ist es Ihre Pflicht, die Compliance Ihrer Zulieferer, inklusive Softwarehersteller und Infrastruktur-Provider, sicherzustellen. Und das nicht nur bei Cloud- und Service-Anbietern, sondern schon bei der Beschaffung, Entwicklung und Wartung Ihrer informationstechnischen Systeme.
- Installieren Sie einen ganzheitlichen IT-Grundschutz: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dazu zählen Verfahren für den Einsatz von Kryptographie und alle Maßnahmen, die IT-Sicherheitsrisiken durch den Faktor Mensch reduzieren. Nutzen Sie Multifaktor-Authentisierung und gesicherte Kommunikationssysteme, auch für den Notfall: ausgedruckte Notfallhandbücher und klassische Funkgeräte sind ein Segen, wenn Ihre IT komplett ausfällt.
- Training, Schulung und Sensibilisierung: Befähigen Sie Ihre Belegschaft und die Leitungsorgane, stärken Sie das Bewusstsein für Sicherheitsrisiken. Besonders gefährdete Zielgruppen sollten mit Social Engineering und anderen, nicht immer IT-bezogenen Gemeinheiten vertraut gemacht werden, bevor sich zum Beispiel eine KI-verfremdete Stimme am Telefon erfolgreich als CEO ausgeben kann.
Welches die häufigsten Geschäftsrisiken weltweit sind – angefangen bei Cyber-Vorfällen bis zu Feuer oder dem Klimawandel – und wie sich Organisationen mittels Business Continuity Management (BCM) davor wappnen, das berichtete Sandro Cumini von der Swiss IT Security Group. „Das Business Continuitiy Management ist ein strategischer Ansatz, um sicherzustellen, dass eine Institution in der Lage ist, essenzielle Geschäftsprozesse auch unter extremen Bedingungen aufrechtzuerhalten“, so Cumini. Das verpflichte Betreiber kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen – etwa in Form eines BCM – zu treffen.
Pentesting macht Cybersicherheit realistisch bewertbar
Für mehr Resilienz sorgen zudem Pentests, das zeigten Benjamin Tiggemann und Daniel Bergers von der NetCologne IT Services. Sie erläuterten unterschiedliche Penetrationstests und warum diese ein kritischer Bestandteil der Cybersicherheitsstrategie eines Unternehmens sein sollten. „Pentests sind durch nichts zu ersetzen, da sie zeigen, ob Sicherheitsmaßnahmen greifen und transparent machen, wie angreifbar ich wirklich bin“, sagt Benjamin Tiggemann. Denn die Trickkiste der Cyberangreifer, etwa im Bereich Social Engineering, ist groß. Hilfreich seien etwa Purple-Team-Übungen, um reale Angriffe zu simulieren. Ein rotes Team gibt sich dabei als Angreifer aus, während das blaue Team die IT-Infrastrukturen verteidigt.
Nach einer stärkenden Mittagspause bot das DLR einen Rundgang über den DLR-Campus an mit vielen interessanten Impressionen – unter anderem aus dem Trainingsbereich für künftige Astronaut:innen. In einem Nachbau des Columbus-Moduls der ISS können die Astronauten in Köln-Porz trainieren und erfahren, wie lebenswichtig kritische Infrastruktur im Weltraum und auf der Erde sind – ob es nun darum geht, den Müll zu entsorgen oder die IT-Komponenten optimal zu schützen.