Betreibende kritischer Infrastrukturen \u2013 kurz: KRITIS \u2013 geraten immer h\u00e4ufiger ins Visier von Cyberkriminellen: Zu alt ist die technische Ausstattung in Hard- und Software, zu ungeschult sind die Mitarbeitenden und zu unsicher die verwendeten Schutzma\u00dfnahmen. Auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) wei\u00df um diese Probleme. Schon seit Jahren werden KRITIS vom BSI dabei unterst\u00fctzt, einen Grundschutz aufzubauen. Das BSI hat nun beschlossen, KRITIS in der IT-Sicherheit weiter zu unterst\u00fctzen und aktualisierte entsprechende Dokumente. Im heutigen Beitrag stellen wir Ihnen die M\u00f6glichkeiten vor, die das BSI Ihnen zur H\u00e4rtung Ihrer IT an die Hand gibt, und blicken auch auf hilfreiche Dienstleistungen aus unserem eigenen Portfolio.<\/p>\n
In den vergangenen Jahren wurde immer wieder sp\u00fcrbar, wie KRITIS-Betreibende immer weiter in den Fokus von Cyberkriminellen r\u00fccken:<\/p>\n
Vier Beispiele von vielen: J\u00fcngst wurden binnen zwei Wochen drei gro\u00dfe Institutionen angegriffen \u2013 neben dem Klinikum in Wolfenb\u00fcttel auch die Stadtverwaltungen in Geisenheim und Anhalt-Bitterfeld. Die Landkreisverwaltung Anhalt-Bitterfeld hatte es am 06. Juli 2021 getroffen. Erst ab dem 19. Juli stand die Notinfrastruktur bereit \u2013 der Landrat hatte sogar den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen. Durch den Ransomware-Befall habe man keine Zahlungen mehr leisten k\u00f6nnen. Landrat Andy Grabner \u00e4u\u00dferte sich im ZDF dazu, dass es noch bis zu einem halben Jahr dauern k\u00f6nne, bis man sich von dieser Katastrophe vollst\u00e4ndig erholt habe.<\/p>\n
Das seit Juli 2015 g\u00fcltige Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz oder IT-SiG) wurde eingef\u00fchrt, um die IT-Systeme und digitalen Infrastrukturen abzusichern. Mit dem IT-SiG sollten die Verf\u00fcgbarkeit sowie die Sicherheit der IT-Systeme insbesondere bei KRITIS-Betreibenden gew\u00e4hrleistet werden. Das Gesetz f\u00fchrt dazu, dass KRITIS-Betreibenden, etwa aus den Sektoren IT und Telekommunikation, Transport und Verkehr, Energie, Gesundheit, Wasser, Finanz- und Versicherungswesen oder Ern\u00e4hrung, ein Mindestniveau an IT-Sicherheit einhalten m\u00fcssen. Erhebliche St\u00f6rungen m\u00fcssen zudem ans BSI gemeldet werden.<\/p>\n
Eine Aktualisierung erfuhr das Gesetz erst j\u00fcngst: Mit dem 07. Mai 2021 billigte der Bundesrat das \u201eZweite Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme\u201c, kurz: IT-Sicherheitsgesetz 2.0. Verabschiedet wurde das Gesetz im Bundestag bereits am 23. April 2021, au\u00dferdem wurde es bereits im Bundesgesetzblatt ver\u00f6ffentlicht.<\/p>\n
Inhalt des erg\u00e4nzenden BSI-Gesetzes und der KRITIS-Verordnung sind mitunter, dass Betreibende kritischer Infrastrukturen entsprechende Nachweise zum Stand der Technik ihrer IT-Sicherheitsma\u00dfnahmen erbringen m\u00fcssen. F\u00fcr zahlreiche KRITIS-Betreibende steht oder stand in diesem Sommer der zweite Nachweiszyklus an. P\u00fcnktlich dazu hat das BSI gleich mehrere Dokumente auf der hauseigenen Website aktualisiert. Optimiert wurden anhand der Erfahrungen der vergangenen Jahre mitunter die Nachweisformulare sowie der Einreichungsprozess:<\/p>\n
Das Formular P fasst verschiedene alte Formulare, n\u00e4mlich PD, PE sowie PS, zusammen. Das BSI hat die Orientierungshilfe zu Nachweisen sowie die Orientierungshilfe zu Inhalten und Anforderung an branchenspezifische Sicherheitsstandards (B3S) \u00fcberarbeitet. F\u00fcr derzeit m\u00f6gliche Remote-Pr\u00fcfungen, die speziellen Dokumentationspflichten unterliegen, existiert eine Muster-M\u00e4ngelliste.<\/p>\n
Das BSI hat die neuen Dokumente durch weitere \u201eWas haben wir gelernt?\u201c-Dokumente erg\u00e4nzt, etwa \u00fcber Nachweispr\u00fcfungen im Finanz- und Versicherungswesen. Zur Verbesserung der Nachweisqualit\u00e4t plant der KRITIS-Fachbereich des BSI drei Initiativen: Anforderungen im Nachweisprozess werden \u00fcbergreifender formuliert, f\u00fcr ausgew\u00e4hlte KRITIS-Branchen wird es Konkretisierungen zum Stand der Technik geben und Pr\u00fcfer sollen in ihren KRITIS-spezifischen Qualifikationen gef\u00f6rdert werden.<\/p>\n
Die oben genannten konkreten IT-Sicherheitsvorf\u00e4lle sowie die steigende Anzahl an Angriffen sollten KRITIS-Betreibenden wirklich zu denken geben. Strukturelle Probleme und Herausforderungen wie veraltete Software sind langfristige Herausforderungen, die angegangen werden m\u00fcssen. Genauso herausfordernd ist jedoch, die Mitarbeitenden mitzuziehen: Noch immer fehlt es an Problembewusstsein. Dieser Herausforderung k\u00f6nnen KRITIS-Betreibende jedoch schneller begegnen als anderen, denn Awareness-Schulungen sensibilisieren Mitarbeitende<\/a> und machen sie zum essentiellen Bestandteil der Sicherheitsstrategie. Unsere Cyber Security-Schulung<\/a> ist ebenfalls perfekt zur Sensibilisierung Ihrer Mitarbeitenden.<\/p>\n Informationssicherheitsmanagement nach Vorgaben des BSI ist im IT-Grundschutz zu finden. Das IT-Grundschutz-Zertifikat basiert auf der ISO\/IEC 27001 und schafft Vertrauen. Gleichzeitig gelingt so der Nachweis, den KRITIS-Betreibende laut IT-Sicherheitsgesetz, dem BSI-Gesetz und der KRITIS-Verordnung erbringen m\u00fcssen. Selbstredend bieten wir auch Schulungen im IT-Grundschutz<\/a>.<\/p>\n Gerade f\u00fcr Mitarbeitende im KRITIS-Sektor bieten sich auch unsere ISO\/IEC 27001-Zertifizierungskurse<\/a> an: Mittels ISO 27001-Zertifikat weisen KRITIS-Betreibende nach, dass sie mindestens den IT-Grundschutz einhalten. Mit der ISO 27001-Zertifizierung wird die Informationssicherheit eines Managementsystems nachgewiesen und Sie steigern Ihr Sicherheitsniveau massiv.<\/p>\n Gehen Sie Herausforderungen dieser Art zeitnah an, um den Pr\u00fcfungen standzuhalten und vor allem um etwaige IT-Sicherheitsvorf\u00e4lle effizient zu verhindern. Haben Sie Fragen zu unseren Schulungen, den Anforderungen an KRITIS-Betreibende oder zu sonstigen IT-Sicherheitsthemen, sind unsere zertifizierten Experten gerne pers\u00f6nlich f\u00fcr Sie da. Treten Sie einfach in Kontakt<\/a> mit uns \u2013 wir freuen uns auf Sie!<\/p>\n