[datensicherheit.de, 30.04.2025] In seiner Presseinformation zum mitunterzeichneten Statement der Nationalen Plattform Resilienz mit Kernforderungen an die neue Bundesregierung wies der Deutsche Verein des Gas- und Wasserfaches e. V. (DVGW) Anfang März auf die Notwendigkeit einer engen Verzahnung bestehender Gesetze zum Schutz Kritischer Infrastrukturen hin: Energie- und Wasserversorgungssysteme abzusichern, ist eine zentrale Aufgabe. Die zunehmende Zahl von immer komplexeren Angriffen auf die IT-Sicherheit ist Anlass zu großer Sorge.

Cyberbedrohungen im Wassersektor immer komplexer

Tatsächlich sehen sich die Akteure des Wassersektors immer komplexeren und ausgefeilteren Cyberbedrohungen gegenübergestellt. Obwohl bereits Anstrengungen unternommen wurden, müssen die Organisationen ihre Abwehrstrategien entsprechend der Kritikalität ihrer Tätigkeit verstärken. Wasser ist eine lebenswichtige, kritische Ressource. Ein erfolgreicher Angriff kann schwerwiegende Folgen haben, wenn er beispielsweise zu Versorgungsunterbrechungen oder zur Verunreinigung von Trinkwasser führt.

Veralterung der Komponenten und Architekturen

Dieser Sektor ist Cyberangriffen besonders ausgesetzt, was auf die verteilte Natur des Netzes, aber auch auf die Obsoleszenz bestimmter Systeme und den Mangel an Investitionen in die Cybersicherheit zurückzuführen ist. Die Infrastrukturen verwenden manchmal veraltete Betriebssysteme und industrielle Systeme, die vor 20 oder 30 Jahren entwickelt wurden. Diese Veralterung der Komponenten und Architekturen ist oft gleichbedeutend mit zahlreichen Schwachstellen. Darüber hinaus erweitert die zunehmende Digitalisierung der Infrastrukturen mit der Integration von vernetzten Objekten, ja sogar des IIoT (Industrial Internet of Things), die potenziellen Angriffsvektoren und macht diese Anlagen noch anfälliger für Cyberbedrohungen. Eine weitere Schwachstelle betrifft insbesondere kleine und mittlere Gebietskörperschaften, denen die Mittel fehlen, um die Implementierung der Cybersicherheit ihrer Systeme zu bewältigen. Dadurch stehen sie in diesem Bereich teilweise ohne Ansprechpartner da und den Cyberbedrohungen hilflos gegenüber.

Verschärfte Behördenanforderungen an die Cybersicherheit

In diesem Zusammenhang verschärfen die Behörden schrittweise die Anforderungen an die Cybersicherheit für kritische Infrastrukturen, einschließlich denen des Wassersektors. Die europäische NIS2-Richtlinie, die in Deutschland voraussichtlich erst im Herbst 2025 umgesetzt wird, dürfte die Wasserwirtschaftsorganisationen zur Einführung verstärkter Maßnahmen in den Bereichen Governance, Verteidigung, Schutz und Resilienz gegenüber Cyberbedrohungen verpflichten.

Uwe Gries, Country Manager DACH bei Stormshield, Bild: Stormshield

In Erwartung dessen ist es über die notwendige Konformität hinaus bereits möglich, bestimmte Ansätze zu verfolgen, um sich vor Cyberbedrohungen zu schützen. Die Akteure des Wassersektors können beispielsweise den Empfehlungen des DVGW zur Verbesserung ihres Sicherheitsniveaus folgen, aber auch denen des BSI, etwa bezüglich der tiefgreifenden Verteidigung. Dieser Ansatz basiert auf mehreren Schlüsselprinzipien, insbesondere dem der Netzwerksegmentierung, die es ermöglicht, die verschiedenen Systeme zu unterteilen, um die Ausbreitung eines Angriffs durch die Isolierung von Subsystemen zu begrenzen. Dies beinhaltet die Trennung zwischen IT- und OT-Netzwerken, wobei letztere die operativen Systeme umfassen, die Geräte steuern. Die Segmentierung kann allerdings auch intern innerhalb der operativen Infrastrukturen erfolgen.

Andererseits ermöglicht die Implementierung von speziell für industrielle Umgebungen entwickelten, gehärteten Firewalls und Systemen zur Identifizierung von Anomalien, jeden Manipulationsversuch von Netzwerkprotokollen oder Befehlen zu erkennen. Diese verstärkte Überwachung trägt dazu bei, die Integrität der Prozesse zu gewährleisten und potenzielle Bedrohungen zu antizipieren. Die Industrie muss schrittweise sicherere Lösungen einführen und gleichzeitig die Prinzipien der Cybersicherheit in jede betriebliche Phase integrieren. Dies erfordert eine kontinuierliche Modernisierung der Infrastrukturen und eine regelmäßige Aktualisierung der Systeme.

Betreiberschulung in Best Practices der Cybersicherheit

Darüber hinaus müssen die Betreiber solcher Infrastrukturen in den Best Practices der Cybersicherheit geschult werden, um bei einem Vorfall effektiv reagieren zu können. Sensibilisierung ist entscheidend, um eine Cybersicherheitskultur zu entwickeln und die Widerstandsfähigkeit gegenüber Angriffen zu verbessern.

Die Modernisierung der Systeme, die Segmentierung der Netzwerke, der Einsatz fortschrittlicher Überwachungslösungen und die kontinuierliche Schulung sind wesentliche Hebel zur Stärkung der Widerstandsfähigkeit gegenüber Angriffen. Dazu gehört die Intensivierung aller ergriffenen Initiativen, um einen wirksamen Schutz dieser lebenswichtigen Ressource zu gewährleisten. Ein proaktiver und kollaborativer Ansatz zwischen öffentlichen und privaten Akteuren ist unerlässlich, um diesen Herausforderungen zu begegnen sowie die Dienstkontinuität der Wasser- und Abwasserwirtschaft in einem sich ständig weiterentwickelnden digitalen Umfeld sicherzustellen – auch angesichts allgegenwärtiger Cyberbedrohungen.

Weitere Informationen zum Thema:

Stormshield
Vertrauenswürdige Europäische Cyber-Sicherheit

[datensicherheit.de, 22.04.2025] Der TÜV NORD nimmt Stellung zu dem Anliegen, Deutschland besser auf Katastrophen und Sicherheitsrisiken vorzubereiten. 2024 wurde hierzu der Entwurf eines Gesetzes zur Stärkung der Resilienz Kritischer Infrastruktur (KRITIS), das sogenannte KRITIS-Dachgesetz, auf den Weg gebracht. Nun sei die neue Regierung in der Pflicht, dieses Thema zeitnah aufzugreifen und mit einem soliden KRITIS-Dachgesetz eben Kritische Infrastrukturen zu schützen.

„KRITIS-Dachgesetz“ für Betreiber von Anlagen der Kritischen Infrastruktur eine Leitlinie

„Im Bereich Kritische Infrastruktur sehen wir, dass die Gefährdungslage mit dem Krieg in der Ukraine und weiteren Bedrohungen jetzt eine ganz andere ist als vor zehn oder fünfzehn Jahren. Dadurch sind Betreiber mit neuen Aufgaben konfrontiert, die auf sie zukommen – im Bereich Cybersecurity, aber auch beim physischen Schutz der Anlagen vor beispielsweise längeren Stromausfällen“, erläutert Hans Koopman, Geschäftsführer von TÜV NORD EnSys.

• Koopman fordert aus diesem Grund, die EU-Richtlinie zur Resilienz Kritischer Einrichtungen (Critical Entities Resilience, CER) kurzfristig in nationales Recht umzusetzen. Es dürfe durch den Regierungswechsel keine unnötigen Verzögerungen geben.

Das „KRITIS-Dachgesetz“ gibt Betreibern von KRITIS-Anlagen eine Leitlinie an die Hand, mit welcher ein deutschlandweit einheitliches hohes Sicherheitsniveau geschaffen werden soll – dazu gehören Anlagensicherung, aber auch Notfallpläne und Prozesse zur Verkürzung von Ausfallzeiten im Schadenfall und vieles mehr.

Für Deutschland sind KRITIS auf zehn Sektoren verteilt

In Deutschland werden KRITIS in zehn Sektoren unterteilt, die für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind: Im Einzelnen sind das die Energie- und Wasserversorgung, die Produktion und der Vertrieb von Lebensmitteln, Informationstechnik und Telekommunikation, Transport und Verkehr, medizinische und Arzneimittel-Versorgung, das Finanzwesen, Sozialversicherungsleistungen und Grundsicherung, der Schutz der Weltrauminfrastruktur sowie die Beseitigung und das Recycling von Abfällen.

• Werden diese beeinträchtigt oder fallen aus, kann das erhebliche Auswirkungen auf die Öffentliche Sicherheit, die Wirtschaft und das gesellschaftliche Leben haben.

„Wir haben bei TÜV NORD viel Erfahrung in diesem Bereich, weil wir schon seit Jahrzehnten Hochrisikotechnologie wie kerntechnische Anlagen betreuen. Mit unserer Expertise in der Funktionalen Sicherheit sowie bei systematischen Risikoanalysen, der Bewertung von Mensch-Technik-Organisation und bei Cybersicherheit unterstützen wir Betreiber dabei, aktiv eine hohe Resilienz und Versorgungssicherheit zu schaffen“, so Koopman. Noch gebe es keine regulatorischen Anforderungen – es obliege daher den Betreibern, ihre Anlagen ausreichend zu schützen.

Geplantes Dachgesetz verpflichtet KRITIS-Betreiber zu regelmäßiger Risikobewertung und geeigneter -minimierung

Das geplante Dachgesetz soll KRITIS-Betreiber verpflichten, regelmäßig eine Risikobewertung ihrer Anlage vorzunehmen und geeignete Maßnahmen zur Risikominimierung zu implementieren. Dies umfasst auch die physische Sicherheit der Anlage.

• „Maßstäbe setzen hier bereits einige Rechenzentren, deren Betreiber aus eigenem Interesse einen hohen Sicherheitsstandard und ein entsprechendes Niveau an physischer Sicherheit vorweisen wollen“, berichtet Lars Wilke, „Lead Expert Physische Sicherheit von Infrastrukturen“ und „Data Center Lead Auditor“ bei TÜV NORD.

Ein interdisziplinäres Team befasse sich daher schon lange mit Umfeldrisiken wie geologischen Gefahren, Explosionsrisiken oder Hochwassergefährdungen, baulicher Sicherheit, Brandmelde- und Sicherheitssystemen, physischem Schutz der Datenverkabelung sowie der Verfügbarkeit und dem Schutz von Strom- und Kälteversorgungssystemen. Wilke: „Es gibt zahlreiche Stellschrauben für mehr Sicherheit, die wir analysieren und auch auf andere Objekte der Kritischen Infrastruktur anwenden können.“

„KRITIS-Dachgesetz“ begründet erweiterte Meldepflicht bei Beeinträchtigung der Resilienz Kritischer Einrichtungen

Ein weiterer Aspekt des „KRITIS-Dachgesetzes“ ist die erweiterte Meldepflicht bei Vorfällen, welche die Resilienz Kritischer Einrichtungen beeinträchtigen könnten. Dies soll eine schnellere Reaktion und bessere Koordination zwischen den betroffenen Akteuren ermöglichen, sowohl national als auch auf EU-Ebene.

• Zudem werde es schließlich um den Schutz sensibler Informationen gehen: „Gerade für Kritische Infrastrukturen sind strenge Sicherheits- und Datenschutzmaßnahmen unerlässlich, wenn Anwendungen mit künstlicher Intelligenz, KI, zum Einsatz kommen“, kommentiert Koopman. Er führt weiter aus: „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und Kritischen Infrastrukturen bei.“

Dabei gehe es beispielsweise um Fragestellungen zur anforderungsgerechten Anwendung von KI-Lösungen, denn mit Standard-Lösungen sei es hier meist nicht getan, gibt Koopman zu bedenken. Die Experten von TÜV NORD könnten eine Aussage darüber treffen, „ob die Implementierung eines bestimmten KI-Systems risikobehaftet ist und unterstützen bei der Umsetzung von Datenschutzmaßnahmen und Sicherheitsprotokollen, um die Einhaltung der DSGVO und den Schutz vor Cyber-Angriffen zu gewährleisten“.

Weitere Informationen zum Thema:

OpenKRITIS
KRITIS-Dachgesetz

Die Bundesregierung, 08.04.2025
KRITIS-Dachgesetz / Kritische Infrastruktur schützen

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 16.02.2025] Der eco – Verband der Internetwirtschaft e.V. hat die „Münchner Sicherheitskonferenz 2025“ zum Anlass für eine aktuelle Stellungnahme genommen: Im Zusammenhang mit der Frage, wie Frieden, Stabilität und Sicherheit in einer immer unsichereren Welt gewährleistet werden könnten rücke die Rolle digitaler Technologien in den Fokus – als potenzielle Bedrohung durch Cyber-Angriffe, aber auch als Chance für Krisenprävention und internationale Zusammenarbeit.

Sichere digitale Infrastrukturen für Wirtschaft und Gesellschaft von existenzieller Bedeutung

Da digitale Infrastrukturen heutzutage für Wirtschaft und Gesellschaft offenkundig fundamental sind, müssen diese nicht nur gegen Angriffe geschützt werden, sondern auch offen, interoperabel und vertrauenswürdig bleiben. „Ihr Schutz darf nicht in Fragmentierung und Abschottung münden – stattdessen braucht es Resilienz, Innovation und Kooperation!“

Als zentraler Säule der Digitalwirtschaft kommt aus eco-Sicht den Rechenzentren dabei eine wichtige Rolle zu: „Sie speichern und verarbeiten die Daten, die für Wirtschaft, Gesellschaft und staatliche Kommunikation essenziell sind. Ihre Sicherheit entscheidet darüber, ob digitale Dienste zuverlässig funktionieren oder ob Cyber-Angriffe und physische Bedrohungen die digitale Infrastruktur destabilisieren.“

Auswärtige Wirtschaftsmächte haben längst den geopolitischen Wert digitaler Infrastrukturen erkannt

Gerade in geopolitisch unruhigen Zeiten werde deutlich, dass die Aufrechterhaltung eines offenen und vertrauenswürdigen Informationssystems nur gelingen können, „wenn wir Kritische Infrastrukturen konsequent schützen und ausreichend Redundanz vorhanden ist“. Dies zeigten nicht zuletzt auch die jüngsten Vorfälle rund um die beschädigten Unterseekabel in der Ostsee.

Während andere Wirtschaftsmächte längst den geopolitischen Wert digitaler Infrastrukturen erkannt hätten, gebe es hierzulande noch akuten Handlungsbedarf. Einige Staaten setzten gezielt auf Exportkontrolle für Kritische Technologien wie Halbleiter und „Cloud“-Computing. Andere wiederum investierten massiv in digitale Infrastruktur, übernähmen strategisch relevante Unternehmen und setzten auf gezielte wirtschaftspolitische Maßnahmen, um technologische Externalitäten zu beeinflussen und ihren globalen Einfluss zu sichern.

Geopolitische Strategie Europas sollte auf Digitale Souveränität, Resilienz und physische Sicherheit als sicherheitspolitische Prioritäten fokussieren

Europa hingegen fehle es bislang an einer übergeordneten geopolitischen Strategie, „die Digitale Souveränität, Resilienz und physische Sicherheit als sicherheitspolitische Prioritäten integriert“. Ohne eine solche Strategische Tiefe bleibe Europa indes anfällig für externe Einflüsse und reagiere oft nur verzögert auf Bedrohungen.

Doch der Weg dahin dürfe nicht in protektionistischer Abschottung enden. „Europa sollte vielmehr eine Strategie entwickeln, die auf Kooperation statt Isolation setzt – mit klaren internationalen Standards, die Innovationskraft statt regulatorischer Barrieren fördern und so technologische Abhängigkeiten langfristig vermeiden.“ So schütze Europa seine digitale Infrastruktur, ohne den Anschluss an die globalen Entwicklungen zu verlieren.

Debatte über Digitale Souveränität muss auch physische Träger des Digitalen Raums, vor allem die Rechnezentren, adressieren

Der Schutz Kritischer Infrastruktur (KRITIS) dürfe nicht erst nach einer Krise diskutiert werden – „er muss integraler Bestandteil der Sicherheitsstrategie sein!“ Die Debatte über Digitale Souveränität müsse über „Cloud“- und Halbleitertechnologien hinaus auch die physischen Träger des Digitalen Raums, insbesondere Rechenzentren, umfassen:

„Und zwar sowohl hinsichtlich Cyber-Risiken als auch physischer Bedrohungen durch Sabotage oder geopolitische Spannungen.“ Mit der anstehenden nationalen Umsetzung der europäischen CER- und NIS-2-Richtlinien sei der rechtliche Rahmen hierfür abgesteckt. „Wichtig ist es nun, zu sehen, wie diese Regulierung wirkt, ehe weitere Schritte eingeleitet werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2025
DsiN-Talk: Digitale Souveränität und Datenkompetenz in der Diskussion / Hybridveranstaltung im DsiN-Forum Digitale Aufklärung am 25. Februar 2025

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 11.02.2025] Die Sicherheit für OT (Operational Technology) befindet sich in einem rasanten Umbruch. Hacker werden vermehrt auf die im Schnitt sehr alten Betriebssysteme aufmerksam. Sie müssen nur nach bekannten Schwachstellen googeln und finden Einfallstore ins System. Mit dem unvermeidlichen Anschluss vieler OT-Netzwerke an die interne IT und zunehmend auch direkt an das Internet vergrößert sich die Angriffsfläche. Bisher war der AirGap-Ansatz das übliche Mittel der Wahl.Laut Zscaler ThreatLabz 2024 Mobile, IoT and OT Threat Report nutzen über 50 Prozent der OT-Geräte Betriebssystemversionen, für die es längst keine Updates und keinen Support mehr gibt.

OT-Verantwortliche befinden sich daher oft in einem Dilemma: Zum einen sind sie dazu gezwungen, durch Digitalisierung die Produktivität zu steigern, um konkurrenzfähig zu bleiben. Zum anderen müssen sie aufgrund der dadurch erweiterten Bedrohungslage die veraltete Umgebung effizient vor Angriffen schützen.

Warum das traditionelle AirGap zur Illusion wird

Lange Zeit war das Mittel der Wahl eine klassische AirGap-Strategie. Hierbei wird versucht, einen “Graben” um die OT-Netze zu ziehen, den ein Angreifer aus anderen Netzen heraus nicht überwinden kann. Die OT soll dadurch nicht mit der Außenwelt kommunizieren können, im Idealfall auch nicht mit der hausinternen IT. Denn jeder Übergang zwischen den beiden Welten eröffnet potenzielle Angriffspunkte – egal wie viele Firewalls dazwischen postiert sind. Deshalb war die Überlegung lange Zeit nachvollziehbar: Wo keine Verbindung zwischen OT und IT besteht, können auch keine Angriffe überspringen.

Christoph Schuhwerk, CISO in Residence bei Zscaler, Bild: Zscaler

Theorie trifft auf Realität

In der Realität verliert dieser Ansatz zunehmend an Überzeugungskraft. Kaum ein Unternehmen kann noch zu 100 Prozent sicherstellen, dass dieser Burggraben unüberwindbar ist. Es gibt zu viele Ausnahmen und potenzielle Risiken in den verschiedensten Anwendungsbereichen, wo die OT auf IT- oder Internet-Konnektivität angewiesen ist. Da gibt es beispielsweise Wetterprognosedaten oder globale Berechnungen von Online-Diensten, die über eine API eingelesen und über ein Gateway in die Anlage gebracht werden. Oder Sensoren an Maschinen, die im Sekundentakt unzählige Daten nach außen an den Hersteller kommunizieren, wie zum Beispiel die Fälligkeit der nächsten Wartung. Und wo Daten in eine Richtung fließen, besteht in der Regel auch ein Weg in die entgegengesetzte Richtung. Nicht zuletzt ist genau dieser Weg entscheidend, damit Hersteller zu Wartungszwecken auf Maschinen zugreifen, selektiv Informationen abrufen oder Updates einspielen können. Auch wenn der Zugang meist nur temporär gestattet wird, indem vom Kunden auf dem Router ein bestimmter Port freigeschaltet wird, besteht über diesen Kanal während dieser Zeit ein Einfallstor für Angreifer.

Auch in der OT-Welt ist die Remote-Arbeit auf dem Vormarsch. Natürlich sind es Ausnahmefälle, wenn sich Experten etwa aus dem Urlaub in ein System einwählen, um ihren Kollegen eine wichtige Funktion zu erklären, oder wenn (wie zu Corona Zeiten) mehrere Kollegen gleichzeitig erkranken. Es müssen dementsprechend Remote Access Systeme für den Notfall existieren, insbesondere im Bereich der Kritischen Infrastruktur (KRITIS). Auch eine Verbindung zur internen IT stellt einen Brückenkopf für Angreifer dar. Dabei reicht es aus, wenn etwa nur temporär von einem Office-Rechner einmal auf die OT zugegriffen und danach ein Firewall-Port nicht sachgemäß wieder blockiert wurde.

Lückenloses AirGap ist Wunschdenken

Die Beispiele machen es deutlich: Ein lückenloses AirGap ist mittlerweile Wunschdenken. Zu viele Faktoren und Ausnahmefälle durchbrechen diesen luftleeren Raum um die OT herum. In der heutigen Produktionsumgebung kann nicht verhindert werden, dass Daten von außen benötigt oder nach draußen transportiert werden. Dieses Wissen wird verstärkt von Hackern eingesetzt, die sich in den letzten Jahren genau darauf spezialisiert haben, diese Brücken zu finden und für ihre Attacken auszunutzen. Sind sie einmal über eine Schwachstelle in eine Umgebung eingedrungen, haben sie wegen der veralteten Systeme leichtes Spiel und können unter Umständen die gesamte Produktion lahmlegen. Mit gravierenden Auswirkungen für Unternehmen, die ja gerade den Stillstand des Maschinenparks verhindern wollen.

Den Erfahrungsvorsprung der IT nutzen

Wenn ein klassisches AirGap also nicht den erwünschten Schutz bietet, was kann dann die kritische OT-Umgebung schützen? Denn aufgrund der beschriebenen Herausforderungen ist die Frage, die sich Unternehmen stellen müssen, längst nicht mehr ob, sondern wann ein Angriff auf die OT-Systeme stattfindet.

Die OT muss daher von der IT lernen, die einen jahrelangen Vorsprung in der Absicherung gegen das Angriffspotenzial aus dem Internet besitzt. Es kommt dabei nicht darauf an, Vorgehensweisen zu kopieren, sondern vielmehr ihre Grundlagen und Architekturen auf das OT-Umfeld zu übertragen. Denn die IT hat in Sachen Cybersicherheit einen enormen Wissens- und Erfahrungsvorsprung. Folgende Punkte können helfen, diesen auf die OT zu übertragen:

• Zero Trust einführen: Das Konzept von Zero Trust ist in der IT bestens bewährt. Es stuft grundsätzlich jeden User, jedes Gerät und jedes Netzwerk als nicht vertrauenswürdig ein. Dies ist ein Gegensatz zum vor allem in der OT noch vorherrschenden Prinzip. Hier wird meist das innere Netzwerk oder die Produktionsumgebung als vertrauenswürdig angesehen und es werden nur Verbindungen nach außen kontrolliert. Beim Zero Trust-Ansatz findet eine kontinuierliche Überprüfung und Authentifizierung aller User und Geräte statt, egal von wo aus diese zugreifen.
  Einen Connector vor das OT-Netz platzieren: In der OT ist es oft nicht möglich, ein System oder eine Software aufgrund abgeschlossener Umgebungen zu aktualisieren. Hier kann ein virtueller Türsteher in Form eines Connectors als Lösungsansatz dienen. Dieser wird vor der Maschine platziert und überprüft jede einzelne Verbindung. Dabei lässt er nur dasjenige Gerät oder denjenigen User eine Verbindung aufbauen, der autorisiert und authentifiziert ist und keine sonstigen Indikatoren für einen Angriff zeigt.
• Awareness-Trainings aktualisieren: Auch das Thema Awareness spielt eine wichtige Rolle. Da OT-Teams bisher nicht viel mit modernen Security-Themen konfrontiert waren, müssen Verantwortliche ihre Mitarbeitenden in diesem Bereich schulen. Sie müssen ihnen analog zur IT entsprechende Richtlinien und Maßnahmen erklären, die es zu beachten gilt. Hier ist die besondere Herausforderung, die oft sehr konservativen und auf Stabilität hin ausgerichteten Ansichten der Branche mit modernen Lösungsansätzen zu modernisieren. Dazu gehört mitunter, die nötige Vorlaufzeit einzuplanen. Denn die meisten Geräte in der OT laufen 24×7. Daher bedarf es mehr Zeit und Ressourcen, Änderungen oder Implementierungen auf den Weg zu bringen.
• Regelmäßige Tests durchführen: Durch regelmäßige Penetrationtests und Angriffssimulationen können die schwächsten Glieder in einer OT-Kette ausfindig gemacht werden. Im Anschluss kann man den Sicherheitsfokus an diesen Schwachstellen ausrichten und priorisieren. Dies sorgt dafür, dass Ressourcen möglichst effizient und effektiv eingesetzt werden.
• Eine einheitliche Plattform einsetzen: Statt vieler verschiedener Einzellösungen sollte man für die IT und die OT eine einheitliche Plattform verwenden. Ist in der IT beispielsweise schon eine Sicherheitssuite im Einsatz und erprobt, kann auch der Schutz der OT über dieselbe Zero Trust-Plattform abgewickelt werden, um Komplexität einzudämmen. Unternehmen sollten darauf achten, dass auf dieser Sicherheitsplattform separate Berechtigungen und Identitäten für IT und OT eingerichtet werden können. Dadurch verhindert man, dass eine IT-Identität durch einen Konfigurationsfehler auf die OT zugreifen kann. Eine einheitliche Lösung vereinfacht nicht nur die Kommunikation unter den einzelnen Geräten und Netzwerken. Sie wird auch besser von den Mitarbeitern angenommen, weil sie schon bekannt ist. Auch der Einkauf kann auf bestehende, großvolumige Lizenzverträge zurückgreifen.

Summary: OT-Security

OT-Sicherheitsteams stehen vor der Herausforderung, eine sichere und stabile Produktion zu gewährleisten und gleichzeitig ihr Netzwerk vor neuartigen Angriffen zu schützen. Um die noch weit verbreiteten Alt-Systeme zu schützen, setzte man bislang vor allem auf eine klassische AirGap-Lösung, bei der das komplette OT-Netzwerk vom Rest der Umgebung abgeschottet wird. Die Praxis zeigt jedoch, dass dieser Ansatz kaum mehr realisierbar ist. Zu viele Verbindungen bestehen bereits nach außen und diese lassen sich nicht so einfach eliminieren. Eine neue Sicherheitsstrategie muss deshalb einen differenzierten und ganzheitlichen Ansatz verfolgen, bei dem die OT von den Erfahrungswerten der IT profitiert. Zero Trust, Awareness-Trainings, regelmäßige Tests sowie eine einheitliche Plattform für IT und OT sind die ersten Schritte, um das schwerfällige Schiff der OT langsam in den Hafen der modernen Cybersicherheit zu steuern.

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2025
KRITIS immer öfter im Visier Cyber-Krimineller

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie

[datensicherheit.de, 11.02.2025] „Der drastische Anstieg der Cyber-Sicherheitsvorfälle in deutschen KRITIS-Einrichtungen um 43 Prozent von 2023 auf 2024 ist ein deutliches Warnsignal für die gesamte Branche!“, kommentiert Frank Lange, „Technical Director“ bei Anomali, in seiner aktuellen Stellungnahme. Diese Entwicklung zeige eben, dass Kritische Infrastrukturen zunehmend ins Visier Cyber-Krimineller gerieten, während gleichzeitig die digitale Abhängigkeit dieser Einrichtungen weiter wachse. Die Zeit für einen strategischen Ansatz in der KRITIS-Cyber-Sicherheit sei jetzt: „Betreiber sollten ihre Sicherheitsprogramme langfristig ausrichten und dabei besonders die Bereiche Angriffserkennung, Supply-Chain-Security und Notfallmanagement in den Fokus nehmen!“

Foto: Anomali

Frank Lange: Betreiber sollten ihre Cyber-Sicherheitsprogramme langfristig ausrichten!

Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt – KRITIS-Betreiber in der Pflicht

„Der jüngste Cyber-Angriff auf die CDU-Parteizentrale im Frühjahr 2024 und auch der Angriff der russischen Hacker-Gruppe ,APT 28‘ auf die SPD-Parteizentrale ab Dezember 2022 sind nur zwei Beispiele, die zeigen, wie gezielt staatlich gesteuerte Akteure demokratische Institutionen attackieren“, so Lange.

Während im Falle der CDU mutmaßlich chinesische Angreifer über zwei Wochen lang Zugriff auf sensible Daten gehabt hätten, habe „APT 28“ eine unbekannte Schwachstelle in „Microsoft Outlook“ ausgenutzt, um SPD-E-Mail-Konten zu kompromittieren. Lange unterstreicht: „Beide Angriffe verdeutlichen, dass Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt werden – ein Risiko, das auch KRITIS-Betreiber verstärkt im Blick haben müssen!“

Cyber-Sicherheit auch für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess

Besonders besorgniserregend sei der kontinuierliche Aufwärtstrend der letzten Jahre – von 385 Meldungen 2021 auf nun 769 im Vorjahr, 2024. „Dies verdeutlicht, dass Cyber-Sicherheit für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess sein muss!“ Mit der bevorstehenden Umsetzung der NIS-2-Richtlinie Ende 2024 würden die Anforderungen an die IT-Sicherheit noch weiter steigen.

„Unsere Erfahrung zeigt, dass erfolgreiche Cyber-Angriffe oft durch eine Kombination aus technischen Schwachstellen und mangelnder Angriffserkennung ermöglicht werden.“ KRITIS-Betreiber müssten daher nicht nur in moderne Sicherheitstechnologien investieren, sondern auch ihre Fähigkeiten zur Früherkennung und Reaktion auf Bedrohungen kontinuierlich verbessern. „Ein effektives ,Security Information and Event Management’ (SIEM) ist dabei ebenso wichtig wie ein funktionierendes ,Incident Management’“, so Langes Empfehlung.

Weitere Informationen zum Thema:

Deutscher Bundestag, 21.01.2025
Drucksache 20/14595: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Konstantin Kuhle, Renata Alt, Christine Aschenberg-Dugnus, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 20/14166 – Hybride Angriffe und Desinformation im Vorfeld der Bundestagswahl

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Veeam-Studie zur NIS-2-Richtlinie zeichnet sich „ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen“ ab: Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlten, seien nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS-2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität sei bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Foto: Veeam

Matthias Frühauf adressiert angesichts NIS-2 die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz

87 Prozent hatten in den vergangenen zwölf Monaten mindestens einen durch NIS-2-Maßnahmen vermeidbaren Vorfall

Matthias Frühauf, „Regional Vice President EMEA Central“ bei Veeam, kommentiert: „Auch die Zahlen zu Sicherheitsvorfällen sind alarmierend: 87 Prozent der Teilnehmer räumen ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS-2-Maßnahmen vermeidbar gewesen wäre.“ Mehr als ein Drittel – konkret 38 Prozent – berichte sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als „hochgradig kritisch“ eingestuft würden, verdeutliche dies die dramatische Bedrohungslage für deutsche Unternehmen.

Geradezu fahrlässig erscheine vor diesem Hintergrund die aktuelle Budget-Entwicklung: „44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023.“ Diese Zahlen offenbarten ein gefährliches Missverständnis auf Führungsebene: „Datenresilienz und damit Cyber-Sicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.“

Veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance

Die technischen Herausforderungen seien dabei zahlreich: „26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance, gefolgt von fehlendem Budget (24%) und organisatorischen Silos (23%).“

Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfüge: Nur 23 Prozent der befragten Sicherheitsexperten hätten fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegten und im Notfall so das Tagesgeschäft aufrechterhielten. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, „wenn Backup- und Recovery-Maßnahmen fehlen“.

Mit der NIS-2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level

Die verhaltenen Erwartungen an NIS-2 spiegelten außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glaubten, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken werde – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchteten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis sei jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS-2-Richtlinie werde Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie mache Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar.

Die Konsequenzen mangelnder Sicherheit seien weitreichend: Neben empfindlichen Geldbußen drohten massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. „Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.“

Verbleibende Zeit bis zur NIS-2-Deadline zwingend für grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie nutzen!

„Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS-2 nennen sie Profitabilität (29%), Fachkräftemangel (22%) und weitere Compliance-Anforderungen wie DSGVO, den ,Cyber Resilience Act’ (CRA) oder DORA (22%) als wesentliche Druckfaktoren.“ Dies verdeutliche die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereine.

„Die verbleibende Zeit bis zur NIS-2-Deadline muss zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden!“, betont Frühauf. Er führt hierzu weiter aus: „Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, sind dabei nicht verhandelbar!“ Die Investitionen in präventive Maßnahmen verblassten gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs. Datenresilienz sei nun ein Grundpfeiler unternehmerischer Existenzsicherung im Digitalen Zeitalter. Abschließend gibt Frühauf zu bedenken: „Der Handlungsbedarf ist dringend, die Risiken sind real, doch robuste Lösungen sind verfügbar. Jetzt sind mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. ,Data Intelligence’ sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

[datensicherheit.de, 29.11.2024] Laut einer Meldung von „heise online“ hat die EU wegen der bisher nicht erfolgten Umsetzung der NIS-2-Richtlinie sowie der Richtlinie über die Resilienz Kritischer Infrastrukturen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet. „Angesichts der Verzögerungen im Gesetzgebungsprozess in den vergangenen Jahren kommt das nicht wirklich überraschend – ist doch inzwischen mit einer NIS-2-Umsetzung nicht vor Herbst nächsten Jahres zu rechnen“, kommentiert Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro. Er führt hierzu aus: „Unabhängig von den nun einsetzenden – und ebenfalls erwartbaren – parteipolitischen Fingerzeigen halte ich die aktuelle Lage für äußerst bedenklich, sendet sie noch verheerende Signale nach innen wie nach außen.“

Foto: Trend Micro

Dirk Arendt fordert Planungssicherheit, um Investitionen in NIS-2-Konformität zielgerichtet einzusetzen

Die NIS-2-Richtlinie wird große Teile der deutschen Wirtschaft betreffen

Die deutsche Wirtschaft befinde sich in einer tiefen Krise. Um diese erfolgreich zu überwinden, bedürfe es einer umfassenden Transformation und zukunftsfähiger Aufstellung. „Digitale Technologien sind dafür der Schlüssel zum Erfolg!“, betont Arendt und gibt zu bedenken: „Gleichzeitig stehen gerade diese Technologien immer stärker im Fokus von Cyber-Angriffen, die eine wachsende Bedrohung für die gesamte deutsche Wirtschaft darstellen.“ Die bitkom-Studie zum Wirtschaftsschutz spreche eine klare Sprache:

„Die Zahl der digitalen Angriffe auf Unternehmen hierzulande stieg auch 2024 erneut an. 74 Prozent von ihnen waren von Datendiebstahl betroffen.“ Der jährliche Gesamtschaden durch Cybercrime betrage 178,6 Milliarden Euro. Die Unternehmen hätten das erkannt und seien bereit, verstärkt in Cyber-Sicherheit zu investieren, so die Studie weiter. Doch benötigten sie Planungssicherheit, um diese Investitionen zielgerichtet einzusetzen – immerhin werde die NIS-2-Richtlinie große Teile der deutschen Wirtschaft betreffen (voraussichtlich etwa 30.000 Unternehmen).

NIS-2 zeigt auch, wie wichtig Cyber-Sicherheit für unser gesamtes Gemeinwesen ist

Der Umfang dieser Regulierung zeige auch, wie wichtig Cyber-Sicherheit nicht mehr „nur“ für die Wirtschaft, sondern für unser gesamtes Gemeinwesen sei. Cyber-Angriffe auf sogenannte Kritische Infrastrukturen (bzw. „wichtige“ und „besonders wichtige“ Einrichtungen) seien geeignet, massive Störungen zu verursachen und das Vertrauen in die Leistungsfähigkeit von Staat und Infrastruktur zu schädigen. Dabei handele es sich nicht nur um abstrakte Überlegungen:

„Deutschland und Europa stehen im Fokus hybrider Bedrohungen. Die Zeitenwende konsequent zu denken, bedeutet deshalb auch, eine effektivere Cyber-Sicherheitsarchitektur für Staat, Wirtschaft und Bevölkerung zu errichten.“ So sei es zu begrüßen, dass die EU gerade diesen Bereich verstärkt reguliere, um das Schutzniveau in der gesamten Union zu erhöhen. In diesen Zeiten müsse Europa wieder enger zusammenstehen – auch im Cyberspace.

Appell an zukünftige Bundesregierung, NIS-2 endlich den gebotenen Stellenwert einzuräumen

„Vermutlich ist es für die Verabschiedung der genannten Gesetze in dieser Legislaturperiode schon zu spät“, moniert Arendt. Bleibe nur der Appell an die zukünftige Bundesregierung, dem Thema endlich den Stellenwert einzuräumen, den es verdiene:

„Mit genügend Ressourcen, einer starken und effizienten Sicherheitsarchitektur und unter Berücksichtigung der vielen berechtigten Einwände und Vorschläge von Experten aus Wirtschaft und Verbänden.“ Laut Arendt ist es an der Zeit, den Weg zur „Cyber-Nation“ in einem starken Europa konsequent zu gehen.

Weitere Informationen zum Thema:

heise online, Stefan Krempl, 28.11.2024
EU leitet Vertragsverletzungsverfahren gegen Deutschland wegen NIS2 ein / Die EU-Kommission hat Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie und andere Kritis-Vorgaben nicht umgesetzt hat

bitkom
Studie / Wirtschaftsschutz 2024

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 19.11.2024] Die NIS-2-Richtlinie soll in Deutschland nun voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein – sie zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyber-Angriffen zu schützen. Studien zufolge sei jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf diese Richtlinie vorbereitet. Simona Foldesova, „Product Manager GP HSM“ von Utimaco, geht in ihrer aktuellen Stellungnahme auf die wesentlichen Anforderungen von NIS-2 sowie ihre Auswirkungen auf Unternehmen ein und erörtert, wie IT-Security-Partner dabei unterstützen könnten, die Herausforderungen zu bewältigen und Chancen der NIS-2-Richtlinie erfolgreich zu nutzen.

Foto: Utimaco

Simona Foldesova rät Unternehmen angesichts der NIS-2-Richtlinie u.a.zum Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen

Zentrale Anforderungen und Neuerungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringe einige weitreichende Neuerungen mit sich, welche über die bisherigen Vorgaben hinausgingen:

Erweiterte Pflicht zur Cyber-Sicherheits-Governance
Unternehmen müssten ein Cyber-Sicherheits-Management etablieren, welches auf alle Ebenen der Organisation ausgerichtet sei. Dies umfasse sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.

Erhöhte Transparenz und erweiterte Berichterstattung
Die NIS-2-Richtlinie verpflichte Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner solle die Transparenz erhöhen und Reaktionen beschleunigen.

Risiko- und Vorfallsbewertung
Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen seien essenziell. Dazu gehöre die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.

Absicherung der Lieferkette
Ein wesentlicher Schwerpunkt der NIS-2-Richtlinie liege auf der Sicherheit in der Lieferkette. Unternehmen müssten sicherstellen, „dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen“. Dazu gehöre die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.

Höhere Anforderungen an technische Sicherheitsmaßnahmen
Die technische Sicherheit von Netzwerken und Systemen sei ein zentrales Thema der NIS-2-Richtlinie. Organisationen müssten Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyber-Angriffe zu verhindern.

Bußgelder bei Nichteinhaltung
Verstöße gegen die Vorgaben der NIS-2-Richtlinie würden mit hohen Geldbußen sanktioniert. „Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.“

NIS-2 hat erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur

NIS-2 habe damit erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur (KRITIS). Dazu zählten beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. „Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.“

Unternehmen müssten die NIS-2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingingen. Der Aufwand für die Umsetzung könne insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch biete die Einhaltung der NIS2-Richtlinie auch Chancen: „Unternehmen, die frühzeitig auf eine starke Cyber-Sicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.“

Zusammenarbeit entscheidend zur Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie

Spezialisierte Software-Anbieter unterstützten Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch „as a Service“. Zu diesen schnell einsetzbaren Lösungen gehörten beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgten dafür, dass sensible Daten im Fall eines Lecks geschützt blieben. Solche Lösungen ermöglichten zudem die sichere Verwaltung kryptographischer Schlüssel, was für die Integrität der Daten entscheidend sei.

Verifizierung und Authentifizierung spielten im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. „Diese Maßnahmen sind ein wichtiger Teil der NIS-2-Anforderungen.“ Hinzu kämen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring-Tools einsetzen, „die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen“. Regelmäßige Prüfungen und Berichte könnten IT-Sicherheitsteams helfen, auf dem neuesten Stand der Cyber-Abwehr zu bleiben. Nicht zuletzt müssten Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten, ebenfalls nach EU-Recht regulierten Partnern zu kooperieren.

NIS-2-Richtlinie große Herausforderung und zugleich Chance für Unternehmen

Die NIS-2-Richtlinie stelle eine große Herausforderung dar, biete jedoch zugleich eine Chance für Unternehmen, ihre Cyber-Sicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Foldesova unterstreicht: „Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und verbessert das Vertrauen von Kunden und Partnern.“

Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen (von Cybersecurity-Unternehmen wie z.B. Utimaco) sowie die Unterstützung durch deren Compliance-Experten könnten Unternehmen die Anforderungen der NIS-2-Richtlinie effektiv und effizient erfüllen.

Weitere Informationen zum Thema:

heise online, Dr. Oliver Diedrich, 26.09.2024
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet / Lediglich ein Drittel der betroffenen rund 30.000 Unternehmen in Deutschland ist bereits gut auf das Inkrafttreten der NIS2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024]
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Bitkom-Meldung hat das Bundeskabinett hat am 6. November 2024 das sogenannte KRITIS-Dachgesetz ( KRITIS-DachG) beschlossen. Mit diesem soll demnach der Schutz Kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder Gesundheitswesen verbessert und die bereits im Januar 2023 in Kraft getretene europäische „Critical Entities Resilience Directive“ umgesetzt werden. Das KRITIS-Dachgesetz definiere „Kritische Anlagen“ und lege Mindeststandards sowie Meldepflichten fest. Grundlage der in der Meldung gemachten Angaben ist laut Bitkom eine Umfrage, welche „Bitkom Research“ im Auftrag des Digitalverbands durchgeführt hat: Dabei seien 1.003 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland, darunter 556 Unternehmen aus KRITIS-Sektoren, telefonisch befragt worden. Diese Befragung habe im Zeitraum von KW 16 bis KW 24 2024 stattgefunden und sei als Gesamtumfrage repräsentativ.

Bitkom-Präsident begrüßt, dass KRITIS-Dachgesetz nach Verzögerungen nun endlich kommt

Der Bitkom-Präsident, Dr. Ralf Wintergerst. kommentiert: „Bitkom begrüßt, dass das KRITIS-Dachgesetz nach monatelangen Verzögerungen nun endlich kommt. Deutschland muss seine Kritischen Infrastrukturen besser schützen, dafür stellt das KRITIS-Dachgesetz die Weichen.“

Die Zahl der Angriffe auf deutsche Unternehmen habe zuletzt erneut zugenommen – und nichts spreche für eine Trendwende: „86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.“

Laut Bitkom muss das KRITIS-Dachgesetz aber unbedingt nachgebessert werden

80 Prozent bezeichneten die Bedrohungslage für das eigene Unternehmen durch diese Attacken als „sehr groß“ oder „eher groß“. Neben den Unternehmen gerieten zunehmend aber auch Verwaltungen und öffentliche Einrichtungen in das Visier Cyber-Krimineller und hierzu müsse das KRITIS-Dachgesetz unbedingt nachgebessert werden:

„Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“ Beim Schutzniveau dürften die Verwaltungen keine Kompromisse machen.

Bitkom betont Notwendigkeit einheitlicher, praxistauglich ausgestalteter Meldewege und -fristen

Wichtig sei jetzt, „dass das Gesetz zügig das parlamentarische Verfahren durchläuft und noch in dieser Legislatur in Kraft treten kann“. Die von der EU vorgegebene Umsetzungsfrist zum 17. Oktober 2024 sei bereits abgelaufen. Die Unternehmen brauchten und wollten Klarheit und Rechtssicherheit. „Dazu gehört auch, dass es zwischen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz keine Widersprüche geben darf!“, fordert Dr. Wintergerst.

Abschließend betont der Bitkom-Präsident: „Wir brauchen einheitliche Meldewege und Meldefristen, die praxistauglich ausgestaltet sind!“ Bereits heute sagten drei Viertel der KRITIS-Unternehmen, dass der bürokratische Aufwand bei der Meldung von Cyber-Angriffen zu hoch sei.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2024]
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz / Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen