Das Bundeskabinett hat den Entwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) verabschiedet. Insbesondere für Unternehmen aus dem Sektor der kritischen Infrastruktur (KRITIS) – also auch Energieversorger - bedeutet dies eine Anpassung der eigenen IT-Sicherheitsstrategien. Unternehmen sind nun dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Eine große IT-technische Herausforderung ist dabei der Einsatz eines Monitoring-Systems.
Das IT-Sicherheitsgesetz 2.0 soll die IT-Sicherheit in Deutschland weiter verbessern und Cyberkriminalität verhindern. Die Überarbeitung der ersten Version aus dem Jahr 2015 sieht zusätzliche Maßnahmen zum Verbraucherschutz, zum Schutz des Staates sowie der öffentlichen IT vor und weitet vor allem die Aufsichtsfunktion des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus.
Zentrale Elemente des IT-Sicherheitsgesetz 2.0
In der Zukunft wird das Thema Verbraucherschutz stärker in den Verantwortungsbereich des BSI fallen. Darüber hinaus soll das BSI mit der Einführung eines IT-Sicherheitskennzeichens die IT-Sicherheit von Produkten transparenter gestalten. Somit dürfen künftig nur Komponenten von Herstellern verbaut werden, die eine Vertrauenswürdigkeitserklärung abgegeben haben und über dieses BSI-Sicherheitskennzeichen verfügen. Außerdem kann das BSI Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen. Auch von einer stärkeren Zusammenarbeit von BSI und Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz verspricht sich der Gesetzgeber mehr Sicherheit.
Der neue Gesetzesentwurf erweitert zudem die Liste der kritischen Sektoren und nimmt die neue Kategorie „Infrastrukturen mit besonderem öffentlichem Interesse“ in den erweiterten KRITIS-Anwendungsbereich auf. Dazu zählen auch die Rüstungsindustrie und Unternehmen von erheblicher volkswirtschaftlicher Bedeutung.
Betreiber kritischer Infrastrukturen (KRITIS) werden im Rahmen des IT-Sicherheitsgesetzes 2.0 künftig unter anderem dazu verpflichtet, zur Steigerung ihres Schutzes vor Hackerattacken Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Zusätzlich sieht das IT-Sicherheitsgesetz 2.0 einen deutlich erhöhten Bußgeldrahmen für Verstöße vor: So werden im Einzelfall künftig Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig.
Handlungsbedarf für Unternehmen infolge der zusätzlichen Anforderungen
Die zusätzlichen Anforderungen gelten auch für Energieunternehmen und sollten zeitnah umgesetzt werden. Eine große IT-technische Herausforderung ist dabei der Einsatz eines Monitoring-Systems, welches Protokolldaten aus den unterschiedlichen Infrastruktur-Komponenten innerhalb von IT und OT - wie Anlagen - sammelt und durch Filterung und Korrelation automatisiert Angriffe erkennt und meldet. Nur so können schnell Gegenmaßnahmen eingeleitet und der unbefugte Zugriff auf IT-Systeme verhindert werden. Eine technische Lösung ist der Einsatz eines Security Incident & Event Management Systems (SIEM). Um die Angriffserkennung („Detect“) und die Abwehr („Respond“) zu unterstützen, ist auch die Integration des SIEM in ein übergeordnetes Security Operations Center (SOC) möglich. Dort wird die reine Monitoring-Technologie des SIEM ergänzt um eine tiefer gehende forensische Analyse der Auffälligkeiten sowie um eine strukturierte Abwehrreaktion.
Für die Konzeption und Umsetzung eines Monitoring-Systems stellen sich unterschiedliche Fragen, welche vor der Implementierung beantwortet werden müssen:
- Welche Monitoring-Strategie wird gewählt und wie bettet sich diese in die IT-Sicherheitsstrategie Ihres Unternehmens ein?
- Welche Assets sind sowohl in der IT als auch in der OT vorhanden und welche sollen Bestandteil eines Monitorings sein?
- Wie sehe mögliche Detektions-Szenarien für das Monitoring-System aus?
- Erfolgt die Implementierung und der Betrieb des Systems in Eigenleistung oder wird der Betrieb des Systems an einen externen Serviceanbieter vergeben?
- Wie erfolgt die Integration in die IT-Infrastruktur?
Ganzheitlicher Rahmen für IT-Sicherheit
Die Entscheidung darüber, wie gut IT-Systeme gegen Cyberangriffe geschützt sind, ist nun nicht mehr allein den Unternehmen überlassen. Die Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz 2.0 bedarf deshalb nicht nur einer guten Konzeption, sondern ist durchaus zeitkritisch. Die Erfüllung der auferlegten Pflichten bietet den Unternehmen aber auch Chancen: das Thema IT-Sicherheit und Cybersecurity ganzheitlich anzugehen.
