21.10.2019 •

Kritische Infrastrukturen besser schützen

Daniel Heck

http://www.presse.rohde-schwarz.de

Um Kritische Infrastrukturen vor modernen Cyberattacken zu schützen, braucht es wirksame IT-Sicherheitslösungen. Mit diesen lassen sich moderne Angriffe stoppen und die Anforderungen der BSI KRITIS-Verordnung erfüllen. Mit dem IT-Sicherheitsgesetz 2.0 könnten bald weitere Unternehmen von der KRITIS-Regelung betroffen sein. Diese sollten rechtzeitig ihre Sicherheitsstrategie überdenken.

Die Gefährdungslage durch Angriffe auf die IT in Kritischen Infra­strukturen ist auf einem hohen Niveau. Das stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit 2018 fest. Im Berichtszeitraum erreichten das BSI 145 Meldungen aus den KRITIS-Sektoren; die meisten aus dem Bereich IT und Telekommunikation, gefolgt vom Energiesektor. Das BSI warnt allerdings: Gesellschaftliche und politische Ereignisse können die Motivationslage der Angreifer ändern, so dass grundsätzlich alle KRITIS-Unternehmen im Fokus von fortschrittlicheren Angreifern stehen und sich dagegen wappnen müssen.

Wachsende Bedrohungslage

Für Energieversorger, Krankenhäuser und Transportunternehmen wächst die Herausforderung bei der IT-Sicherheit gleichzeitig kontinuierlich an, denn die Angriffsflächen werden immer vielfältiger. Trends wie „Bring your own device“ (kurz BYOD), die Migration in die Cloud und webbasierte Geschäftsanwendungen bieten Hackern immer neue Wege, um Mitarbeiter auszuspähen, an sensible Daten zu gelangen oder Systeme lahmzulegen. Angesichts dieser stetig wachsenden Bedrohungslage müssen KRITIS-­Unternehmen sich deutlich effektiver schützen. Vor allem auch deshalb, weil sie verstärkt von einer reibungslos funktionierenden Informationstechnik abhängig sind.

Seit 2015 sind Unternehmen aus den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen daher verpflichtet, ein Mindestsicherheitsniveau bei der IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. Die Regelung könnte bald weitere Unternehmen betreffen. Denn im „IT-Sicherheitsgesetz 2.0“ soll die KRITIS-Definition ausgeweitet werden. Die Vorgaben werden außerdem verschärft. Der Referentenentwurf vom 29. März 2019 enthält u. a. diese Neuerungen:

  • Unternehmen aus der „Entsorgungsbranche“ sollen in die KRITIS-­Liste aufgenommen werden.
  • Es soll eine KRITIS-Kategorie „Infrastruktur von besonderem öffentlichem Interesse“ eingeführt werden. Dazu zählen die Branchen Rüstung, Kultur und Medien.

Zwei weitere Pflichten sollen eingeführt werden:

  • KRITIS-Betreiber müssen Systeme der Angriffserkennung betreiben, also ein „Intrusion Detection System“ (IDS).
  • Sie dürfen „KRITIS-Kernkomponenten“ nur von Herstellern beziehen, die vorher eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber abgegeben haben.

Weitere mögliche Änderungen:

  • Um als Kritische Infrastruktur eingeordnet zu werden, ist es erforderlich, dass das Unternehmen oder eine Anlage eine erhebliche Größenordnung hat. Diese Schwellenwerte sollen angepasst werden, so dass auch kleinere Unternehmen betroffen sind.
  • Das BSI ist berechtigt, die betroffenen Unternehmen zu prüfen, und kann bei Pflichtverletzungen erhebliche Bußgelder verhängen. Durch das neue Gesetz sollen diese empfindlich erhöht und dem Bußgeldrahmen der DSGVO angepasst werden.

Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, brauchen KRITIS-Unternehmen geeignete Sicherheitsmaßnahmen für die wichtigsten Schwachstellen. Ein Virenscanner allein reicht nicht mehr aus, um die IT vor den immer häufigeren und raffinierteren Cyberangriffen zu schützen. Ein Wechsel von reaktiven zu proaktiven Lösungen ist unabdingbar. Proaktive Lösungen arbeiten mit dem Prinzip der Separierung – das reduziert die Angriffsfläche erheblich. Zudem benötigen Unternehmen spezielle Lösungen für die Vielzahl neuer Einfallstore. Mit einem proaktiven 360-Grad-Sicherheitsansatz können sich Unternehmen effektiv vor Cyberangriffen schützen.

  1. Die Absicherung von Daten in der Cloud

    Die Nutzung von Cloud-Diensten wie Dropbox, iCloud oder ­Google Drive ist heute nicht mehr nur eine hilfreiche Ergänzung, sondern für die meisten Unternehmen dringend erforderlich. Egal ob in der Finanz-, TK- oder Energiebranche: Für die zunehmende Menge an digitalisierten Daten werden neue Speicherplätze benötigt.

    Herkömmliche Sicherheitskonzepte („Perimetersicherheit“), die nur zwischen öffentlichen Netzwerken und internen Netzwerken unterscheiden, reichen bei der Nutzung von Cloud-Diensten allerdings nicht mehr aus. Die Verarbeitung und Speicherung der Daten verlagern sich durch die Cloud auf externe Systeme. Cloud-Provider oder Cyberkriminelle könnten sich Zugriff verschaffen.

    Damit Daten in der Cloud geschützt sind, braucht es neuartige sogenannte „datenzentrische“ Sicherheitskonzepte. Die Sicherheit ist direkt in die Daten eingeschrieben und ermöglicht maximale Flexibilität. Selbst bei einem Angriff auf die Cloud oder wenn Hacker in ein System eindringen, bleiben die vertraulichen Inhalte für Angreifer oder nicht befugte Personen unlesbar.

  2. Einfallstor Internet

    70 Prozent der Malware kommen über den Browser in das Netzwerk. Abhalten lassen sich Angriffe aus dem Internet am besten mit Technologien, die auf eine strenge Separierung setzen – d. h. man arbeitet mit einem virtuellen Browser, der von allen anderen Anwendungen und den Daten hermetisch getrennt ist.

  3. Verbindungen verschlüsseln

    Daten sind auch während des Transportes gefährdet. Eine verschlüsselte Verbindung zwischen Rechenzentren, den Unternehmensstandorten und den Benutzern ist unerlässlich. Unternehmen benötigen dafür Verschlüsselungstechnologien, welche die Daten zwar sicher vor Hacker-Angriffen schützen, aber gleichzeitig einen hohen Datendurchsatz ermöglichen. Solche Lösungen gibt es inzwischen sowohl für Ethernet- als auch IP-Netze.

  4. Webanwendungen schützen

    Webanwendungen erleichtern die Abläufe für Kunden und Unternehmen erheblich und ermöglichen neue Geschäftsmodelle. Doch das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Wer Angriffe auf Webanwendungen abwehren will, braucht eine spezielle Web Application Firewall. Diese kann – im Unterschied zu herkömmlichen Firewalls – Daten, die im HTTP- bzw. HTTPS-Protokoll verkehren, überprüfen. Dadurch bietet sie Schutz vor verbreiteten Angriffsarten.

  5. Mobile Geräte absichern

    Mobile Geräte sind längst ein wesentlicher Teil der Arbeitsprozesse. Smartphones und Tablets geraten jedoch immer mehr ins Visier von Cyberkriminellen. Parallel zur steigenden Bedrohungslage werden Mobile Devices zunehmend zu Trägern wertvoller Informationen sowie zu Übermittlern sensibler Daten und vertraulicher Inhalte. Schützen lassen sich die Daten am besten durch die Trennung eines offenen und eines geschützten Bereiches. Spezielle Lösungen für Android-Geräte ermöglichen solche getrennten Sicherheitsbereiche. Unternehmen, die auf eine BYOD-Strategie oder auf iOS-Geräte setzen, sollten grundlegende Sicherheitsmaßnahmen ergreifen, wie beispielsweise das Deaktivieren von Nachrichten auf dem Sperrbildschirm und von ungenutzten Netzwerkschnittstellen. Auf geschäftlichen Geräten sollten zudem nur Apps aus vertrauenswürdigen Quellen genutzt werden und jedes Mobilgerät mit einer Bildschirmsperre gesichert werden.

Fazit

Die Einführung digitaler Prozesse ist unaufhaltsam. Damit Kritische Infrastrukturen dennoch geschützt sind, brauchen sie spezielle IT-Sicherheitsmechanismen. Mit solchen neuartigen Lösungen und einem Rundumschutz können Energieunternehmen, Krankenhäuser oder Transportunternehmen sich wirksam vor Angriffen schützen. Das sichert ihren Geschäftsbetrieb und die Stabilität der Gesellschaft.


Mehr zu den Themen:

Verwandte Artikel

Nationales IT-Lagezentrum

Nationales IT-Lagezentrum

Seit Februar 2024 ist das Nationale IT-Lagezentrum des BSI in seinen neuen Räumlichkeiten in Betrieb. Die Arbeitsplätze im Lagezentrum wurden verdoppelt und die neueste Medientechnik verbaut, um im 24/7 Informationsdauerdienst die...

BSKI-Jahrespressekonferenz in Leipzig

BSKI-Jahrespressekonferenz in Leipzig

Die diesjährige Jahrespressekonferenz des Bundesverbands für den Schutz Kritischer Infrastrukturen e. V. (BSKI) fand am 7. November 2023 in den Räumlichkeiten des Kongresszentrums der Messe Leipzig am Vorabend des Fachkongresses „Protekt...

Cybersecurity: Schutz des globalen Handels

Cybersecurity: Schutz des globalen Handels

Der weltweite Handel ermöglicht die Verfügbarkeit nahezu unendlicher vieler Waren. Damit die globale Logistik aber auch funktioniert, braucht es digitale Systeme. Mit einer steig wachsenden Abhängigkeit steigt gleichzeitig auch das Risiko durch...

: