Security Insights: IT-SiG 2.0 – Neue Anforderungen an die Betreiber kritischer Infrastrukturen
20.09.2019
Im letzten Blogpost zum Thema Informations- und IT-Sicherheit lag unser Fokus auf dem Gesundheitssektor als KRITIS-Betreiber und ihm drohenden Gefahren. Wir gingen dabei auf Normen und Ansätze ein, die den per IT-Sicherheitsgesetz geforderten Mindeststandard an Informations- und IT-Sicherheit unterstützen, und warfen einen kurzen Blick auf die Weiterentwicklung des IT-Sicherheitsgesetzes. Aufgrund aktueller Entwicklungen möchten wir dieses Thema nochmals aufgreifen und die Neuerungen des IT-SiG 2.0 näher beleuchten. Zudem zeigen wir Ihnen mit Managed Vulnerability Scans einen Ansatz auf, mit dem Sie kontinuierlich vorhandene Sicherheitslücken identifizieren und Angriffsvektoren reduzieren können.
Im Juni lief die Umsetzungsfrist des zweiten Korbes der KRITIS-Betreiber, also auch des Gesundheitssektors, nach zwei Jahren aus. Wie die Berichterstattungen der vergangenen Wochen und Monate über Cyber-Angriffe auf Krankenhäuser allerdings zeigen, hat sich die allgemeine Sicherheitslage bisher nicht deutlich gebessert.
Als Reaktion auf den anhaltend geringen Sicherheitsstatus plant die Regierung die Weiterentwicklung des IT-Sicherheitsgesetzes. Seit Frühjahr 2019 ist ein Referentenentwurf zum IT-SiG 2.0 öffentlich, der weitreichende Anpassungen der bisherigen Vorgaben beinhaltet: IT-sicherheitsrechtliche Verpflichtungen sollen verschärft, das BSI mit umfangreichen neuen Befugnissen ausgestattet und die Sanktionen bei Verletzungen deutlich erhöht werden. Insbesondere KRITIS-Betreiber scheinen mit gravierenden Änderungen rechnen zu müssen. Obwohl mit der finalen Ausgestaltung erst zum Jahresende 2019 zu rechnen ist, möchten wir Ihnen die wesentlichen Neuerungen für KRITIS-Betreiber im Folgenden kurz skizzieren.
Neue Anforderungen an die Betreiber kritischer Infrastrukturen
Verbesserung der Angriffserkennung
Mit der geplanten Änderung sind KRITIS-Breiter verpflichtet, eine Angriffserkennung umzusetzen. Das heißt, sie müssen sicherstellen, dass sie neben einer Anti-Viren-Lösung und einer Firewall zusätzlich ein System implementieren, das sie bei Sicherheitsvorfällen automatisch und in Echtzeit alarmiert. Mögliche Lösungen hierfür sind IDS/ IPS (Intrusion Detection/ Prevention System) oder ein Security Information und Event Management, kurz SIEM.
Vertrauenswürdige KRITIS-Komponenten
Mit dieser Anpassung werden nun auch alle Zulieferer von KRITIS-Betreibern und Hersteller sogenannter KRITIS-Kernkomponenten in die Pflicht genommen. Da auch sie eine Störung im reibungslosen Betrieb kritischer Dienstleistungen und Anlagen bewirken könnten, müssen sie Mindeststandards des BSI erfüllen und nachweisen. Hersteller müssen eine sogenannte Vertrauenswürdigkeitserklärung abgeben, dass die gesamte Zuliefererkette der KRITIS-Komponenten die geforderten Sicherheitskriterien erfüllt.
Ausdehnung des Adressatenkreises
Die Abfallwirtschaft soll neben den bisherigen KRITIS-Sektoren als weiterer kritischer Sektor bestimmt werden.
Darüber hinaus werden die bestehenden Meldepflichten und Anforderungen an Mindeststandards auf »Infrastrukturen im besonderen öffentlichen Interesse« ausgedehnt. Darunter fallen z. B. die Branchen Chemie, Automobilherstellung, Rüstungsindustrie, Kultur und Medien sowie Unternehmen von »erheblicher volkswirtschaftlicher Bedeutung«.
Ebenso ist anzunehmen, dass insgesamt die Schwellwerte abgesenkt werden, sodass voraussichtlich auch der Mittelstand stärker in den Fokus rückt.
Drastische Erhöhung der Bußgelder
Im IT-SiG 2.0 werden Verstöße mit weitaus höheren Bußgeldern geahndet. Analog zur EU-DSGVO wird das bislang maximale Bußgeld von 100.000 Euro auf 20.000.000 Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes angehoben. Hinzu kommt, dass die Möglichkeiten, Bußgelder zu verhängen, deutlich erweitert werden sollen. Wie das konkret aussieht, bleibt abzuwarten.
Erkennen von Sicherheitsrisiken
Besteht der Verdacht, dass öffentlich erreichbare IT-Systeme von KRITIS-Betreibern unzureichend geschützt und somit die Sicherheit und ein störungsfreier Betrieb gefährdet sind, darf das BSI eigenständig und ohne vorherige Ankündigung Maßnahmen umsetzen, um Sicherheitslücken und Risiken aufzuspüren. Das BSI erhält somit das Recht, wie ein Angreifer die entsprechenden Systeme zu penetrieren, um die Betreiber über bestehende Gefahren zu informieren. Prüfen Sie daher mit sogenannten Penetrationstests oder Security Vulnerability Scans kontinuierlich Ihren eigenen Sicherheitsstatus.
Neben diesen Änderungen sind noch viele weitere geplant. Bereits jetzt gestaltet es sich für viele betroffene Unternehmen als schwierig, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme umzusetzen. Mit der Weiterentwicklung des IT-Sicherheitsgesetzes wird dies nicht leichter.
Gehören Sie zum Kreis der Betroffenen? Dann beginnen Sie bereits jetzt mit der Planung der notwendigen Maßnahmen, auch wenn die aktualisierten branchenspezifischen Leitfäden noch ausstehen. Setzen Sie sich intensiver mit der ISO 27001 auseinander und implementieren Sie ein darauf aufbauendes ISMS. Gern stehen Ihnen unsere Security-Spezialisten zu diesen Themen mit Rat und Tat zur Seite. Wenden Sie sich bei Fragen gern an it-sicherheitnoSpam@softline-group.com.
Minimieren Sie Ihre Angriffsfläche
Erste Grundlagen für die Erfüllung der Forderungen des IT-SiG (2.0) und eine Zertifizierung gemäß ISO 27001 bieten Ihnen Managed Vulnerability Scans, auf die wir im Folgenden näher eingehen werden.
Möchten Sie Ihre Betriebsfähigkeit erhalten und den Forderungen aus EU-DSGVO und IT-Sicherheitsgesetz entsprechen, sind regelmäßige Security Vulnerability Scans eine geeignete Lösung: Sie identifizieren vorhandene Sicherheitslücken in Ihren IT-Systemen und reduzieren somit kontinuierlich die Angriffsvektoren.
Mit unseren Softline Security Vulnerability Scans nehmen wir die Position des Angreifers ein und identifizieren potenzielle Einfallstore in Ihrer IT-Infrastruktur. Auf Basis der gewonnenen Erkenntnisse klassifizieren wir die Schwachstellen im Hinblick auf Ihr Gefährdungsrisiko und besprechen mit Ihnen mögliche Lösungen, die Sicherheitslücken schließen und Ihr Sicherheitsniveau dauerhaft verbessern.
Ihre Mehrwerte:
Sie kennen Ihre Schwachstellen, bevor sie ein Angreifer mutwillig ausnutzt oder das BSI darauf aufmerksam wird, und können Ihre Sicherheitsmaßnahmen fortwährend an veränderte Rahmenbedingungen anpassen. Mit einer regemäßigen Überprüfung Ihrer Sicherheitsvorkehrungen erfüllen Sie die Anforderungen des IT-Sicherheitsgesetzes und der EU-DSGVO und haben zugleich einen Nachweis darüber. Kontinuierliche Security Vulnerability Scans liefern zudem Grundlagen für eine Zertifizierung nach ISO 27001. Im Rahmen unseres Softline Managed Services erhalten Sie zudem regelmäßige Reports über den Sicherheitsstand Ihrer IT-Infrastruktur und empfohlene Maßnahmen zur Beseitigung existierender Schwachstellen.
Weitere Informationen erhalten Sie hier.
Sie haben Fragen oder benötigen Unterstützung in Informations- und IT-Sicherheitsprojekten? Kontaktieren Sie uns per E-Mail it-sicherheitnoSpam@softline-group.com oder telefonisch +49 341 24051-0.