Nach dem Erlass des IT-Sicherheitsgesetzes 2.0 im Mai 2021 gelten seit dem 1. Januar 2022 nun auch für die Betreiber Kritischer Infrastrukturen (Kritis) neue Bestimmungen.
Die Kritis-Verordnung 2.0 sieht eine Ausweitung der betroffenen Sektoren, strengere Auflagen für die Betreiber und eine noch stärkere Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Für alte und neue Kritis-Betreiber bedeutet die Novelle einen erheblichen Mehraufwand.
Ziel des BSI ist es wie immer, die kritischen Strukturen des Landes gegen die wachsende Bedrohung aus dem Cyberspace abzusichern. Erreicht werden soll dies unter anderem durch eine Anpassung der Schwellenwerte, die viele bisher nicht-kritische Anlagen 2022 zu Kritis-Betreibern macht. Besonders stark betroffen sind die Sektoren Energie, Transport, Informationstechnik und Telekommunikation, sowie das Finanz- und Versicherungswesen. Die Zahl der bestehenden 1.600 Kritis-Betreiber wächst durch die Gesetzesänderung aktuellen Schätzungen zufolge um weitere 252.
Kritis-Verordnung 2.0 definiert neue Sektoren
Das BSI belässt es nicht bei der Anpassung der Schwellenwerte für die bisherigen Kritis-Betreiber, sondern gliedert zwei weitere Sektoren ein: die Siedlungsabfallentsorgung und die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI/UNBÖFI). Zu Letzteren zählen neben der Rüstungsindustrie auch Unternehmen, die Gefahrstoffe verarbeiten und unter die Störfall-Verordnung fallen. Darüber hinaus zählen auch solche Unternehmen, bei denen Störungen (z.B. durch die Unterbrechung der Lieferkette) gesamtgesellschaftliche Auswirkungen hätten, ab 2022 zu den Kritischen Infrastrukturen.
Während die genaue Definition der Schwellenwerte für den Sektor Siedlungsabfallentsorgung noch aussteht, gelten die UBI/UNBÖFI aktuell als „Kritis Light“. Das bedeutet, dass die Betreiber je nach Gruppe ab 2021, 2023 und 2024 dazu verpflichtet sind, sich beim BSI zu identifizieren, eine Selbsterklärung zur IT-Sicherheit abzugeben und Störungen umgehend zu melden.
Strengere Auflagen und mehr Pflichten für Betreiber
Kritis 2.0 etabliert eine neue Meldepflicht für sogenannte „Kritische Komponenten“, also Software- und Hardware-Produkte, deren Ausfall eine Anlage empfindlich beeinträchtigen würde. Künftig dürfen Kritische Komponenten nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden.
Die Novelle ergänzt die Vorgabe „angemessener Sicherheit“ nun explizit um den Einsatz von Systemen zur Angriffserkennung. Auf diese Weise sollen Bedrohungen im laufenden Betrieb mithilfe entsprechender Software-Lösungen erkannt und rechtzeitig beseitigt werden (Security Information & Event Management, kurz SIEM).
Die strengeren Auflagen kommen in Begleitung stärkerer Sanktionen. Kritis-Betreiber, die ihrer Informationspflicht nicht nachkommen, Störungen nicht sofort melden, oder die vorgeschriebenen Maßnahmen zum Schutz ihrer Infrastruktur nicht umsetzen, müssen seit dem 1. Januar 2022 mit Geldstrafen von bis zu 20 Millionen Euro rechnen.
BSI erhält mehr Befugnisse
Die aktualisierte Kritis-Verordnung ist nicht ohne Kritik geblieben. Insbesondere die Ausweitung der BSI-Kompetenzen sorgte für Unmut bei den Betreibern betroffener Anlagen. Als zentrale Meldestelle für Sicherheit in der Informationstechnik darf das BSI zukünftig nämlich nicht nur umfangreiche Daten zu Störungsfällen und Angriffen sammeln und auswerten, sondern auch auf der Herausgabe von Unterlagen und der Offenlegung empfindlicher Informationen bestehen.
Darüber hinaus macht die Kritis-Verordnung 2.0 das BSI zur nationalen Behörde für Cybersicherheitszertifizierung. Damit hat das Ministerium fortan das Recht (und die Pflicht), IT-Produkte unter Berücksichtigung sämtlicher Lieferketten auf die Einhaltung europäischer Standards hin zu überprüfen und entsprechend zu zertifizieren bzw. ihren Einsatz zu untersagen.
Wie Betreiber sich absichern
Bei allem Unmut über die strengen Auflagen: Kritis 2.0 ist die notwendige Antwort des Bundes auf die wachsende Bedrohung durch Cyberkriminalität und Angriffe auf kritische Infrastrukturelemente. Für Betreiber hat die Novelle außerdem deutlich gemacht, dass in Zukunft eher noch mehr neue Vorschriften zu erwarten sind. Es ist außerdem keineswegs auszuschließen, dass durch eine erneute Anpassung der Schwellenwerte in Zukunft immer mehr Anlagen unter die Kritischen Infrastrukturen fallen werden.
Um die strengen Auflagen des BSI erfüllen zu können, werden automatisierte Lösungen in Zukunft eine noch wichtigere Rolle spielen. Die neuen Pflichten sehen mit SIEM-Lösungen, Supply-Chain-Kontrollen und umfangreichen Melde- und Informationspflichten Sicherheitsvorkehrungen auf einem deutlich höheren Level vor als bisher. Für Kritis-Betreiber bedeutet dies in vielen Fällen einen personellen Mehraufwand, der nur mithilfe automatisierter Lösungen für den Basis-IT-Schutz auszugleichen ist.
Identitäts- und Rechtemanagement als Grundschutz
Automatisierte Lösungen, die ein stabiles Fundament für die IT-Sicherheit Kritischer Infrastrukturen legen, setzen häufig beim Identitäts- und Rechtemanagement an. Mithilfe von Identity- und Access Management, auch IAM genannt, können Kritis-Betreiber viele der vom BSI definierten Bedrohungen und Schwachstellen (wie zum Beispiel Datenmissbrauch durch Mitarbeiter oder unbefugte Zugriffe) ohne großen personellen Aufwand managen.
IAM-Lösungen wie Tenfold dienen als zentrale Plattform für die Verwaltung von Benutzern und Zugriffsrechten. Sie reduzieren sowohl den manuellen Aufwand als auch die Fehlerquote enorm, da sowohl die Vergabe als auch der Entzug von Berechtigungen rollenbasiert und damit automatisch erfolgt. Durch eine automatisierte Dokumentation lässt sich außerdem jederzeit nachvollziehen, welche Mitarbeiter zu welchem Zeitpunkt Zugang zu sensiblen Daten hatten.
Die lückenlose Absicherung der Identities verschafft Kritis-Betreibern auch im Hinblick auf die neue Verordnung einen entscheidenden Vorteil, da sie die Implementierung von Sicherheitskonzepten und -software, die auf diesen Identities basieren, erleichtert. Im Nachgang zur Novelle erarbeitet das BSI derzeit konkrete Empfehlungen für die Sicherheit von Verfahren zur Implementierung von IAM-Lösungen.
Kontakt zur Redaktion:
Andres Albrecht
Tel.: 0821 319880-70
Mobil: 0171 1746157
E-Mail: andreas.albrecht@schluetersche.de