English
Kritische Infrastrukturen (KRITIS) wie Krankenhäuser oder Energieversorger werden zunehmend zum Ziel von Cyberattacken. Für KRITIS-Betreiber gelten grundsätzlich wegen ihrer großen Bedeutung für das Allgemeinwohl sehr hohe Anforderungen an die Informationssicherheit. Ein Überblick.
Die russische Invasion in der Ukraine wirkt sich auch auf die digitale Sicherheit hierzulande aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundesamt für Verfassungsschutz warnen verstärkt vor russischen Cyberangriffen auf kritische Infrastruktur (KRITIS) wie Energie- und Wasserversorger oder Krankenhäuser. Hintergrund sind die deutsche Unterstützung für die Ukraine mit Waffenlieferungen und Sanktionen gegen Russland.
Doch kritische Infrastrukturen stehen schon länger im Fadenkreuz von Angreifern. Im September 2020 zum Beispiel verschlüsselten Hacker bei einem Ransomware-Angriff auf das Universitätsklinikum in Düsseldorf die bildgebenden Systeme. Dadurch war keine Notversorgung mehr möglich, Patienten mussten abgewiesen und in andere Krankenhäuser verlegt werden. Vor der Verschlüsselung der Systeme entwendeten die Täter vermutlich 100.000 Patientendaten aus dem Netzwerk der Klinik. Ein weiteres Beispiel: Im Juli 2021 sorgte eine Cyberattacke auf die Server des Landkreises Anhalt-Bitterfeld dafür, dass die Verwaltung fast zwei Wochen lang blockiert war und etwa die Sozialleistungen nicht auszahlen konnte.
Nicht nur die Bedrohungslage zeigt, dass KRITIS-Betreiber ihre IT-Infrastruktur, -Anwendungen und -Daten umfassend schützen müssen. Angesichts ihrer Bedeutung für die Allgemeinheit verpflichtet der Gesetzgeber sie auch dazu.
Was sind Kritische Infrastrukturen?
Das BSI definiert Kritische Infrastrukturen (KRITIS) als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Bis Mai 2021 gab es insgesamt neun KRITIS-Sektoren. Diese Sektoren untergliedern sich teilweise noch einmal in verschiedene Branchen: Energie, Gesundheit, Informationstechnik & Telekommunikation, Transport & Verkehr, Medien & Kultur, Wasser, Finanz- & Versicherungswesen, Ernährung, Staat & Verwaltung. Mit den Neuerungen im IT-Sicherheitsgesetz 2.0 kam Siedlungsabfallentsorgung (Entsorgung vom Hausmüll, wie auch hausmüllähnlichen gewerblichen Abfällen) als zehnter KRITIS-Sektor hinzu.
Zentrale Rechtsgrundlage ist das BSI-Gesetz (BSIG), das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSI-KritisV) beschreibt die einzelnen Sektoren näher und nennt Schwellenwerte zur Bestimmung, ob es sich um eine Kritische Infrastruktur handelt. Nur Einrichtungen, Anlagen oder Teile davon sind KRITIS, die diese Werte überschreiten (erhebliche Größenordnung).
Ein Beispiel für einen derartigen Schwellenwert: Stromerzeugung mit installierter Netto-Nennleistung (elektrisch) – Schwellenwert = 420 MW. Das heißt ein Kraftwerk, das unter dieser Leistung liegt, ist nicht KRITIS und braucht nicht die strengeren Vorschriften für die Betreiber kritischer Infrastrukturen in Bezug auf Informationssicherheit zu erfüllen. Achtung: Mit der ab 2022 geltenden neuen BSI-KritisV 2.0 sinken diverse Schwellenwerte. Damit dürfte die Anzahl der Betreiber kritischer Infrastrukturen von rund 1.600 auf etwa 1.870 steigen. Das heißt, rund 270 weitere Unternehmen müssen künftig die Anforderungen an eine höhere Sicherheit erfüllen.
Wozu sind KRITIS-Betreiber verpflichtet?
Nach § 8a haben KRITIS-Betreiber besondere Pflichten für ihre IT-Sicherheit. Das BSI-Gesetz wird regelmäßig durch Elemente aus Gesetzen wie Energiewirtschaftsgesetz, Atomgesetz, Telemediengesetz, Telekommunikationsgesetz und IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) erweitert.
Wozu aber sind KRITIS-Betreiber verpflichtet? Hier eine kurze Übersicht:
- Registrierung beim BSI
- Nennen einer Kontaktstelle, über die sie jederzeit erreichbar sind. An diese Adresse schickt das BSI IT-Sicherheitsinformationen.
- Meldung von IT-Störungen oder erheblichen Beeinträchtigungen an das BSI + Pflicht zur Herausgabe aller zur Bewältigung der Störung notwendigen Informationen
- Umsetzen von IT-Sicherheit auf dem „Stand der Technik“ = Angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme, Komponenten und Prozesse
- Nachweis der Maßnahmen zur Umsetzung alle zwei Jahre gegenüber dem BSI durch ein Zertifikat etwa zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß der Norm ISO 27001, der ISO 27019 für Energieversorger, der ISO 27799 für medizinische Informatik, der ISO 27011 für Telekommunikationsunternehmen oder branchenspezifischer Sicherheitsstandards. Bei Nichterfüllung drohen Geldbußen von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.
- Ab 2023: KRITIS-Betreiber müssen Systeme der Angriffserkennung wie IDS/IPS (Intrusion Detection Systeme/ Intrusion Prevention Systeme) oder Threat Intelligence installieren. „KRITIS-Kernkomponenten“ dürfen nur von vertrauenswürdigen Herstellern stammen. Erinnert sei hier an die Diskussion über Huawei-Komponenten für 5G-Netze oder aktuell die Warnung vor dem Einsatz von Kaspersky-Produkten durch das BSI. Die Produkte dieser Hersteller wären dann für KRITIS tabu.
Aufbau eines ISMS zum Schutz von Informationen
Für die Betreiber kritischer Infrastrukturen ist der Aufbau eines ISMS seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Informationssicherheit ist ein grundlegender Aspekt von IT-Sicherheit. Informationen müssen zuverlässig verfügbar sein, da die meisten Geschäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen.
Genau das leistet ein Information Security Management System, kurz ISMS, auf Basis der internationalen Norm ISO/IEC 27001. Diese beschreibt, mit welchen Prozessen und Maßnahmen Firmen und Organisationen eine höhere Informationssicherheit erreichen. Sie formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines Information Security Management Systems.
Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (u.a. Security Awareness Training), Zugriffskontrolle (z.B. Passwort-Management oder Einschränkung von Zugriffsrechten), Kryptografie, Incident Management oder Kommunikationssicherheit (z.B. Netzwerk-Segmentierung). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.
Natürlich sorgt ein ISMS mit Zertifizierung nach ISO/IEC 27001 nicht für 100-prozentige Sicherheit. Es reduziert aber die Risiken und schafft mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit in Organisationen. Daher ist ein ISMS insbesondere für Betreiber von kritischen Infrastrukturen Pflicht, die eine große Bedeutung für das Allgemeinwohl haben.
Fragen? Fragen!
Ich bin Paul Pietsch aus dem HCD Vertriebsteam. Ich berate Sie gerne oder helfe Ihnen bei Fragen weiter. Sie erreichen mich telefonisch unter +49 89 215 36 92-0 oder per Kontaktformular.
Jetzt beraten lassen