9. - 11. Oktober 2018 // Nürnberg

it-sa Newsroom

Absicherung kritischer Sektoren erweitert

© istockphoto.com/Maxiphoto

Neue Beispiele belegen: Angriffe auf Versorger nehmen zu. Es trifft privatwirtschaftliche genauso wie staatliche Betreiber. Die Bundesregierung reagierte darauf mit dem IT-Sicherheitsgesetz. Nach rund einjähriger Laufzeit wird dessen Geltungsbereich jetzt deutlich ausgeweitet.

In letzter Zeit sorgten beunruhigende Nachrichten aus dem Energiesektor für Aufmerksamkeit. Zunächst wurde bekannt, dass das havarierte Atomkraftwerk Tschernobyl von einem Ransomware-Angriff betroffen war. Die NotPetya genannte Variante war die zweite große Angriffswelle nach WannaCry. Besonders schwer war davon in beiden Fällen die Ukraine betroffen, die auch als mutmaßliches Ziel ausgemacht wurde. Das erklärt, warum Tschernobyl ins Visier geriet. Wie die Wochenzeitung „Die Zeit“ berichtete, mussten im 1986 havarierten Kernkraftwerk Tschernobyl mehrere Computer abgeschaltet werden, da sie infiziert waren. Eine ernsthaft problematische Situation sei nicht entstanden, heißt es dort, dennoch ist bemerkenswert, dass es der auf Windows-PCs ausgerichteten Malware gelang, in derartig sensible Bereiche vorzudringen.

Die Angriffe wecken Erinnerungen an den großen Blackout in der Ukraine im Dezember 2015. Damals waren über 200.000 Menschen stundenlang und teilweise sogar über Tage ohne Strom. Da in der Ukraine vielfach mit Strom geheizt wird, war die Situation durchaus ernst.

Nicht nur ukrainische Kraftwerke werden attackiert: Nach einem Bericht der New York Times versuchen derzeit Angreifer verstärkt, in Unternehmen des US-amerikanischen Energiesektors einzudringen. Darunter befindet sich laut Auskunft von FBI und dem Department of Homeland Security auch die Firma Wolf Creek Nuclear Operating Corporation, die unter anderem ein Kernkraftwerk in der Nähe von Burlington in Kansas betreibt.

Versorger zunehmend in Gefahr

Doch nicht nur Kraftwerke, sondern auch Wasserwerke und Krankenhäuser sind von Cyber-Angriffen betroffen. Immer häufiger geraten öffentliche Versorgungsbereiche ins Schussfeld, wobei es in der Regel unklar bleibt, ob es sich um kriminelle Erpresser oder um politische Aktionen handelt.

In Deutschland entstand als Reaktion auf diese Entwicklung das vor rund einem Jahr in Kraft getretene IT-Sicherheitsgesetz. Es verpflichtet die Betreiber sogenannter kritischer Infrastrukturen zur Umsetzung von Sicherheitsmaßnahmen und zur Meldung von Sicherheitsvorfällen. Welche Industrie- und Wirtschaftsbereiche zur kritischen Infrastruktur zählen, legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der KRITIS-Verordnung (BSI-KritisV) fest. Bislang zählten dazu lediglich die Bereiche Energie, Wasser, Ernährung und Informationstechnik (BSI-KritisV Korb I).

KRITIS-Bereich erweitert

Ende Juni wurde der Geltungsbereich um die Sektoren Gesundheit, Finanzen, Versicherungen sowie Transport und Verkehr (BSI-KritisV Korb II) ausgeweitet. Da auch sie als relevant für die Versorgung der Bevölkerung betrachtet werden, sind Unternehmen und Institutionen dieser Sektoren ebenfalls verpflichtet, in ihrer IT erhöhte Sicherheitsvorkehrungen zu treffen, um gravierende Ausfälle zu verhindern sowie Sicherheitsvorfälle dem BSI zu melden. Bis Jahresende müssen sich Betreiber aus diesen Sektoren beim BSI registrieren und eine verantwortliche Stelle in ihrem Unternehmen benennen.

Sie alle müssen jedoch nicht nur ihre IT-Infrastruktur stärker absichern, sondern dies zukünftig auch alle zwei Jahre überprüfen lassen. Dabei wird zugleich beurteilt, ob die getroffenen Maßnahmen dem Stand der Technik entsprechen. Das BSI erklärt dazu auf seinen Webseiten: „Betreiber kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern“.

Stand der Technik

Hier jedoch liegt der aktuelle Streitpunkt: Was ist Stand der Technik und welche Kriterien gelten dafür? Kritiker fordern, das Niveau am Markt auszurichten, das heißt, an marktgängigen Sicherheitsprodukten. Doch deren Spannbreite ist weit und im permanenten Wandel. Das BSI schlägt daher eine andere Betrachtung vor: „Was zu einem bestimmten Zeitpunkt 'Stand der Technik' ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln“, so die Behörde.

Dennoch sehen Kritiker die Notwendigkeit zur weiteren Differenzierung. Beispielsweise sollten für kleine Betriebe andere Maßnahmen als angemessen gelten, als für große Unternehmen. Sollte es dem Gesetzgeber jedoch nicht gelingen, hier für alle Betroffenen akzeptable Vorgaben zu schaffen, bleibt es wahrscheinlich den Gerichten vorbehalten, eine Klärung zu erzielen.

Vorab können sich Betroffene im Herbst während der it-sa einen Überblick über den aktuellen Stand der Technik verschaffen.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top