Unternehmen im Visier: Angriffe auf KRITIS nehmen zu

Künftig müssen KRITIS-Betreiber mit noch höheren Anforderungen an IT-Security rechnen

[datensicherheit.de, 11.01.2023] Im Kontext der Kriegshandlungen in der Ukraine besteht offensichtlich auch ein erhöhtes Risiko für Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS). „Auch der Gesetzgeber reagiert auf die verschärfte Bedrohungslage. Künftig müssen KRITIS-Betreiber mit noch höheren Anforderungen an die IT-Security rechnen“, so Wolfgang Kurz, Geschäftsführer und Gründer von indevis, und erläutert in seiner aktuellen Stellungnahme, was auf diese zukommt und warum auch alle anderen Unternehmen reagieren sollten.

Foto: indevis

Wolfgang Kurz: Das BSI bewertet die Lage als so angespannt wie noch nie!

KRITIS immer häufiger Ziel von Cyber-Angriffen

„Seit Beginn des Ukraine-Kriegs zeigen sich verstärkt Hacker-Aktivitäten, die politisch motiviert sind und Staaten destabilisieren sollen“, berichtet Kurz.

Gerade die KRITIS, wie jene des US-amerikanischen Energieversorgers Colonial Pipeline, würden immer häufiger Opfer gezielter Cyber-Angriffe. Kurz betont: „Das Bundesamt in der Informationstechnik (BSI) bewertet die Lage als so angespannt wie noch nie.“

Gesetzgeber reagiert auf KRITIS-Bedrohung mit Ausweitung der Cybersecurity-Vorschriften

Die veränderte Bedrohungssituation habe auch der Gesetzgeber erkannt und greife verstärkt ein. Derzeit plane das Bundesinnenministerium ein sogenanntes KRITIS-Dachgesetz, welches der EU-CER-Richtlinie vorgreifen solle. Mehr Unternehmen müssten sich bald auf strengere Regularien einstellen und in puncto IT-Sicherheit nachrüsten. Kurz kommentiert: „Indessen kämpfen viele derzeit noch damit, die Vorgaben des aktuellen IT-Sicherheitsgesetzes (IT-SIG) 2.0 umzusetzen. Ab Mai 2023 sind zum Beispiel Systeme zur Angriffserkennung vorgeschrieben. Außerdem gelten seit Januar 2022 strengere Meldepflichten bei Störungen und es drohen schärfere Sanktionen.“

Darüber hinaus sei zu erwarten, dass auch Maßnahmen zur Lieferketten-Resilienz künftig Pflicht würden. „Denn der Ukraine-Krieg und die Krisen der vergangenen Jahre haben gezeigt, wie verletzlich die Wirtschaft ist, wenn wichtige Rohstoffe und Komponenten fehlen“, so Kurz. Im Nahrungsmittelsektor oder bei der Medikamentenversorgung gefährde dies im Zweifel sogar Menschenleben. „Fehlen die notwendigen Sicherheitsmaßnahmen, kann das für Institutionen im Zweifel bis zur Privathaftung gehen“, warnt Kurz.

Managed Detection & Response (MDR): Verbesserung der KRITIS- Angriffserkennung

Ob KRITIS-Betreiber, Mittelständler oder Großunternehmen: Maßnahmen zur Angriffserkennung und -abwehr seien für Unternehmen ein Muss. Die Installation von verschiedenen Security-Systemen allein reiche dafür nicht mehr aus. Vielmehr müssten sämtliche mittels der in der IT-Landschaft verteilten Security-Sensoren gesammelten Sicherheitsdaten sinnvoll zusammengeführt und analysiert werden.

Kurz rät: „In Zeiten des Fachkräftemangels lohnt es sich oft, hierfür auf externe Anbieter von Managed Detection & Response (MDR) zurückzugreifen. Auf einer zentralen Plattform integrieren sie die Security-Informationen der vorhandenen Endpoints sowie anderer angeschlossener Datenquellen und werten diese mithilfe moderner SOAR-Technologie aus.“ So wüssten Unternehmen über potenzielle Angriffsvektoren Bescheid und Attacken ließen sich – teils sogar automatisiert – vereiteln.

Höhere Anforderungen an KRITIS-Betreiber – ein guter Zeitpunkt zur Investition in IT-Security

Kurz führt aus: „Wie ernst die Lage ist, zeigt der Gesetzgeber, indem er höhere Anforderungen an KRITIS-Betreiber stellt und definiert, welches Schutzlevel Institutionen erreichen müssen. Auch Unternehmen, die nicht unter die KRITIS-Verordnung fallen, sollten sich an den ,Best Practices’ orientieren.“ Insbesondere die Fähigkeit, Bedrohungen schnell zu erkennen und zu reagieren, werde künftig unverzichtbar. „Denn wir haben es heute mit hochautomatisierten, professionellen Cyber-Angriffen zu tun, die sich über viele verschiedene Ebenen der IT-Umgebung erstrecken“, unterstreicht Kurz und stellt abschließend fest:

„Mit einem Service für MDR stellen sich Unternehmen und Institutionen souverän auf, um Attacken rechtzeitig zu erkennen und zu stoppen.“ Ein spezialisierter Security-Dienstleister stelle die Technologie für die Angriffserkennung zur Verfügung, betreibe sie und unterstütze bei der Bedrohungsbewältigung.

Weitere Informationen zum Thema:

OPENKRITIS
Das IT-Sicherheitsgesetz 2.0