KRITIS: Halbzeit für kritische Infrastruktren
Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.
Ist das normal oder schon KRITIS!? Das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 hat die KRITIS-Regulierung deutlich verschärft. Mit der neuen KRITIS-Verordnung 2.0 gilt es mit all seinen Pflichten nun für deutlich mehr Unternehmen und Anlagen als bisher. Wir schauen uns die Änderungen genauer an.
Willkommen im Änderungs-Dschungel
„Informationssicherheit ist ein Prozess“, verkündet das BSI auf einer seiner Internetseiten schon fast philosophisch. Analog dazu könnte man die KRITIS-Regulierung ebenfalls als einen (langen) Prozess bezeichnen. Der begann 2008 mit einer EU-Richtlinie zum Schutz europäischer Kritischer Infrastrukturen und mündete 2015 in das erste IT-Sicherheitsgesetz (IT-SiG). Im Mai 2021 trat dann das IT-Sicherheitsgesetz 2.0 in Kraft. Es brachte weitere umfangreiche Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) und änderte wie schon das erste IT-SiG auch Telekommunikationsgesetz, Energiewirtschaftsgesetz und andere Gesetze.
Jetzt ist die KRITIS-Verordnung 2.0 für das IT-SiG 2.0 da und überrascht mit grundlegenden Änderungen beim Geltungsbereich für Unternehmen und KRITIS-Anlagen sowie angepassten Schwellenwerten – mit dem Ergebnis, dass wahrscheinlich 270 weitere Betreiber zum KRITIS-Kreis hinzugezählt werden müssen.
Pflichten, Verstöße, Bußgelder
Wir erinnern uns: Das BSIG stellt in § 8a und § 8b klar, dass informationstechnische Systeme Kritischer Infrastrukturen von den Betreibern durch angemessene organisatorische und technische Vorkehrungen abzusichern und dass Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen sowie Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Nach § 8b (3) BSIG sind die betroffenen Betreiber verpflichtet, die Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen.
Um diesen Pflichten Nachdruck zu verleihen, sind die Tatbestände für Ordnungswidrigkeiten ausgeweitet und höhere Bußgelder festgelegt worden. Fehlende Nachweise, fehlende Maßnahmen oder ein Zuwiderhandeln bei Anordnungen zur Gefahrenabwehr können empfindliche Geldbußen nach sich ziehen: bis zu 2 Mio. Euro bzw. sogar bis zu 20 Mio. Euro für juristische Personen und Personenvereinigungen bei bestimmten Tatbeständen (siehe Verweis auf § 30 (2) Gesetz über Ordnungswidrigkeiten). Das sind Summen, die nicht mehr so leicht aus der Portokasse bezahlt werden können.
IT-SiG 2.0: Automatische Angriffserkennung
Das IT-SiG 2.0 spricht erstmals von Systemen zur Angriffserkennung, die ab dem 1. Mai 2023 verpflichtend werden (§ 8a (1a) BSIG). Diese müssen Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Auf diese Weise kommt man zum Beispiel Ransomware auf die Spur – Erpressungstrojaner, die sich häufig unbemerkt im System bewegen und Nutzerdaten unbrauchbar machen. Das BSI-Lagezentrum zählt diese Erpressungsmasche zu den ausgefeilteren „fortschrittlichen Angriffstechniken“. Die Abwehrsysteme sollten außerdem dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie bei Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Fachleute werten diese Beschreibung als Hinweis auf ein gewünschtes Security Information and Event Management (SIEM). Bereits 2021 haben wir die Einführung eines SIEM als notwendige nachzurüstende Anforderung in unserem Whitepaper zum IT-Sicherheitsgesetz 2.0 skizziert. Ein intelligentes SIEM kann durch das Sammeln und Aufbereiten von Informationen (zum Beispiel Protokolldaten und Alerts) nahezu in Echtzeit Ungereimtheiten sichtbar machen und anhand verdächtiger Verhaltensmuster mit Bezug auf Benutzer, Hosts, IP-Adressen oder Anwendungen sogar höchst komplexe Bedrohungen erkennen. Auch wenn ein SIEM im neuen IT-Sicherheitsgesetz nicht explizit genannt wird – im BSI-Katalog zur Konkretisierung der Anforderungen an die Maßnahmen gemäß § 8a BSIG von 2020 wird ein SIEM zur Überwachung von Zugangs- und Zugriffsberechtigungen bereits vorgeschlagen. Es spricht also einiges dafür, dass diese Lösung vom Bundesamt favorisiert wird.
Kritische Komponenten nur mit Herstellergarantie
Nicht nur für Nutzer, auch für Zulieferer kritischer Komponenten sicherlich von Bedeutung: Die Hersteller sind verpflichtet, gegenüber dem Betreiber der Kritischen Infrastruktur noch vor dem Einsatz der Komponente eine Garantieerklärung über ihre Vertrauenswürdigkeit abzugeben. Darin sollen Hersteller darlegen, wie sie sicherstellen, dass die zugelieferten Komponenten nicht die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur beeinträchtigen können, insbesondere im Rahmen von „Sabotage, Spionage oder Terrorismus“ (BSIG § 9b (3) „Zertifizierung“). Im Zweifelsfall kann das Bundesministerium des Innern, für Bau und Heimat den Einsatz einer kritischen Komponenten untersagen.
Zusätzlich gilt natürlich auch und gerade bei kritischen Komponenten, dass KRITIS-Betreiber regelmäßig und nachweisbar ihre Lieferanten überprüfen müssen, zum Beispiel im Rahmen von Dienstleister- und Lieferantenaudits nach ISO 27001. Mehr zur ISO 27001 lesen Sie im Whitepaper.
KRITIS 2.0 – dringend notwendiges Update der KritisV
Welche Einrichtungen, Anlagen oder Teile davon in den einzelnen Sektoren als „Kritische Infrastrukturen“ im Sinne des BSI-Gesetzes gelten, ist weitergehend durch eine Rechtsverordnung bestimmt – die KRITIS-Verordnung von 2016 bzw. 2017. Seit dieser Fassung hat sich die Unternehmenslandschaft der KRITIS allerdings stark verändert und tatsächlich haben sich einige Definitionen als obsolet entpuppt, wie die Evaluierung ergab (siehe zum Beispiel wegfallende Anlagen im Bereich Strom wie Messstellen und Speicheranlagen). Auch darum tritt nun zum 01.01.2022 die KRITIS-Verordnung 2.0 in Kraft, die neue Anlagenkategorien, Bemessungskriterien und Schwellenwerte für den Kreis der KRITIS-Betriebe aufführt. Hier müssen alle noch einmal genau hinschauen. So gelten Energie-Erzeugungsanlagen beispielsweise schon ab 36 MW Leistung als KRITIS-Einrichtung (vorher: 420 MW). Und im Sektor Transport können sich von nun an die Betreiber von Intelligenten Verkehrssystemen im Straßenverkehr zum auserwählten Kreis zählen. Insgesamt sollen sich schätzungsweise 270 zusätzlich betroffene Betreiber einer Kritischen Infrastruktur zu den knapp 1.600 bestehenden gesellen. Aufgeteilt in die einzelnen Bereiche ergibt sich folgendes Bild (Stand Dezember 2021; Quelle: OpenKRITIS):
Sektor Energie: 167 neue Betreiber
Informationstechnik und Telekommunikation: 10 neue Betreiber
Finanz- und Versicherungswesen: 21 neue Betreiber
Transport und Verkehr: 72 neue Betreiber
Für die fehlenden Sektoren gibt es noch keine Schätzungen. Auch nicht für den mit der IT-SiG-Novelle neu hinzugekommenen Sektor Siedlungsabfallentsorgung und die „Unternehmen im besonderen öffentlichen Interesse“ (UBI/UNBÖFI). Nach § 2 (14) wird letztere Gruppe wie folgt definiert:
- Hersteller und Entwickler von Gütern nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung, das sind im Wesentlichen Waffen, Munition und Rüstungsmaterial, sowie Hersteller von Produkten oder Komponenten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen.
- Unternehmen, die nach ihrer Wertschöpfung zu den größten in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.
- Die Betreiber eines Betriebsbereichs der oberen Klasse von gefährlichen Stoffen im Sinne der Störfall-Verordnung. Betriebsbereiche der unteren Klasse können ebenfalls inkludiert sein.
Genauere Definitionen und Schwellenwerte bleiben die Gesetzestexte allerdings schuldig. Es ist also mit weiteren Rechts- oder Änderungsverordnungen zu rechnen.
Fazit
Das IT-Sicherheitsgesetz 2.0 und die Änderungen durch die KRITIS-Verordnung 2.0 zeigen, dass Cybersicherheit in Deutschland endlich ernst genommen wird. Das BSI empfiehlt „aufgrund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.“ Welche Maßnahmen dafür jetzt im Bereich KRITIS notwendig sind, haben wir in einem aktuellen Whitepaper zusammengefasst. Als IT-Sicherheitsdienstleister sind wir von dem Gesetz selbst betroffen und kennen die Sicherheitsanforderungen der KRITIS-Branchen im Detail. Sprechen Sie uns gerne an!
