Kritische Infrastruktur steht verstärkt im Fadenkreuz. Dabei können Angriffe nicht nur ernste Konsequenzen für Betreiber selbst, sondern für die ganze Gesellschaft haben. Was ändert sich durch das IT-Sicherheitsgesetz 2.0? Wozu sind KRITIS-Betreiber verpflichtet? Und was gibt es speziell für die Operational Technology (OT) zu beachten?

Vor allem in Krisenzeiten nutzen Kriminelle die gestiegene Verunsicherung aus, um mit erbeuteten Zugangsdaten IT- und OT-Netze zu kompromittieren oder durch Ransomware Lösegeld zu erpressen. So müssen KRITIS-Betreiber mehr denn je für „cybersichere“ Systeme sorgen. Aber auch der Gesetzgeber ist gefordert, rechtliche Standards zu schaffen, die es für abgesicherte kritische Infrastrukturen und ein erhöhtes Cyber-Security-Niveau braucht.

Was ist das IT-Sicherheitsgesetz 2.0?

Das seit Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“. Es verpflichtet Betreiber kritischer Infrastrukturen, ihre Cybersicherheit weiter zu erhöhen: Spätestens bis zum 1. Mai 2023 müssen KRITIS-Unternehmen im Bereich der IT wie auch OT ein „System zur Angriffserkennung“ (SzA) einsetzen und dies dem BSI (Bundesamt für Informationstechnik) nachweisen. Zu den Kernpunkten des Gesetzes zählt die Stärkung:

  • der Kompetenzen des BSI,
  • des Verbraucherschutzes,
  • der unternehmerischen Vorsorgepflicht,
  • der staatlichen Schutzfunktion und
  • die zusätzliche Überarbeitung von Bußgeldvorschriften.

Wer ist vom IT-SiG 2.0  betroffen?

Zuerst einmal sind alle Unternehmen und Organisationen betroffen, die kritische Infrastrukturen betreiben. Dazu gehören die Sektoren Energie, Wasser, Transport, Verkehr, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Telekommunikation und Informationstechnik. Mit dem IT-SiG 2.0 neu hinzugekommen ist die Siedlungsabfallentsorgung.

Zusätzlich müssen nun auch Unternehmen des besonderen öffentlichen Interesses (UBI/UNBÖFI) und deren Zulieferer das IT-Sicherheitsgesetz 2.0 einhalten. Dazu zählen unter anderem Hersteller und Entwickler von Gütern gem. § 60 Abs. 1 Nr. 1-5 Außenwirtschaftsverordnung wie z. B. Verarbeiter staatlicher Verschlusssachen, Hersteller von IT-Produkten und Unternehmen der Rüstungsindustrie.

Welche Pflichten müssen KRITIS-Betreiber jetzt einhalten?

System zur Angriffserkennung: Der Einsatz von Systemen und Prozessen zur Angriffserkennung wird verpflichtend – etwa durch OT Detection speziell für den Bereich der Betriebstechnologie sowie ein SIEM (Security Information and Event Management) oder SOC (Security Operations Center), in welchem die erkannten Anomalien mit dem nötigen Prozess-Know-how weiteranalysiert werden.

Genehmigte Komponenten: Alle KRITIS-Betreiber müssen dem Innenministerium den Einsatz von kritischen Komponenten (IT-Produkte mit kritischen Funktionen) anzeigen und sich diese genehmigen lassen.

Verschärfte Meldepflichten: Unter anderem müssen KRITIS-Betreiber dem BSI sämtliche Informationen zur Bewältigung erheblicher Störungen mitsamt den betroffenen personenbezogenen Daten zur Verfügung stellen.

Verpflichtende Registrierung: KRITIS-Betreiber müssen sich unmittelbar beim BSI registrieren bzw. darf das BSI Betreiber auch selbst registrieren und bei Bedarf bestimmte Unterlagen einblicken. Zusätzlich muss eine interne Kontaktstelle benannt werden.

Wie werden Verstöße sanktioniert?

Vorsätzliche oder fahrlässige Verstöße können hohe Geldbußen nach sich ziehen. Dabei wurden die Strafen für die im IT-SiG 2.0 definierten Ordungswidrigkeiten tatbestandsabhängig auf vier Stufen zwischen 100.000 € bis 20 Mio. € (bei Verfahren gegen juristische Personen) erhöht – wie etwa bei:

  • Zuwiderhandlung gegen eine Anordnung des BSI auf Abstellung eines Sicherheitsmangels: bis zu 20 Mio. €
  • Nachweisnichterbringung: bis zu 10 Mio. €
  • Nichtumsetzung der Vorkehrungen: bis zu 10 Mio. €
  • Nichtregistrierung: bis zu 500.000 €
  • Nichtmeldung von Störfällen: bis zu 500.000 €
  • Nichterreichbarkeit der Kontaktstelle: bis zu 100.000 €

Wie ist ein „System zur Angriffserkennung“ definiert?

Mit dem geänderten Paragrafen §8a (1a) des IT-SiG 2.0 gehören „Systeme zur Angriffserkennung“ nun zu den organisatorischen und technischen Sicherheitsvorkehrungen, die ab dem 1. Mai 2023 verpflichtend einzuhalten sind.

Konkret besagt der §8a (1a), dass „… die eingesetzten Systeme zur Angriffserkennung geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten müssen. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“

Was ein SzA für die OT von KRITIS-Unternehmen leisten muss

Bedeutet für die Operational Technology von KRITIS-Unternehmen: Um fortwährend Bedrohungen zu identifizieren und abzuwehren, müssen die Fernwirk-, Prozessleit- und Netzleittechnik der OT zwingend in das SzA eingebunden sein. Es geht darum, für die Blackbox der Operational Technology eine höchstmögliche Sichtbarkeit herzustellen, um schnellstmöglich Schwachstellen und Anomalien festzustellen.

Ein Security Information & Event Management (SIEM) System allein reicht hier nicht aus. Vielmehr braucht es ein durchgehendes Angriffserkennungssystem, das neben der IT auch die OT mit einem dedizierten Monitoring berücksichtigt, Anomalien in industriellen Netzwerken erkennt, einordnet und an das SIEM oder SOC meldet. Konkret spricht man hier von OT Detection oder auch OT Network Monitoring mit Anomalieerkennung.

Wie OT Detection in industriellen Netzwerken funktioniert

Was befindet sich in meinem Netzwerk? Wer kommuniziert mit wem? Befinden sich nur legitimierte Geräte im Netzwerk? Und dürfen diese miteinander kommunizieren? Diese Fragen lassen sich bei der OT Detection durch passives oder aktives Security Monitoring beantworten. Kommt es zu ungewöhnlichem Verhalten (Anomalien), können die entsprechenden Alarme zentral an ein SIEM oder SOC weitergegeben werden.

Passives Security Monitoring: Hier wird der Netzwerkverkehr rückwirkungsfrei gesammelt und analysiert. Durch das Korrelieren von Events lassen sich Anomalien erkennen. Auch wird jedes neu mit dem Netzwerk verbundene Gerät registriert und überwacht.

Aktives Security Monitoring: Durch Netzwerk-Scans werden verbundene Geräte und Endpunkte systematisch auf Schwachstellen, Schadsoftware und Fehlkonfigurationen untersucht. Dabei ist in OT/ICS Umgebungen darauf zu achten, dass die zusätzliche Last vor allem bei älterem Equipment keine Ausfälle verursacht. Im Idealfall führt man die Scans daher während geplanten Stillständen oder vorab in einer Testumgebung durch.

Wie lässt sich der Aufwand schultern?

Klar ist: Unternehmen und Organisationen, die kritische Infrastrukturen betreiben, stehen mit dem IT-SiG 2.0 vor neuen Herausforderungen. Besonders im Bereich der OT sind die Anforderungen komplex und die Umsetzung bringt einen erhöhten organisatorischen, finanziellen wie auch personellen Aufwand mit.

Falls Sie sich nicht sicher sind, sollten Sie sich zunächst in der KRITIS-Verordnung (BSI-KritisV) vergewissern, ob Sie zu den betroffenen Kritischen Infrastrukturen gehören. Dazu empfehlen wir, sich frühzeitig mit den geänderten Regularien auseinanderzusetzen. Dabei können Sie sicher sein, dass wir Sie bei Bedarf mit unserer Expertise unterstützen, die Vorgaben des IT-Sicherheitsgesetzes 2.0 zu erfüllen.