IT-Angriffe auf Infrastrukturen, die unsere Grundversorgung gewährleisten, sind eine besondere Bedrohung für unser Gemeinwesen. Zu deren Schutz vor Cyber-Angriffen wurden die gesetzlichen Anforderungen im neuen IT-Sicherheitsgesetz festgeschrieben. Die Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen deshalb künftig einen Mindeststandard an IT-Sicherheit einhalten ‒ und die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre nachweisen. Zudem müssen Unternehmen erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Das IT-Sicherheitsgesetz strahlt auf sieben unterschiedliche Gesetzesbereiche aus. Somit erhält das BSI mehr Befugnisse und kann auch Länder-übergreifend agieren. Das IT-SiG (IT-Sicherheitsgesetz) gibt Sanktionen vor. Grundsätzlich ist das nichts Neues. Bereits heute sind in anderen Gesetzen (KontraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ebenfalls Haftungen verbindlich geregelt. Daher darf davon ausgegangen werden, dass Kritis-Unternehmen ihre Zulieferer in die Pflicht nehmen. In Summe steigt deshalb die Relevanz des IT-Sicherheitsgesetzes auch für Unternehmen in unkritischen Branchen.
Die Einhaltung von IT-Sicherheitsmaßnahmen in der Produktion wird für die betroffenen Unternehmen verpflichtend. Dazu gehören zum Beispiel eine aktuelle IT-Dokumentation, die kontinuierliche Überwachung, Viren- und Internetschutz, Datensicherungen, Passwortmanagement sowie Richtlinien zum Umgang mit externen Dienstleistern.
Der Fokus des Gesetzes liegt auf der Prävention vor und der Erkennung von Cyber-Angriffen. Die Anforderung für die Unternehmen besteht darin, diese Maßnahmen wirksam im Betriebsablauf zu etablieren. Das Gesetz stellt Anforderungen in den Bereichen:
- Information Security Management (Sicherheitsorganisation, IT-Risikomanagement)
- Kritische Cyber-Assets werden identifiziert und gemanagt
- Maßnahmen zur Angriffsprävention und -erkennung
- Implementierung eines Business Continuity Managements (BCM)
Der Nachweis der Umsetzung dieser Vorgaben erfolgt auf Basis von Sicherheitsaudits, Prüfungen oder Zertifizierungen. Unternehmen müssen etwa ihr IT-Risikomanagement belegen können, ebenso ihre kritischen Cyber-Assets identifizieren und deren Schutz nachweisen.
Maßnahmen zur Angriffsprävention und -erkennnung lassen sich mit Tools wie Irma (Industrie Risiko Management Automatisierung) umsetzen. Das abgeschottete System, bestehend aus Hard- und Software, ist für potenzielle Angreifer wie auch für eingeschleuste Schad-Software unsichtbar. Es erfasst und analysiert als passiver Teilnehmer jegliche Aktivitäten und Verbindungen im Netzwerk einer Produktionsanlage. Das permanente Scannen ermöglicht das Erkennen jeder Verbindung und jedes Teilnehmers. Gleichzeitig entsteht eine Landkarte der IT-Netzwerke mit Informationen über die Netzsegmentierung und Trennung mit Firewalls. Dies bildet die Grundlage für das Risikomanagement inklusive Reporting über den Zustand der gesamten Anlage gemäß ISO 27000/BSI.
Durch die kontinuierliche Überwachung, Analyse und eine intelligente Alarmierung bietet Irma in Echtzeit Informationen zu ungünstigen Konfigurationen oder Cyber-Angriffen. Das integrierte Risikomanagement ermöglicht es, umgehend über die wirtschaftlich sinnvollen Maßnahmen zu entscheiden, um einen Angriff zu stoppen oder dessen Auswirkungen einzudämmen.
Dieter Barelmann
Jens Bußjäger
(sk)