IT-Systeme in kritischen Infrastrukturen (KRITIS) sind nicht vor Cyberangriffen gefeit \u2013 so lautete die Antwort der Bundesregierung auf eine Anfrage der FDP-Bundestagsfraktion. So stieg die Anzahl der Hackerattacken im Gesundheitsbereich mit Fokus auf Krankenh\u00e4usern von elf Attacken in 2018 \u00fcber 16 Attacken in 2019 bis auf 43 Attacken in 2020. Angriffe nahmen auch im Energiesektor zu. Kann das IT-Sicherheitsgesetz 2.0 hier Abhilfe schaffen? Wir schauen uns die Situation an und wagen einen Blick in die Zukunft f\u00fcr die IT-Sicherheit in KRITIS.<\/p>\n
Neben den erw\u00e4hnten Zahlen im Gesundheitssektor stieg auch die Zahl der Angriffe im Energiesektor: In den vergangenen drei Jahren stieg die Anzahl der Angriffe von vier \u00fcber zehn, dann auf 26 Angriffe. 70 Attacken wurden im Jahr 2020 auf Staat und Verwaltung gefahren \u2013 ein geringerer Anstieg: 2019 wurden 63 kritische Vorf\u00e4lle verzeichnet.<\/p>\n
Andere KRITIS-Sektoren fallen mit vergleichsweise niedrigen Angriffszahlen aus. So kommt das Finanz- und Versicherungswesen 2019 auf sechs, 2020 auf elf Angriffe. Der Bereich Verkehr und Transport gl\u00e4nzt sogar mit fallenden Zahlen: Von zehn auf acht gingen die Angriffe von 2019 auf 2020 zur\u00fcck. Insgesamt sollen 2019 121 IT-Angriffe auf KRITIS-Institutionen stattgefunden haben, 2020 waren es 171.<\/p>\n
Bei den Angriffen ist laut \u201eLagebericht der IT-Sicherheit in Deutschland 2020\u201c vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) der Trend zu neuen Schadprogramm-Varianten ungebrochen. In diesem Report l\u00e4sst sich nachlesen, dass mehr als 400 meldepflichtige IT-Sicherheitsvorf\u00e4lle bei KRITIS-Betreibern angezeigt wurden. Im Vorjahr waren es laut BSI 252 IT-Sicherheitsvorf\u00e4lle bei KRITIS-Unternehmen, was einem Anstieg von \u00fcber 60 Prozent entspricht!<\/p>\n
Man kommt nicht umhin, sich zu fragen, warum ausgerechnet Betreiber kritischer Infrastrukturen oft erfolgreich angegriffen werden. Leider fehlt es in KRITIS am Wesentlichen: Vorliegendes Datenmaterial ist oft unzureichend, man setzt auf alte Ger\u00e4te, die zum Teil keine Updates mehr erhalten, eine fehlende Routine macht insbesondere multiple Angriffe erfolgreicher und Mitarbeiter werden nicht oder unzureichend geschult. Im Einzelnen:<\/p>\n
Auf die Anfrage der FDP-Bundestagsfraktion konnte das federf\u00fchrende Bundesinnenministerium nur bedingt antworten: So liegt kein Zahlenmaterial dar\u00fcber vor, inwieweit Blaulichtbeh\u00f6rden wie die Feuerwehr oder die Polizei Opfer von IT-Angriffen wurden. Ebenso fehlt es an Zahlenmaterial \u00fcber Ransomware-Angriffe sowie an Statistiken zu etwaig eingeleiteten Ermittlungs- oder Hauptverfahren. Man kann davon ausgehen, dass bei Cyberkriminalit\u00e4t im Allgemeinen, besonders aber bei Attacken auf KRITIS eine gro\u00dfe Dunkelziffer existiert.<\/p>\n
Gerade Kliniken verzeichnen eine immense Anf\u00e4lligkeit ihrer IT-Systeme: Medizinger\u00e4te im Einsatz sind zu Teilen veraltet, Betriebssysteme dementsprechend nicht mehr aktualisierbar. In Produktionsst\u00e4tten liegt das Problem eher in industriellen Kontrollsystemen mit praxisfernen langen Laufzeiten sowie ebenso langen Investitionszyklen. Eine Abh\u00e4ngigkeit von einzelnen Herstellern zeigt sich in der Praxis als genauso problematisch: Die IT-Sicherheitsfunktionalit\u00e4t steht oder f\u00e4llt nach Gutd\u00fcnken der Hersteller \u2013 viele stellen Updates f\u00fcr \u00e4ltere Produkte fr\u00fcher oder sp\u00e4ter ein.<\/p>\n
Immer h\u00e4ufiger gehen Angreifer dazu \u00fcber, m\u00f6glichst viele Endpunkte zu infizieren \u2013 Angriffe sind komplexer geworden. Auch kritische Systeme kann es treffen; etwa Domain-Controller, bei denen Infiltrationen binnen weniger Minuten bis hin zu mehreren Stunden dauern k\u00f6nnen. Schadsoftware wird gerne so konzipiert, dass zun\u00e4chst Vorstufen beim Angriff stattfinden. Diese Vorstufen schalten erst danach an allen kompromittierten Endpunkten scharf. So gelingt es Angreifern, maximalen Schaden beim Opfer anzurichten.<\/p>\n
Die gr\u00f6\u00dfte Schwachstelle in der IT-Sicherheit ist der Mensch \u2013 das ist keine neue Feststellung. Dennoch fehlt es an Fachwissen, Kompetenz und vor allem Routine. Woher sollen Mitarbeiter wissen, was im Falle eines Angriffs zu tun oder zu unterlassen ist?<\/p>\n
Ein Weg, diese Herausforderung zu meistern, ist es, Mitarbeiter zu schulen. Nur wenn Angriffe als solche \u00fcberhaupt erkannt werden, sind Mitarbeiter in der Lage, korrekt zu reagieren. Awareness-Schulungen<\/a> unterst\u00fctzen sowohl den einzelnen Mitarbeiter als auch das gesamte Unternehmen dabei, auf etwaige Angriffe richtig zu reagieren und Schutzma\u00dfnahmen zu ergreifen, bevor es zum Angriff kommt.<\/p>\n Eine Sicherheitsrichtlinie unterst\u00fctzt Mitarbeiter, im Alltag richtig zu handeln. So gelingt es beispielsweise, Personal davon zu \u00fcberzeugen, Privatger\u00e4te nicht als Schatten-IT ins Unternehmensnetzwerk zu holen. Weiter gibt die Sicherheitsrichtlinie Auskunft, welche Schritte im Falle eines Angriffs zu erledigen sind.<\/p>\n Um die Routine herzustellen, bieten sich Sicherheits- und Rollenspiele an. In solchen Probel\u00e4ufen erf\u00e4hrt Ihr Team, wie es sich im Falle eines Angriffs richtig verh\u00e4lt. Derartige \u00dcbungen helfen au\u00dferdem beim Identifizieren noch vorhandener Schwachstellen in der Sicherheitsstrategie des Unternehmens.<\/p>\n Penetrationstests haben sich als pr\u00e4ventives Mittel gegen Cyberangriffe bew\u00e4hrt. Zwar haben sie im Wortlaut keinen Einzug in die Gesetzgebung gefunden, jedoch kann man Hinweise zwischen den Zeilen sowohl der DSGVO als auch dem IT-Sicherheitsgesetz und den BSI-Empfehlungen entnehmen. So fordert \u00a7 32 Abs. 1 d DSGVO<\/a> f\u00fcr die Sicherheit der IT \u201eein Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen zur Gew\u00e4hrleistung der Sicherheit der Verarbeitung\u201c. Penetrationstests leisten exakt dies.<\/p>\n Das IT-Sicherheitsgesetz, welches 2015 \u00fcberarbeitet wurde, verpflichtet KRITIS-Betreiber dar\u00fcber hinaus, die hauseigenen Netze gegen Cyberattacken zu st\u00e4rken. Dazu sollen geeignete Ma\u00dfnahmen ergriffen werden, zu denen auch Penetrationstests z\u00e4hlen. Auch die KRITIS-Betreiber treffenden BSI-Verordnungen regen zu Penetrationstests an. F\u00fcr die Finanzindustrie gelten die PCI-Standards. Hier werden j\u00e4hrliche Penetrationstests bereits vorgeschrieben.<\/p>\n Wird IT-Sicherheit als iterativer Prozess begriffen, wird schnell klar, dass dieser Prozess genauso dynamisch sein muss wie die M\u00f6glichkeiten der Cyberkriminellen es sind. Nahezu t\u00e4glich werden neue Schwachstellen bekannt, bei denen niemand sagen kann, wie lange sie Cyberkriminellen schon bekannt sind. Es ist mehr als sinnvoll, Penetrationstests in zeitlich festgelegten Intervallen zu wiederholen und die Resilienz der IT-Infrastrukturen immer neu zu pr\u00fcfen. Mit diesem Vorgehen wird IT-Sicherheit zum Bestandteil Ihrer Unternehmensstruktur; sie wird nicht mehr als \u201eGeldfresser\u201c angesehen, sondern als Wettbewerbsvorteil, als sichere Investition in die Zukunft des Unternehmens.<\/p>\n Die Bundesregierung hat also erkannt, dass KRITIS-Betreiber Nachholbedarf haben und dass auch die gesetzliche Seite angepasst geh\u00f6rt. Deshalb m\u00f6chte man seit 2018 das IT-Sicherheitsgesetz anpassen. Ein dritter Entwurf sorgt nun nicht nur f\u00fcr rege Diskussionen, sondern auch f\u00fcr gro\u00dfen Unmut \u2013 allem voran aufgrund dieser Punkte:<\/p>\n Das sogenannte UP KRITIS ist eine \u00f6ffentlich-private Kooperation zwischen verschiedenen KRITIS-Betreibern, entsprechenden Verb\u00e4nden und den zust\u00e4ndigen staatlichen Stellen. F\u00fcr die Neuauflage des IT-Sicherheitsgesetzes, also dem IT-Sicherheitsgesetz 2.0, unterbreitete UP KRITIS verschiedene Vorschl\u00e4ge, die komplett ignoriert worden seien. Gew\u00fcnscht war hier eigentlich ein kontinuierlicher Austausch zur Weiterentwicklung des IT-Sicherheitsgesetzes. Das Deutsche Verkehrsforum (DVF) kritisierte die Art und Weise, wie das BMI betroffene Verb\u00e4nde wie den DVF einband. Nach Erhalt des Entwurfs hatten diese lediglich einen Tag Zeit, um den Entwurf nicht nur zu lesen, sondern auch darauf zu reagieren.<\/p>\n Seitens des DVF hei\u00dft es: \u201eEs findet jedoch kein Austausch statt. Vielmehr arbeiten die IT-Experten der 14 beteiligten Branchen den staatlichen Stellen zu, ohne dass die gemeinsamen Vorschl\u00e4ge von Wirtschaft und Verwaltung Geh\u00f6r finden. Damit steht der kooperative Ansatz von UP KRITIS auf der Kippe\u201c.<\/p>\n Im dritten Referentenentwurf vom IT-Sicherheitsgesetz 2.0 hat das BMI auch das Zulassungs- bzw. Ausschlussverfahren kritischer Komponenten konkretisiert. Das BMI kann demnach Betreibern kritischer Infrastrukturen untersagen, kritische Komponenten einzusetzen, wenn dies \u00f6ffentliche Interessen bzw. sicherheitspolitische Belange notwendig machen.<\/p>\n Hei\u00dft f\u00fcr die Praxis: Bevor KRITIS-Betreiber kritische Komponenten einsetzen k\u00f6nnen, m\u00fcssen sie dieses Vorhaben beim BMI anzeigen. Binnen eines Monats muss dann eine Entscheidung getroffen werden \u2013 einvernehmlich mit dem betroffenen Ressort. Dies w\u00e4re im Sektor Mobilfunk beispielsweise das Bundeswirtschaftsministerium (BMWi). Haben Entscheiden au\u00dfenpolitische Wirkung, so ist das Ausw\u00e4rtige Amt einer der Entscheidungstr\u00e4ger. L\u00e4sst sich keine Einigung erzielen, m\u00f6chte man einen Eskalationsmechanismus aufsetzen, sodass das Kabinett gemeinsam ber\u00e4t.<\/p>\n Das BSI erh\u00e4lt mit dem IT-Sicherheitsgesetz 2.0 neue Befugnisse: Es darf hacken und muss Sicherheitsl\u00fccken nicht zwangsl\u00e4ufig ver\u00f6ffentlichen. So soll das BSI aktiv nach unsicheren Ger\u00e4ten suchen. Mitarbeiter des BSI d\u00fcrfen sich dann mit unsicheren Passw\u00f6rtern wie \u201eadmin\u201c oder \u201e0000\u201c anmelden. Damit Betroffene von Sicherheitsl\u00fccken bzw. \u2013vorf\u00e4llen benachrichtigt werden k\u00f6nnen, bekommt das BSI dar\u00fcber hinaus das Recht, Bestandsdaten wie Name oder Adresse bei Telekommunikationsanbietern abzufragen. Der letzte Entwurf des IT-Sicherheitsgesetzes enth\u00e4lt den Hinweis, dass zur Bestandsdatenauskunft die letzte Entscheidung des Bundesverfassungsgerichts beachtet werden muss.<\/p>\n Ein Passus des Entwurfs f\u00fcrs IT-Sicherheitsgesetz 2.0 ist extrem umstritten: Das BSI darf Informationen \u00fcber ihm bekannte Sicherheitsl\u00fccken zur\u00fcckhalten, \u201esoweit entdeckte Sicherheitsl\u00fccken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegen\u00fcber Dritten zur Vertraulichkeit verpflichtet ist\u201c. So soll gew\u00e4hrleistet werden, dass die Geheimdienste sowie die Polizei Zero-Day-Exploits weiter f\u00fcr eigene Zwecke nutzen kann.<\/p>\n Weiter erm\u00e4chtigt das IT-Sicherheitsgesetz 2.0 das BSI, freiwillige IT-Sicherheitskennzeichen einzuf\u00fchren. Ein solches Kennzeichen besteht aus \u201eeiner Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt f\u00fcr eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erf\u00fcllt\u201c, dar\u00fcber hinaus aus einer \u201eInformation des Bundesamtes \u00fcber sicherheitsrelevante IT-Eigenschaften des Produktes\u201c. Aussagen \u00fcber den Datenschutz von Produkten oder Dienstleistungen werden mit diesem IT-Sicherheitskennzeichen jedoch nicht getroffen. Ein solches freiwilliges IT-Sicherheitskennzeichen klingt beim ersten H\u00f6ren gar nicht so schlecht. Aber: das ist ein erneuter nationaler Alleingang, der die Wirksamkeit europ\u00e4ischer Bestimmungen besch\u00e4digen k\u00f6nnte. Neben einem erh\u00f6hten Aufwand f\u00fcr Unternehmen ist auch Verbrauchern nur bedingt geholfen, wenn eine immer gr\u00f6\u00dfer werdende Zahl an G\u00fctesiegeln eher Verwirrung stiftet.<\/p>\n Kommunizieren B\u00fcrger und Verwaltungseinrichtungen bzw. Parlamentarier online miteinander, k\u00f6nnen vom BSI anfallende Protokolldaten inklusive pers\u00f6nlicher Nutzerinformationen wie IP-Adresse zw\u00f6lf Monate lang gespeichert und ausgewertet werden. Das BSI darf interne Protokollierungsdaten aus allen Beh\u00f6rden als Aufzeichnung \u00fcber die Art der IT-Nutzung zur Gefahrenabwehr f\u00fcr die bundesinterne Kommunikationstechnik verarbeiten. Dies soll dazu f\u00fchren, dass Trojaner wie Emotet oder komplexe Angriffe besser erkannt werden.<\/p>\n Auch am aktuellen Entwurf des IT-Sicherheitsgesetzes wird \u2013 wie schon bei fr\u00fcheren Entw\u00fcrfen \u2013 kritisiert, dass keine Evaluation des 2015 verabschiedeten Ursprungsgesetz erfolgte. So fehlt es an Transparenz und Nachvollziehbarkeit der Bestimmungen.<\/p>\n Kritiker erkl\u00e4ren zudem, dass die Bu\u00dfgeldregelungen die der DSGVO kopieren w\u00fcrden. Man kommt nicht umhin, sich zu fragen, ob hier eigene \u00dcberlegungen nicht besser w\u00e4ren. Die DSGVO soll das Recht auf informationelle Selbstbestimmung des B\u00fcrgers sowie dessen Datenschutz st\u00e4rken, das IT-Sicherheitsgesetz 2.0 die IT-Sicherheit der KRITIS-Betreiber. Beides mit demselben Ma\u00df zu bemessen, wirkt un\u00fcberlegt.<\/p>\n Seit gut zwei Jahren wird am IT-Sicherheitsgesetz 2.0 gearbeitet, viele Entw\u00fcrfe zogen schon Kritiker auf den Plan. Klar wird schon jetzt, dass sowohl die Hersteller als auch die Betreiber k\u00fcnftig verst\u00e4rkt in die Pflicht genommen werden. Es stellt sich jedoch die Frage nach der Verh\u00e4ltnism\u00e4\u00dfigkeit diverser Passus. Hier gibt es noch gro\u00dfen Diskussionsspielraum.<\/p>\n Bevor das IT-Sicherheitsgesetz 2.0 den Bundestag passiert, ist eine dreimonatige Notifizierungsfrist auf EU-Ebene einzuhalten (Stand: 12\/2020, Quelle: Golem.de<\/a>). Vorher seien ein erstes Verlesen des Entwurfs sowie parlamentarische Beratungen angesetzt. Laut Golem-Informationen zeigt sich das Ministerium \u201ezuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden k\u00f6nne\u201c.<\/p>\nPenetrationstests und mehr Aufmerksamkeit sind gefordert<\/h2>\n
Schafft das IT-Sicherheitsgesetz 2.0 Abhilfe?<\/h2>\n
BMI ignoriert Vorschl\u00e4ge der Experten<\/h3>\n
Innenministerium kann Technik-Einsatz untersagen<\/h3>\n
IT-Sicherheitsgesetz 2.0: BSI erh\u00e4lt Sonderrechte<\/h3>\n
12-monatige Speicherzeit f\u00fcr Protokolldaten<\/h3>\n
Fehlende Evaluation und horrende Bu\u00dfgelder<\/h3>\n
IT-Sicherheitsgesetz 2.0: Unklare Zukunft f\u00fcr die IT-Sicherheit<\/h2>\n