Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

Aktiv statt reaktiv

Der bessere Umgang mit dem IT-Sicherheitsgesetz 2.0 - Ein Experteninterview mit David Haase und Stephan Uhde

Der viel diskutierte Entwurf zum IT-Sicherheitsgesetz 2.0 wurde am 18. Mai 2021 von der Bundesregierung beschlossen. Nachdem es im April und Mai von Bundesrat und Bundestag beschlossen wurde, müssen sich Betreiber kritischer Infrastrukturen auf einige Änderungen einstellen. Welche Neuerungen das IT-SiG 2.0 mit sich bringt und was KRITIS-Unternehmen tun müssen, um die Gesetzesanforderungen zu erfüllen, haben die beiden r-tec-Mitarbeiter David Haase, Teamleiter Strategie & Consulting, und Stephan Uhde, Teamleiter IT-Sicherheitsarchitektur, im Interview erläutert.

 

r-tec: Herr Haase, das IT-Sicherheitsgesetz 2.0 steht unmittelbar vor der Verabschiedung. Auf welche Änderungen müssen sich Ihre Kunden aus dem Bereich der kritischen Infrastrukturen einstellen?

David Haase: Das IT-Sicherheitsgesetz 2.0 bringt gleich eine Vielzahl von Neuerungen mit sich. Vor allem auf KRITIS-Unternehmen kommt viel Arbeit zu. Unter anderem sieht der Gesetzesentwurf für Betreiber kritischer Infrastrukturen die Pflicht zur aktiven Angriffserkennung vor. Zudem soll der Bußgeldrahmen deutlich erhöht werden, sodass Gesetzesverstöße zukünftig empfindlichere Strafen nach sich ziehen werden als bisher. Wichtig für KRITIS-Unternehmen ist auch die im Entwurf festgeschriebene Definition von sogenannten kritischen Komponenten, die bereits im Zusammenhang mit den vorangegangenen Entwürfen des Gesetzes diskutiert wurde. Welche Komponenten davon betroffen sind, wird zukünftig durch Gesetze festgelegt.

Mit diesen Vorgaben müssen sich übrigens auch Betriebe aus dem Bereich der Siedlungsabfallentsorgung auseinandersetzen: Sie werden künftig ebenfalls zum Kreis der kritischen Infrastrukturen gezählt.  

r-tec: Was genau sind kritische Komponenten?

David Haase: Bei kritischen Komponenten wird es sich voraussichtlich um Leitsysteme von Netzbetreibern handeln sowie generell um Anlagen und Netze, welche die Steuerung und Überwachung in kritischen Bereichen unterstützen – meist ein zentraler und damit kritischer Punkt.

Stephan Uhde: In der Pharmaindustrie könnten zum Beispiel chemieproduzierende Anlagen kritische Komponenten sein. Gemeint sind hier vor allem ausführende Systeme wie die Maschinensteuerung. Aber wahrscheinlich werden auch ERP-Systeme wie unternehmensübergreifende IT-, Misch- und Koppelsysteme dazu zählen.

Ich vermute, dass im ersten Rutsch lediglich sehr zentrale Komponenten als kritisch eingestuft werden. Weitere folgen dann wahrscheinlich zu einem späteren Zeitpunkt.

Zu bedenken gilt es, dass der Gesetzesentwurf mit dieser Regelung nicht nur KRITIS-Unternehmen, sondern auch die Hersteller von operativen Systemen in die Pflicht nimmt. Diese kommen schließlich nicht mehr darum herum, Sicherheitsupdates, Aktualisierungen und Ähnliches anzubieten.

r-tec: Wie können sich KRITIS-Betreiber nun schnell einen Überblick über die bevorstehenden Änderungen verschaffen?

David Haase: KRITIS-Betreiber sollten unbedingt schon jetzt klären, welche Komponenten als kritisch eingestuft werden könnten, und die Hersteller dazu befragen. Sie halten in der Regel entsprechende Schriftstücke vor.

Zudem können sie Informationen bei Branchenverbänden einholen, sich die vom Analystenhaus Gartner festgelegten Sicherheitskriterien ansehen oder externe Dienstleister hinzuziehen. Sinnvoll ist es auch, sich mit vorhandenen Branchenstandards auseinanderzusetzen. Diese geben einen Hinweis darauf, wie der im IT-SiG 2.0 genannte „Stand der Technik“ definiert werden kann.

WEBCAST

Webcast zum IT-Sicherheitsgesetz 2.0

Besuchen Sie auch unseren Webcast zum Thema! Im Rahmen des Webcasts „Herausforderungen des IT-SiG 2.0“ gibt r-tec einen Überblick über die Neuerungen, die das IT-Sicherheitsgesetz 2.0 für Unternehmen im besonderen öffentlichen Interesse und für KRITIS-Betreiber mit sich bringt. Zudem erläutern die Referenten, welche Maßnahmen betroffene Unternehmen nun durchführen müssen, um weiterhin gesetzeskonform agieren zu können, und welche r-tec-Services sie dabei unterstützen.

weitere Informationen

r-tec: Was raten Sie Ihren Kunden im Hinblick auf die bereits bestehenden Normen und die jetzt anstehenden Änderungen?

David Haase: Aktuell bleibt noch abzuwarten, ob und inwiefern sich die bestehenden Normen und vor allem die KRITIS-Vorgaben verändern werden. Das ist zum Beispiel im Hinblick auf Grenzwerte wichtig.

Im Moment sehen wir zum Beispiel die Erfüllung der bereits bestehenden Compliance-Anforderungen durch die Gesetzesänderung erst mal nicht gefährdet. Es kann aber zu einem späteren Zeitpunkt zu einer Verschärfung kommen. Das ist beispielsweise durch eine spätere Herabsetzung der KRITIS-Grenzwerte möglich, die in Einzelfällen offenbar schon zwischen dem Bundesinnenministerium und Branchenverbänden diskutiert werden.

Betroffenen Unternehmen würde ich raten, schon jetzt die Grundlagen für ein Management der Informationssicherheit aufzubauen, um zu gegebener Zeit vorbereitet zu sein.

David Haase, Teamleiter Strategie & Consulting

r-tec: Wie sollten Unternehmen grundsätzlich vorgehen, um die von Ihnen angesprochenen Compliance-Anforderungen zu erfüllen?

David Haase: Wir raten unseren Kunden, zunächst eingehend zu prüfen, in welchen Bereichen sie von den Compliance-Anforderungen in welchem Maße betroffen sind. Unter Umständen, erfordert dieser Vorgang die Einbindung von Juristen. In Spezialfällen kann auch die Rücksprache mit dem BSI notwendig sein. Auf jeden Fall muss derjenige, der den Prozess betreibt, dafür sorgen, dass das Ganze unter Einhaltung der gesetzlichen Vorgaben vonstattengeht. Deshalb sollten frühzeitig Informationen eingeholt und Compliance-Beauftragte zurate gezogen werden.

Die Anforderungen selbst können dann – vereinfacht ausgedrückt – durch den Aufbau eines geeigneten Managements für Informationssicherheit in den betreffenden Bereichen erfüllt werden.

r-tec: Wie können Unternehmen den Reifegrad ihrer Informationssicherheit und ihrer Compliance grundsätzlich möglichst schnell und umfassend klären?

David Haase: Ohne eine fundierte Analyse der Informationssicherheit beziehungsweise der Compliance lässt sich der Reifegrad letztlich nicht belastbar bestimmen. Doch keine Sorge: Es muss sich dabei nicht immer um einen langwierigen und intensiven Prozess handeln. Die Intensität der Analyse bestimmt aber natürlich den Detailgrad der Ergebnisse und damit die Genauigkeit der Einschätzung, was in der Folge zu tun ist.

Natürlich können Sie auch einen Dienstleister um Unterstützung bitten. Um den Vorgang zu vereinfachen, bieten wir bei r-tec beispielsweise einen standardisierte Werkzeuge und Vorgehensweisen Fragebogen an, die Aufschluss darüber geben, ob Handlungsbedarf besteht.

r-tec: Wie stelle ich sicher, dass meine Organisation über den erforderlichen Standard in den Bereichen Risiko- und Notfallmanagement verfügt?

David Haase: Bezogen auf KRITIS-Vorgaben und auf die aus dem IT-Sicherheitsgesetz 2.0 abgeleiteten Anforderungen in diesen beiden Bereichen gibt es zum einen die Möglichkeit, Branchenstandards für Informationssicherheit zu entwickeln und umzusetzen. Für einige Branchen liegen diese bereits vor. Zum anderen ist jeder stichhaltige Ansatz zum Aufbau eines Managements für Informationssicherheit geeignet, um die Anforderungen zu erfüllen. Das kann zum Beispiel ein ISMS nach ISO 27001 sein. Einen solchen Ansatz können Sie selbstständig oder mit einem geeigneten Partner umsetzen.

r-tec: Wie schnell müssen die Betroffenen reagieren?

David Haase: Nach Inkrafttreten des Gesetzes müssen zunächst die konkreten Regelungen durch entsprechende Rechtsverordnungen geschaffen werden. Für diese gilt eine zweijährige Umsetzungsfrist.

Für Unternehmen, die erst zu einem späteren Zeitpunkt auf Basis der KRITIS-Grenzwerte zu Betreibern einer kritischen Infrastruktur werden, hängt die Umsetzungsfrist vom Zeitpunkt der Identifikation als Kritische Infrastruktur ab und beträgt maximal ein Jahr. Ob man zu den KRITIS-Betreibern zählt, muss jährlich bis zum 31. März geprüft werden, bei Überschreiten der Grenzwerte greift die Einstufung als Kritische Infrastruktur ab dem 01.01. des Folgejahres – zu diesem Zeitpunkt müssen die Anforderungen umgesetzt sein. Der Umsetzungsprozess wird – unserer Erfahrung nach – dann auch oft durch die verantwortlichen behördlichen Stellen begleitet.

Wir empfehlen unseren Kunden, sich aktiv mit den Anforderungen auseinanderzusetzen und sich frühzeitig auf die Umsetzung vorzubereiten. Der Aufbau eines geeigneten Managements für Informationssicherheit kann zum Beispiel ein intensives Vorhaben sein und entsprechend viel Zeit in Anspruch nehmen.

MEHR INFOS

Vorgaben rechtzeitig umsetzen

Als erfahrener IT-Security-Provider unterstützt Sie r-tec dabei, die Vorgaben des IT-Sicherheitsgesetzes 2.0 umzusetzen. Damit Sie keine Zeit verlieren und Ihr Kerngeschäft nicht vernachlässigen müssen, haben wir Ihnen die wichtigsten Services zum IT-SiG 2.0 zusammengestellt.

weitere Informationen

r-tec: Herr Uhde, das IT-Sicherheitsgesetz 2.0 fordert die Einrichtung von Systemen zur Angriffserkennung. Welche konkreten Vorgaben sieht der Gesetzesentwurf für die betroffenen Firmen vor?

Stephan Uhde: Derzeit gibt es noch keine wirklich konkreten Vorgaben, da das Gesetz noch nicht verabschiedet wurde. Sollte der Bundesrat zustimmen, müssen sich Firmen aber auf einige Änderungen einstellen. Im Bereich der proaktiven Maßnahmen ist dann beispielsweise die Implementierung von Systemen notwendig, die Informationen zur Anomalie- und Angriffserkennung, zu Vorfällen und zur Kommunikation zwischen den Systemen im Produktionsumfeld bereithalten.

Unabdingbar sind auch klassische IT-Security-Komponenten wie Firewalls, Virtual Private Networks oder Endpoint-Security-Lösungen. Wichtig ist hierbei, dass alle Schutzsysteme auswertbare Log-Dateien liefern, um Angriffserkennungssystemen die Möglichkeit zu geben, Anomalien zu detektieren.

Der Software-Hersteller Claroty bietet beispielsweise Schutzsysteme an, die anhand gelernter Kommunikationsmuster Anomalien im Produktionsumfeld erkennen können.

r-tec: Reicht gegebenenfalls die Installation einer Monitoring-Plattform wie Splunk aus?

Stephan Uhde: Es kann unter Umständen ausreichen. Das hängt davon ab, wie die Rechtsverordnung festgelegt wird. Der Grad der Qualität der Datenauswertung muss noch konkretisiert werden.

r-tec: Ausgehend von Ihrer Erfahrung, wie schätzen Sie den momentan vorhandenen Sicherheitsstandard in den betroffenen Firmen ein?

Stephan Uhde: Pauschal lässt sich das nicht beantworten. Das hängt von der IT-Security-Affinität der jeweiligen Geschäftsführung und vom Organisationsgrad ab. Grundsätzlich gilt: Wenn Kunden über ein ISMS verfügen, betreiben sie ihre IT-Sicherheitsarchitektur in der Regel schon nah am Stand der Technik. Natürlich gibt es auch Ausnahmen. Kürzlich habe ich einen Kunden aus dem Gesundheitswesen betreut, der zwar über ein leistungsstarkes ISMS verfügte, gleichzeitig aber auf veraltete Endpoint-Lösungen gesetzt hat.

Bei Unternehmen abseits von KRITIS gibt es grundsätzlich noch viel Handlungsbedarf. Das liegt unter anderem daran, dass keine gesetzlichen Anforderungen erfüllt werden müssen und die intrinsische Motivation fehlt. Manchmal besteht das Problem darin, dass finanzielle und zeitliche Ressourcen nicht aufgebracht werden können.

Vor allem für kleinere Unternehmen hat das Thema IT-Security nur einen niedrigen Stellenwert. Anfällig für Cyber-Security-Risiken und Angriffe sind insbesondere Operational-Bereiche von Produktionsunternehmen sowie Betriebe, die mit hohem Bürokratieaufwand arbeiten. Kleine mittelständische Unternehmen haben ebenfalls einen großen Aufholbedarf. Das gilt hauptsächlich für produzierende Firmen, bei denen Büro- oder OT-Bereiche nicht ausreichend geschützt sind.

Zudem gehe ich davon aus, dass Unternehmen aus dem neuen KRITIS-Sektor Abfallentsorgung die im Gesetzesentwurf des IT-SiG 2.0 genannten Vorgaben noch nicht umgesetzt haben, da die Affinität zu Informationssicherheit in dieser Branche in der Regel fehlt.

Nicht vergessen sollte man die Dienstleister von KRITIS-Betreibern. Diese müssen jetzt gegebenenfalls nachziehen, wenn sie kritische Komponenten anbieten.

Whitepaper

Whitepaper zum IT Sicherheitsgesetz 2.0

Unser Whitepaper stellt die wichtigsten Neuerungen des IT-Sicherheitsgesetzes vor und gibt anschließend einen Überblick über geeignete Lösungen sowie über technische und organisatorische Umsetzungsmöglichkeiten

zum Download

r-tec: Mit welchen typischen Problemen haben die betroffenen Firmen im Falle eines Angriffs zu kämpfen?

Stephan Uhde: Sehr häufig haben wir es mit menschlichem Fehlverhalten zu tun. Oftmals fehlt das Bewusstsein für Cybergefahren. So kann es beispielsweise passieren, dass Mitarbeiter unbedacht schadhafte E-Mail-Anhänge öffnen oder sensible Daten preisgeben. Hinzu kommen organisatorische Probleme, wenn Rollen und Verantwortlichkeiten nicht richtig definiert werden. Es muss zum Beispiel geklärt werden, wann IT- und wann OT-Mitarbeiter für die Lösung eines Problems zuständig sind. Vorkommen können auch prozessuale Schwierigkeiten in den Bereichen Patch- und Update-Management, Risikoanalyse, Betrieb und Wartung oder Asset Management.

Eine oft unterschätzte Schwachstelle stellt zudem die Technologie dar. Diese kann veraltet oder unzureichend und damit auch anfällig für Angriffe sein.

r-tec: Welche Vorgehensweise empfehlen Sie Ihren Kunden jetzt?

Stephan Uhde: Zunächst sollten sie den Ist-Zustand ihrer IT-Security-Infrastruktur genau analysieren. Sinnvoll kann zum Beispiel die Durchführung von Architekturreviews oder der Abgleich mit Branchenstandards aus Verbänden sein. Entdeckte Schwachstellen sollten dann schnellstmöglich ausgebessert werden, um die Wirksamkeit vorhandener Technologien zu verbessern und somit den Reifegard zu erhöhen.

Letztlich hängt es immer an drei Komponenten: Zuständigkeiten, Ressourcen und Budget. Ein System zur aktiven Angriffserkennung bringt mir schließlich nichts, wenn es niemanden gibt, der die Meldungen einordnet und reagiert.

Stephan Uhde, Teamleiter IT-Sicherheitsarchitektur

r-tec: Welche Lösungen empfehlen Sie Ihren Kunden zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes 2.0?

Stephan Uhde: Ein erster wichtiger Schritt ist die Durchführung von Architekturreviews, die auf den Standards ISO 27001, NIST und CIS beruhen. So lässt sich herausfinden, an welchen Stellen es Nachbesserungsbedarf gibt und welche konkreten Maßnahmen notwendig sind, um dem IT-Sicherheitsgesetz 2.0 gerecht zu werden.

Wichtig ist zudem die Implementierung einer Angriffserkennung, die den Gesetzesanforderungen entspricht. Im Entwurf heißt es dazu: „Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme.“

Entgegen der weitläufigen Einschätzung reicht ein Security Information and Event Management allein nicht aus, um diese Anforderungen zu erfüllen. Es ist erst mal nur ein System. Die generierten Informationen müssen auch bewertet und eingeordnet werden. Das heißt, es muss jemanden geben, der die einlaufenden Meldungen klassifiziert und Maßnahmen einleitet oder Ausnahmen definiert. Deshalb werden weitere Komponenten wie ein Managed-Detection-and-Response-System, Next-Generation-Features für Firewalls, eine Anomalieerkennung und Systeme, die automatisiert Angriffe erkennen und im Ernstfall reagieren, benötigt.

r-tec: Wie genau funktioniert ein Managed-Detection-and-Response-System?

Stephan Uhde: Bei Managed Detection and Response handelt es sich nicht um eine Technologie, sondern um eine Kombination aus einem Service, der von einem Dienstleister bereitgestellt wird, Leistungen eines Security Operation Centers und entsprechenden Quellsystemen, die in der kritischen Infrastruktur platziert werden. Letzteres sind technologische Lösungen.

Quellsysteme können beispielsweise Komponenten wie Security Information and Event Management, Next-Generation-Firewall-Systeme mit aktivierten IDS- oder IPS-Modulen, Endpoint-Security-Lösungen oder Industrial-IDS-Systeme für die Produktion sein. Diese sind in der Lage, sicherheitsrelevante Informationen für ein SOC bereitzustellen, um die massive Anzahl von erzeugten Events zu bewerten, zu klassifizieren und im Angriffsfall Alarm zu schlagen.

r-tec: Welche drei Bausteine sind aus Ihrer Sicht für den Aufbau einer idealen Sicherheitsarchitektur in KRITIS-Unternehmen unverzichtbar?

Stephan Uhde: Letztlich hängt es immer an drei Komponenten: Zuständigkeiten, Ressourcen und Budget. Ein System zur aktiven Angriffserkennung bringt mir schließlich nichts, wenn es niemanden gibt, der die Meldungen einordnet und reagiert.

r-tec: Herr Haase, Herr Uhde, wir danken Ihnen für dieses Gespräch.

WEITERE INFOS

Vorgaben rechtzeitig umsetzen mit dem Serviceangebot von r-tec

Als erfahrener IT-Security-Provider unterstützt Sie r-tec dabei, die Vorgaben des IT-Sicherheitsgesetzes 2.0 umzusetzen. Damit Sie keine Zeit verlieren und Ihr Kerngeschäft nicht vernachlässigen müssen, haben wir Ihnen die wichtigsten Services zum IT-SiG 2.0 zusammengestellt.

mehr Infos

Webcast zum IT-Sicherheitsgesetz 2.0

Besuchen Sie auch unseren Webcast zum Thema! Im Rahmen des Webcasts „Herausforderungen des IT-SiG 2.0“ gibt r-tec einen Überblick über die Neuerungen, die das IT-Sicherheitsgesetz 2.0 für Unternehmen im besonderen öffentlichen Interesse und für KRITIS-Betreiber mit sich bringt. Zudem erläutern die Referenten, welche Maßnahmen betroffene Unternehmen nun durchführen müssen, um weiterhin gesetzeskonform agieren zu können, und welche r-tec-Services sie dabei unterstützen.

mehr Infos

Whitepaper zum downloaden

Das IT-SiG 2.0 beinhaltet eine Vielzahl von neuen Regelungen für IT-Betreiber aus den verschiedensten Branchen. Zahlreiche Firmen und KRITIS-Unternehmen müssen nun Änderungen an ihren IT-Security-Systemen vornehmen, um Gesetzeskonformität zu erhalten oder herzustellen. Unser Whitepaper stellt die wichtigsten Neuerungen des IT-Sicherheitsgesetzes vor und gibt anschließend einen Überblick über geeignete Lösungen sowie über technische und organisatorische Umsetzungsmöglichkeiten

zum Download