Cybersecurity in der kritischen Infrastruktur

Unternehmen, die zur kritischen Infrastruktur gehören, müssen ein gewisses Maß an Cybersecurity erfüllen. Diese Verpflichtung ergibt sich aus dem IT-Sicherheitsgesetz von 2015, aus seiner Weiterentwicklung von 2021, aus der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV), aus der Network and Information Security 2 (NIS2)-Richtlinie und aus dem noch nicht in Kraft getretenen KRITIS-Dachgesetz. Wer dazu verpflichtet ist, wie die Schutzmaßnahmen aussehen und welche weiteren Aufgaben auf Sie warten, erfahren Sie hier.

Das Wichtigste in Kürze:

• Unternehmen der kritischen Infrastruktur sind ab einer gewissen Größe dazu verpflichtet, bestimmte Maßnahmen der Cybersecurity zu treffen.
• Mehrere Gesetze und Richtlinien geben den rechtlichen Rahmen dafür vor.
• Wichtig ist die Kombination aus organisatorischen, technologischen und personellen Maßnahmen.
• Es obliegt den Unternehmer:innen, regelmäßig alle zwei Jahre durch Prüfungen nachzuweisen, dass sie die Maßnahmen umsetzen. Mit der Umsetzung der NIS2-Richtlinie und dem Kritis-Dachgesetz wird die Prüfpflicht voraussichtlich auf ein dreijähriges Intervall umgestellt.

Deshalb ist Cybersecurity für Unternehmen der kritischen Infrastruktur wichtig

Angriffe auf Unternehmen der kritischen Infrastruktur (KRITIS) häufen sich inzwischen, wie Dr. Christopher Nehring, Intelligence Director des cyberintelligence.institute in Frankfurt am Main erklärt: „Hybride Angriffe gegen KRITIS-Einrichtungen und Mittelstand nehmen rapide zu: rund ein Angriff pro Tag im Durchschnitt der letzten drei Jahren.“ Neben Spionage, Falschinformation und physischen Angriffen sind es vor allem Cyberattacken, die Unternehmen abwehren müssen.

In den meisten Fällen gelten Organisationen in der Wasser- und Energiewirtschaft dann als KRITIS, wenn sie über 500.000 Menschen versorgen: Legt eine Cyberattacke eines dieser Unternehmen lahm, sind also zahlreiche Personen von den Auswirkungen betroffen.

Die Situation wird noch gefährlicher durch den Umstand, dass verschiedene Unternehmen der KRITIS voneinander abhängig sind. Wasserversorger zum Beispiel können beeinträchtigt sein, wenn Energieversorger angegriffen werden. Das Wasser zu verteilen und die Trinkwasserverordnung einzuhalten, erfordert Strom, notfalls aus eigener Notstromversorgung.

Cybersecurity: Diese Schutzmaßnahmen müssen KRITIS-Unternehmen treffen

Es gibt eine ganze Reihe von Schutzmaßnahmen in der Cybersecurity, die Unternehmen der KRITIS etablieren müssen. Sie umfassen die Nutzung von Technologien auf dem Stand der Technik, organisatorische Maßnahmen und sorgfältige Schulungen der Angestellten.

Grundsätzlich gilt, dass sämtliche Maßnahmen verhältnismäßig sein müssen – was wiederum von der Gefährdungslage abhängt. Eine Risikoanalyse, wie sie der Kern eines jeden Managementsystems für Informationssicherheit ist, gibt Aufschluss über die individuelle Gefährdung des Unternehmens und damit über die Risiken, die es zu minimieren gilt.

Aktuelle Technologie

KRITIS-Unternehmen müssen ihre IT, Operational Technology (OT) und Infrastruktur auf dem Stand der Technik halten. Frank Brech, Geschäftsführer von EnBW Cyber Security, erklärt den Grund: Da IT und OT inzwischen oft stark vernetzt sind, können Hacker über die IT immer leichter auch die OT angreifen und Schaden anrichten. Häufig betrifft das die Produktion in der Industrie, „aber auch Wasserversorgungen oder Energienetze können davon betroffen sein.“

Zu den grundlegendsten Sicherheitsmaßnahmen zählen hier:

• Segmentierung der Netze
• Firewalls
• Intrusion-Detection-Systeme (IDS)
• Intrusion-Prevention-Systeme (IPS)
• Verschlüsselungstechnologien
• Multi-Faktor-Authentifizierung

In der Konkretisierung der KRITIS-Anforderungen nach § 8a Absatz 1 und Absatz 1a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) ist festgelegt, welche Sicherheitsanforderungen bei der Beschaffung von IT erfüllt werden müssen. Diese Pflichten werden u.a. mit dem Kritis-Dachgesetz durch die Beurteilung der Lieferantenrisiken, Anforderungen an die Zuverlässigkeit von Dienstleistern und Produkten sowie bei der NIS2-Umsetzung durch Supply Chain Security als festen Bestandteil der Cybersicherheitsstrategie wesentlich erweitert.

Unternehmen, die mit vielen mobilen Endgeräten arbeiten, sollten zudem auf jeden Fall mit einem Mobile Device Management (MDM) ihre Informationssicherheit stärken, mit dem sich die Geräte verwalten und absichern lassen. Auch die Löschung der Daten ist darüber möglich. Viele Arbeitgebende schrecken davor zurück, weil sie Bedenken vor der Reaktion ihrer Mitarbeiter:innen haben. Transparenz zu Zielen und der Umsetzung im System können überzeugend wirken.

Dabei ist das MDM stark relevant, wie Michael Endler, Senior Partner bei Expense Reduction Analysts, erklärt: „Mit einem MDM sichern sich Unternehmen datenschutzrechtlich ab. Gerade vor dem Hintergrund der EU-Datenschutzgrundverordnung (EU-DSGVO) ist das enorm wichtig.“

Ein zentraler Punkt ist auch die Implementierung eines Information Security Management Systems (ISMS). Das System kann auf verschiedenen Standards basieren, z.B. dem BSI Grundschutz des Bundesamts für Sicherheit in der Informationstechnik oder der ISO 27001 als internationaler Sicherheitsnorm. Es umfasst immer technische und organisatorische Maßnahmen und ist immer ein System für das Management zur Steuerung der Informationssicherheit in der verantworteten Organisation. Die Verantwortung des Managements wird in der NIS2-Umsetzung durch explizite Schulungs- und Umsetzungsverpflichtungen für die Geschäftsleitungen unterstrichen.

Organisatorische Maßnahmen

Im Rahmen des eben genannten ISMS müssen Verantwortliche für verschiedene Aufgabenbereiche wie Vorgaben, Umsetzung und Kontrolle verbindlich festgelegt werden. Die festgelegten Risikobewertungen und die entgegenwirkenden Maßnahmen sind von diesen Verantwortlichen regelmäßig auf Vollständigkeit und Wirksamkeit zu überprüfen und dem Management Bericht zu erstatten.

Unabdingbar ist auch ein Business Continuity Management (BCM), zu dem es im NIS2 und im KRITIS-Dachgesetz eingehende Vorgaben gibt. Ein BCM ermöglicht:

• Analysen von Risiken im Arbeitsalltag
• Präventionsmaßnahmen
• die Erstellung von Notfall-, Wiederherstellungs- und Wiederanlaufplänen
• eine professionelle Reaktion zur Bewältigung von Schadensfällen
• Übungen für den Ernstfall

Auch für das Aufsetzen und den Betrieb eines BCM unterstützt das Bundesamt für Sicherheit in der Informationstechnik mit seinem BSI-Standard 200-4 Business Continuity Management.

Unternehmen der KRITIS müssen eine Richtlinie für das Risikomanagement herausgeben, die einheitliche Methoden, Risikoklassen und Schwellenwerte festlegt.

Vorgaben für Externe

KRITIS-Unternehmen finden in allen einschlägigen Normen Richtlinien für:

• Sicherheitsanforderungen für Dienstleister
• Supply Chain Security
• Analyse der Resilienz von Dienstleistern und Lieferanten

Die Maßnahmen in diesem Bereich müssen mit den anderen Management-Systemen sowie mit dem Notfallmanagement des Unternehmens verknüpft sein.

Personelle Maßnahmen

Die im Rahmen der Cybersecurity-Maßnahmen Verantwortlichen für bestimmte Prozesse müssen eine sorgfältige Schulung erhalten. Unternehmen der KRITIS tun gut daran, einen Krisenstab zu bilden, bei der jede Person weiß, was im Falle einer Attacke zu tun ist.

Das ist aber nicht genug: Online-Sicherheit ist ein Thema, das alle Mitarbeiter:innen betrifft. „Der User ist und bleibt ein ganz großes Einfallstor für Hacker“, erklärt Cybersecurity-Experte Rainer Stecken vom DVGW. „Mitarbeiter müssen sichere Passwörter verwenden, besser noch Multi-Faktor-Authentisierung (MFA), alle Emails und Links kritisch prüfen und dürfen Unternehmensdaten keinesfalls ungeprüft weitergeben. Damit die Mitarbeiter dazu in der Lage sind, müssen sie in regelmäßigen Schulungen digitale Souveränität erwerben.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zudem die Zwei-Faktoren-Authentisierung zu aktivieren oder auf Passkeys umzusteigen. 

Wichtig: Angestellte müssen sich zur Geheimhaltung sensibler Geschäftsinformationen über das Beschäftigungsende hinaus vertraglich verpflichten!

Regelmäßige Prüfungen der Cybersecurity sind verpflichtend

KRITIS-Unternehmen sind laut BSIG § 8a (3) dazu verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik alle zwei Jahre Belege dafür vorzulegen, dass sie die verpflichtenden Maßnahmen durchführen. Es ist Aufgabe der Unternehmer:innen, die entsprechende Prüfung zu beantragen – beispielsweise beim TÜV oder anderen Zertifizierern.

Hans Koopman, Geschäftsführer von TÜV Nord EnSys, erklärt dazu: „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und kritischen Infrastrukturen bei.“

Werden bei diesen Prüfungen Sicherheitsmängel aufgedeckt, kann das Bundesamt für Sicherheit deren Beseitigung anordnen und dafür Beweise anfordern. Kommt das Unternehmen seiner Prüfungspflicht nicht nach oder behebt es festgestellte Mängel nicht, droht ein Bußgeld.

Fazit: Cybersecurity für KRITIS ganzheitlich angehen

Einige Unternehmer:innen in der KRITIS hoffen noch immer, dass sich der Schutz allein durch die Anschaffung der richtigen Technik gewährleisten lässt.. Dieser Gedanke greift deutlich zu kurz. Umfassende Cybersicherheit gelingt nur, wenn die Maßnahmen Technik, Organisation und die sorgfältige Schulung aller Mitarbeiter:innen umfassen: Der Cost of a Data Breach Report 2024 von IBM zeigt, dass vor allem gestohlene oder kompromittierte Zugangsdaten sowie Phishing die häufigsten Einfallstore für Angreifer:innen darstellen. Es geht also noch immer überwiegend um menschliches Versagen.