r-tec: Herr Haase, das IT-Sicherheitsgesetz 2.0 steht unmittelbar vor der Verabschiedung. Auf welche Änderungen müssen sich Ihre Kunden aus dem Bereich der kritischen Infrastrukturen einstellen?

David Haase: Das IT-Sicherheitsgesetz 2.0 bringt gleich eine Vielzahl von Neuerungen mit sich. Vor allem auf KRITIS-Unternehmen kommt viel Arbeit zu. Unter anderem sieht der Gesetzesentwurf für Betreiber kritischer Infrastrukturen die Pflicht zur aktiven Angriffserkennung vor. Zudem soll der Bußgeldrahmen deutlich erhöht werden, sodass Gesetzesverstöße zukünftig empfindlichere Strafen nach sich ziehen werden als bisher. Wichtig für KRITIS-Unternehmen ist auch die im Entwurf festgeschriebene Definition von sogenannten kritischen Komponenten, die bereits im Zusammenhang mit den vorangegangenen Entwürfen des Gesetzes diskutiert wurde. Welche Komponenten davon betroffen sind, wird zukünftig durch Gesetze festgelegt.

Mit diesen Vorgaben müssen sich übrigens auch Betriebe aus dem Bereich der Siedlungsabfallentsorgung auseinandersetzen: Sie werden künftig ebenfalls zum Kreis der kritischen Infrastrukturen gezählt.  

r-tec: Was genau sind kritische Komponenten?

David Haase: Bei kritischen Komponenten wird es sich voraussichtlich um Leitsysteme von Netzbetreibern handeln sowie generell um Anlagen und Netze, welche die Steuerung und Überwachung in kritischen Bereichen unterstützen – meist ein zentraler und damit kritischer Punkt.

Stephan Uhde: In der Pharmaindustrie könnten zum Beispiel chemieproduzierende Anlagen kritische Komponenten sein. Gemeint sind hier vor allem ausführende Systeme wie die Maschinensteuerung. Aber wahrscheinlich werden auch ERP-Systeme wie unternehmensübergreifende IT-, Misch- und Koppelsysteme dazu zählen.

Ich vermute, dass im ersten Rutsch lediglich sehr zentrale Komponenten als kritisch eingestuft werden. Weitere folgen dann wahrscheinlich zu einem späteren Zeitpunkt.

Zu bedenken gilt es, dass der Gesetzesentwurf mit dieser Regelung nicht nur KRITIS-Unternehmen, sondern auch die Hersteller von operativen Systemen in die Pflicht nimmt. Diese kommen schließlich nicht mehr darum herum, Sicherheitsupdates, Aktualisierungen und Ähnliches anzubieten.

r-tec: Wie können sich KRITIS-Betreiber nun schnell einen Überblick über die bevorstehenden Änderungen verschaffen?

David Haase: KRITIS-Betreiber sollten unbedingt schon jetzt klären, welche Komponenten als kritisch eingestuft werden könnten, und die Hersteller dazu befragen. Sie halten in der Regel entsprechende Schriftstücke vor.

Zudem können sie Informationen bei Branchenverbänden einholen, sich die vom Analystenhaus Gartner festgelegten Sicherheitskriterien ansehen oder externe Dienstleister hinzuziehen. Sinnvoll ist es auch, sich mit vorhandenen Branchenstandards auseinanderzusetzen. Diese geben einen Hinweis darauf, wie der im IT-SiG 2.0 genannte „Stand der Technik“ definiert werden kann.

r-tec: Wie sollten Unternehmen grundsätzlich vorgehen, um die von Ihnen angesprochenen Compliance-Anforderungen zu erfüllen?

David Haase: Wir raten unseren Kunden, zunächst eingehend zu prüfen, in welchen Bereichen sie von den Compliance-Anforderungen in welchem Maße betroffen sind. Unter Umständen, erfordert dieser Vorgang die Einbindung von Juristen. In Spezialfällen kann auch die Rücksprache mit dem BSI notwendig sein. Auf jeden Fall muss derjenige, der den Prozess betreibt, dafür sorgen, dass das Ganze unter Einhaltung der gesetzlichen Vorgaben vonstattengeht. Deshalb sollten frühzeitig Informationen eingeholt und Compliance-Beauftragte zurate gezogen werden.

Die Anforderungen selbst können dann – vereinfacht ausgedrückt – durch den Aufbau eines geeigneten Managements für Informationssicherheit in den betreffenden Bereichen erfüllt werden.

r-tec: Wie können Unternehmen den Reifegrad ihrer Informationssicherheit und ihrer Compliance grundsätzlich möglichst schnell und umfassend klären?

David Haase: Ohne eine fundierte Analyse der Informationssicherheit beziehungsweise der Compliance lässt sich der Reifegrad letztlich nicht belastbar bestimmen. Doch keine Sorge: Es muss sich dabei nicht immer um einen langwierigen und intensiven Prozess handeln. Die Intensität der Analyse bestimmt aber natürlich den Detailgrad der Ergebnisse und damit die Genauigkeit der Einschätzung, was in der Folge zu tun ist.

Natürlich können Sie auch einen Dienstleister um Unterstützung bitten. Um den Vorgang zu vereinfachen, bieten wir bei r-tec beispielsweise einen standardisierte Werkzeuge und Vorgehensweisen Fragebogen an, die Aufschluss darüber geben, ob Handlungsbedarf besteht.

r-tec: Wie stelle ich sicher, dass meine Organisation über den erforderlichen Standard in den Bereichen Risiko- und Notfallmanagement verfügt?

David Haase: Bezogen auf KRITIS-Vorgaben und auf die aus dem IT-Sicherheitsgesetz 2.0 abgeleiteten Anforderungen in diesen beiden Bereichen gibt es zum einen die Möglichkeit, Branchenstandards für Informationssicherheit zu entwickeln und umzusetzen. Für einige Branchen liegen diese bereits vor. Zum anderen ist jeder stichhaltige Ansatz zum Aufbau eines Managements für Informationssicherheit geeignet, um die Anforderungen zu erfüllen. Das kann zum Beispiel ein ISMS nach ISO 27001 sein. Einen solchen Ansatz können Sie selbstständig oder mit einem geeigneten Partner umsetzen.

r-tec: Wie schnell müssen die Betroffenen reagieren?

David Haase: Nach Inkrafttreten des Gesetzes müssen zunächst die konkreten Regelungen durch entsprechende Rechtsverordnungen geschaffen werden. Für diese gilt eine zweijährige Umsetzungsfrist.

Für Unternehmen, die erst zu einem späteren Zeitpunkt auf Basis der KRITIS-Grenzwerte zu Betreibern einer kritischen Infrastruktur werden, hängt die Umsetzungsfrist vom Zeitpunkt der Identifikation als Kritische Infrastruktur ab und beträgt maximal ein Jahr. Ob man zu den KRITIS-Betreibern zählt, muss jährlich bis zum 31. März geprüft werden, bei Überschreiten der Grenzwerte greift die Einstufung als Kritische Infrastruktur ab dem 01.01. des Folgejahres – zu diesem Zeitpunkt müssen die Anforderungen umgesetzt sein. Der Umsetzungsprozess wird – unserer Erfahrung nach – dann auch oft durch die verantwortlichen behördlichen Stellen begleitet.

Wir empfehlen unseren Kunden, sich aktiv mit den Anforderungen auseinanderzusetzen und sich frühzeitig auf die Umsetzung vorzubereiten. Der Aufbau eines geeigneten Managements für Informationssicherheit kann zum Beispiel ein intensives Vorhaben sein und entsprechend viel Zeit in Anspruch nehmen.

r-tec: Herr Uhde, das IT-Sicherheitsgesetz 2.0 fordert die Einrichtung von Systemen zur Angriffserkennung. Welche konkreten Vorgaben sieht der Gesetzesentwurf für die betroffenen Firmen vor?

Stephan Uhde: Derzeit gibt es noch keine wirklich konkreten Vorgaben, da das Gesetz noch nicht verabschiedet wurde. Sollte der Bundesrat zustimmen, müssen sich Firmen aber auf einige Änderungen einstellen. Im Bereich der proaktiven Maßnahmen ist dann beispielsweise die Implementierung von Systemen notwendig, die Informationen zur Anomalie- und Angriffserkennung, zu Vorfällen und zur Kommunikation zwischen den Systemen im Produktionsumfeld bereithalten.

Unabdingbar sind auch klassische IT-Security-Komponenten wie Firewalls, Virtual Private Networks oder Endpoint-Security-Lösungen. Wichtig ist hierbei, dass alle Schutzsysteme auswertbare Log-Dateien liefern, um Angriffserkennungssystemen die Möglichkeit zu geben, Anomalien zu detektieren.

Der Software-Hersteller Claroty bietet beispielsweise Schutzsysteme an, die anhand gelernter Kommunikationsmuster Anomalien im Produktionsumfeld erkennen können.

r-tec: Reicht gegebenenfalls die Installation einer Monitoring-Plattform wie Splunk aus?

Stephan Uhde: Es kann unter Umständen ausreichen. Das hängt davon ab, wie die Rechtsverordnung festgelegt wird. Der Grad der Qualität der Datenauswertung muss noch konkretisiert werden.

r-tec: Ausgehend von Ihrer Erfahrung, wie schätzen Sie den momentan vorhandenen Sicherheitsstandard in den betroffenen Firmen ein?

Stephan Uhde: Pauschal lässt sich das nicht beantworten. Das hängt von der IT-Security-Affinität der jeweiligen Geschäftsführung und vom Organisationsgrad ab. Grundsätzlich gilt: Wenn Kunden über ein ISMS verfügen, betreiben sie ihre IT-Sicherheitsarchitektur in der Regel schon nah am Stand der Technik. Natürlich gibt es auch Ausnahmen. Kürzlich habe ich einen Kunden aus dem Gesundheitswesen betreut, der zwar über ein leistungsstarkes ISMS verfügte, gleichzeitig aber auf veraltete Endpoint-Lösungen gesetzt hat.

Bei Unternehmen abseits von KRITIS gibt es grundsätzlich noch viel Handlungsbedarf. Das liegt unter anderem daran, dass keine gesetzlichen Anforderungen erfüllt werden müssen und die intrinsische Motivation fehlt. Manchmal besteht das Problem darin, dass finanzielle und zeitliche Ressourcen nicht aufgebracht werden können.

Vor allem für kleinere Unternehmen hat das Thema IT-Security nur einen niedrigen Stellenwert. Anfällig für Cyber-Security-Risiken und Angriffe sind insbesondere Operational-Bereiche von Produktionsunternehmen sowie Betriebe, die mit hohem Bürokratieaufwand arbeiten. Kleine mittelständische Unternehmen haben ebenfalls einen großen Aufholbedarf. Das gilt hauptsächlich für produzierende Firmen, bei denen Büro- oder OT-Bereiche nicht ausreichend geschützt sind.

Zudem gehe ich davon aus, dass Unternehmen aus dem neuen KRITIS-Sektor Abfallentsorgung die im Gesetzesentwurf des IT-SiG 2.0 genannten Vorgaben noch nicht umgesetzt haben, da die Affinität zu Informationssicherheit in dieser Branche in der Regel fehlt.

Nicht vergessen sollte man die Dienstleister von KRITIS-Betreibern. Diese müssen jetzt gegebenenfalls nachziehen, wenn sie kritische Komponenten anbieten.

r-tec: Welche Lösungen empfehlen Sie Ihren Kunden zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes 2.0?

Stephan Uhde: Ein erster wichtiger Schritt ist die Durchführung von Architekturreviews, die auf den Standards ISO 27001, NIST und CIS beruhen. So lässt sich herausfinden, an welchen Stellen es Nachbesserungsbedarf gibt und welche konkreten Maßnahmen notwendig sind, um dem IT-Sicherheitsgesetz 2.0 gerecht zu werden.

Wichtig ist zudem die Implementierung einer Angriffserkennung, die den Gesetzesanforderungen entspricht. Im Entwurf heißt es dazu: „Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme.“

Entgegen der weitläufigen Einschätzung reicht ein Security Information and Event Management allein nicht aus, um diese Anforderungen zu erfüllen. Es ist erst mal nur ein System. Die generierten Informationen müssen auch bewertet und eingeordnet werden. Das heißt, es muss jemanden geben, der die einlaufenden Meldungen klassifiziert und Maßnahmen einleitet oder Ausnahmen definiert. Deshalb werden weitere Komponenten wie ein Managed-Detection-and-Response-System, Next-Generation-Features für Firewalls, eine Anomalieerkennung und Systeme, die automatisiert Angriffe erkennen und im Ernstfall reagieren, benötigt.

r-tec: Wie genau funktioniert ein Managed-Detection-and-Response-System?

Stephan Uhde: Bei Managed Detection and Response handelt es sich nicht um eine Technologie, sondern um eine Kombination aus einem Service, der von einem Dienstleister bereitgestellt wird, Leistungen eines Security Operation Centers und entsprechenden Quellsystemen, die in der kritischen Infrastruktur platziert werden. Letzteres sind technologische Lösungen.

Quellsysteme können beispielsweise Komponenten wie Security Information and Event Management, Next-Generation-Firewall-Systeme mit aktivierten IDS- oder IPS-Modulen, Endpoint-Security-Lösungen oder Industrial-IDS-Systeme für die Produktion sein. Diese sind in der Lage, sicherheitsrelevante Informationen für ein SOC bereitzustellen, um die massive Anzahl von erzeugten Events zu bewerten, zu klassifizieren und im Angriffsfall Alarm zu schlagen.

r-tec: Welche drei Bausteine sind aus Ihrer Sicht für den Aufbau einer idealen Sicherheitsarchitektur in KRITIS-Unternehmen unverzichtbar?

Stephan Uhde: Letztlich hängt es immer an drei Komponenten: Zuständigkeiten, Ressourcen und Budget. Ein System zur aktiven Angriffserkennung bringt mir schließlich nichts, wenn es niemanden gibt, der die Meldungen einordnet und reagiert.

r-tec: Herr Haase, Herr Uhde, wir danken Ihnen für dieses Gespräch.