Seit Beginn der Corona-Pandemie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber Kritischer Infrastrukturen (KRITIS) in vielfältiger Weise unterstützt – von der Cyber-Sicherheitswarnung bis hin zur Austauschplattform.
Bereits am 20. März 2020 hat das BSI an die KRITIS-Betreiber eine Cyber-Sicherheitswarnung verschickt, die die Auswirkungen von COVID-19 auf die IT-Sicherheitslage thematisierte (CSW 2020 190290). Darin wies das BSI auf die erhöhte Anzahl von DDoS-Angriffen sowie auf Schadprogramme und Social Engineering im Zusammenhang mit der Corona-Situation hin. Weiter enthielt die CSW Hinweise auf Maßnahmen zur Absicherung von VPN-Netzen, die für Fernzugänge auf Unternehmensnetze im Zusammenhang mit verstärkter "Homeoffice"-Nutzung von hoher Bedeutung sind.
In einer weiteren an die KRITIS-Betreiber verschickten Sicherheitswarnung (CSW 2020-199453) vom 07.04.2020) wurden die strategischen Auswirkungen der COVID-19-Pandemie auf die IT-Sicherheitslage in Deutschland thematisiert. Darin wurde darauf hingewiesen, dass aufgrund der aktuell erhöhten Abhängigkeit von IT erfolgreiche Cyber-Angriffe auch für normalerweise gut aufgestellte Organisationen ein hohes Risiko darstellen. Daher ist es gerade in dieser Zeit erforderlich, IT-Sicherheitsmaßnahmen so weit wie möglich aufrechtzuerhalten, umzusetzen, sie an die neuen Umstände anzupassen und kontinuierlich weiterzuentwickeln.
Schutz Kritischer Infrastrukturen und weiterer wichtiger Unternehmen aus dem Gesundheitssektor
Das BSI hat mit Unterstützung der zuständigen Gesundheitsbehörden, den Sicherheitsbehörden des Bundes und Branchenverbänden im Gesundheitswesen schon ab März im Kontext SARS-CoV-2/COVID-19 Dutzende im Kontext der Pandemiebekämpfung wichtige Unternehmen identifiziert und kontaktiert. Dazu zählen große Produzenten von Medizinprodukten, Pharmaunternehmen, Labore für COVID-19-Tests und medizinische Forschungseinrichtungen. Das BSI sieht für diese Unternehmen ein erhöhtes Bedrohungsrisiko und rät diesen zu einer Evaluierung und ggf. Anpassung ihrer IT-Sicherheitsmaßnahmen. Weiter wurde den Unternehmen und Forschungseinrichtungen Informationsmaterial zur Prävention, Reaktion und Detektion von Cyber-Angriffen und eine Kontaktadresse des BSI für Notfälle zur Verfügung gestellt.
Schnelle und pragmatische Unterstützung für KRITIS-Betreiber
Seit Beginn der Pandemie verzeichnen das KRITIS-Büro und die Sektorbetreuer des BSI ein deutlich erhöhtes Aufkommen an E-Mails und telefonischen Anfragen so dass diese nicht mehr alle am gleichen Tag beantwortet werden konnten. Die Anfragen wurden daher priorisiert und sichergestellt, dass die wichtigsten Anfragen auch am schnellsten beantwortet wurden. Mittlerweile wurden alle Anfragen beantwortet.
Viele KRITIS-Betreiber suchten angesichts befürchteter Ausgangssperren nach Lösungen, um zu gewährleisten, dass das Personal auch in diesem Fall zur Arbeitsstelle gelangen könnte. Die aufgrund gesetzlicher Verpflichtung beim BSI registrierten KRITIS-Betreiber und die Teilnehmer im UP KRITIS, der nationalen öffentlich-privaten Partnerschaft zum Schutz der Kritischen Infrastrukturen in Deutschland, erhielten vom BSI eine schriftliche Bestätigung darüber, dass ihre Organisation zu den Kritischen Infrastrukturen zählt.
Ein weiteres wichtiges Thema, insbesondere für KRITIS-Betreiber aus den Sektoren Energie, IT+TK, Ernährung und Wasser, war der im Sommer 2020 anstehende Abgabe-Termin für Nachweise einer IT-Sicherheit „auf dem Stand der Technik“, die in einem zweijährigen Turnus eingereicht werden müssen. Die Betreiber bzw. deren Prüfer mussten im Zusammenhang mit Kontaktbeschränkungen und Abstandsregeln zahlreiche Vor-Ort-Prüfungen verschieben. Daraus ergaben sich eine Vielzahl von Fragen bezüglich der anstehenden Nachweise.
Da es sich bei den Nachweisfristen um gesetzliche Fristen handelt, ist eine Verschiebung von anstehenden Nachweisterminen nicht möglich. Jedoch konnte durch eine Aussetzung des Mahnwesens für die Betreiber, deren Nachweistermin in den Monaten März bis Juli 2020 liegt, eine pragmatische Lösung gefunden werden. Außerdem wurden die KRITIS-Betreiber darauf hingewiesen, wie ein Nachweis erbracht werden kann, auch dort, wo derzeit keine Vor-Ort-Prüfung durchführbar ist.
Für die Teilnehmer des UP KRITIS wurde auf einer bereits etablierten Internetplattform für KRITIS-Betreiber ein vom BSI betreutes Austauschforum bereitgestellt, in dem täglich die Fragen der Betreiber im Zusammenhang mit der Corona-Pandemie beantwortet werden.