Kritische Infrastrukturen

KRITIS: Vom Papier zum Mehrwert


KRITIS: Vom Papier zum Mehrwert Comment

"Deutsche Unternehmen aus der Energiewirtschaftsbranche sind Ziel einer großangelegten weltweiten Cyber-Angriffskampagne", warnte das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, Mitte Juni auf seinen Internetseiten. Mit dieser Warnung geht die Erkenntnis einher, dass kritische Infrastrukturen (KRITIS) explizit geschützt werden müssen. Ein Blick auf die Angriffe in den letzten Jahren verdeutlicht, warum das so wichtig ist. Im Dezember 2015 attackierten Hacker zwei Stromversorger in der Ukraine. Die Folge: Mehr als 80.000 Menschen hatten keinen Strom. Ein Cyberangriff auf den Deutschen Bundestag im Jahr 2015 wirbelte viel politischen Staub auf. Und erst vor einigen Wochen wurde der Betreiber einer Exchange-Plattform das Opfer eines Hackerangriffs. Schaden rund 23,5 Millionen US-Dollar in Form verschiedener Kryptowährungen.

Managementsystem als wichtiger Baustein

Um mehr Sicherheit für kritische Infrastrukturen zu erhalten, verabschiedete der Gesetzgeber im Mai 2015 das IT-Sicherheitsgesetz. In Verbindung mit der Rechtsverordnung BSI-KritisV werden Betreiber kritischer Infrastrukturen (KRITIS) benannt und gesetzlich verpflichtet ein Mindestsicherheitsniveau für relevante informationstechnische Systeme und Prozesse einhalten.

Auf den entsprechenden Seiten des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe sowie des BSI heißt es hierzu: "Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden." Mehr noch, gilt es diese Systeme und Prozesse extern prüfen zu lassen.

Zertifikatspflichten wurden für diese KRITIS-Betreiber nicht vorgeschrieben, sondern das BSI rief die Betreiber und Verbände der jeweiligen Branche auf, sogenannte branchenspezifische Sicherheitsstandards (B3S) zu entwickeln. Bis dato gibt es diese in den Bereichen  Wasser/Abwasser, IT und TK sowie Ernährung. Gleichwohl herrscht unter den vom BSI akzeptierten Prüf- und Zertifizierungsgesellschaften eine gewisse Verunsicherung, wie diese zu prüfen sind. So bietet manche Gesellschaft aus nachvollziehbaren Gründen §8a-Prüfungen nur in Kombination mit einem nativen 27001-Zertifikat an.

Die Frage, die sich dabei ergibt: Reicht diese gesetzliche Vorgabe in der Praxis, um einen Schutz kritischer Infrastrukturen zu gewährleisten? Ein wichtiger Baustein, mit Blick auf den Schutz und das Gesamtgefüge im KRITIS-Umfeld, ist der Aufbau eines Managementsystems nach ISO/IEC 27001. Obgleich es nicht notwendig ist, um den Anforderungen gem. §8a BSI-Gesetz gerecht zu werden. Bei den zu erbringenden Nachweisen für das BSI handelt es sich faktisch nicht um ein Zertifikat, sondern einen Sachstandsbericht.

Zudem hat ein natives Managementsystem nach ISO/IEC 27001 den Vorteil, dass andere Managementsysteme, wie z.B. das Qualitätsmanagement oder auch der Bereich des Datenschutzes, als integriertes Managementsystem effizient und einheitlich im Unternehmen strukturierbar sind.
Allerdings ist ein reines ISO/IEC 27001-Zertifikat oftmals nicht ausreichend. Sofern es für einen Sektor einen sogenannten branchenspezifischen Sicherheitsstandard (B3S) gibt, sollte dieser für den Aufbau eines Informationssicherheits-Managementsystems, kurz ISMS, herangezogen werden.

Geschäftsleitung und …

Im Grunde hängt die Einführung eines solchen Managementsystems zunächst maßgeblich von der Geschäftsführung ab. Die wichtigsten Schritte liegen zunächst in der Zustimmung der obersten Leitung und in der Kontextanalyse, um den Scope formulieren zu können. Wenn die Geschäftsführung eines Unternehmens die Einführung eines Managementsystems nicht für sinnvoll erachtet und sie sogar eher blockiert, ist die Einführung zum Scheitern verurteilt. Sie hat eine Vorbildfunktion. So schreibt die Beratungsgesellschaft PwC im Buch zur "Regulierung in der deutschen Energiewirtschaft": "Elementares Schlüsselelement für den Erfolg eines ISMS ist der Umgang der Führungskräfte mit informationssicherheitsrelevanten Themen. Neben der eigenen Vorbildfunktion haben Führungskräfte nicht nur die Entscheidungen zur Sicherheitspolitik zu vermitteln, sondern auch Sorge dafür zu tragen, dass Mitarbeiter in der Lage sind, Risiken selbständig zu bewerten und bewältigen zu können."

In diesem Zusammenhang besteht vor allem die Gefahr, dass der konsequente Kompetenzaufbau der IT-Mitarbeiter ins Hintertreffen gerät. Denn eine IT-Infrastruktur ist letztendlich nur so gut, wie die Mitarbeiter, die sie betreiben. Gerade in der Prozess-IT mit ihren oftmals langen Lebenszyklen von 15 und mehr Jahren, war IT-Sicherheit lange kein Verkaufsschlager. Deshalb standen diese Mitarbeiter auch nur nachrangig im Fokus sicherheitsrelevanter Personalentwicklung. Hinzu kommt, dass Werbeveranstaltungen der eingesetzten Hersteller oftmals die einzige Informationsquelle seien. Die Risiken, die damit verbunden sind, sollten unbedingt betrachtet werden.

… Mitarbeiter gefragt

Im Mittelpunkt muss daher die Frage stehen, mit welchen Maßnahmen sich Mitarbeiter stärker in den ISMS-Prozess einbinden lassen. Als eine Grundvoraussetzung wird eine Basis-Awareness aller Mitarbeiter gesehen. Dies ist wichtig, damit diese überhaupt verstehen, was Informationssicherheit bedeutet. Mithilfe dieser Sensibilisierung lässt sich unter anderem zeigen, wie leicht Datendiebe an vertrauliche Daten gelangen – beispielsweise durch Social Engineering. Und auch in puncto IT-Systeme sind diese keinesfalls so sicher, wie  Hersteller das gerne propagieren. Für das Topmanagement im Unternehmen ist es wichtig zu verstehen, dass ihre kritische Infrastruktur ein strategisches Angriffsziel ist – sowohl für staatliche als auch für kriminelle Gruppierungen.

Es ist davon auszugehen, dass es eine große Dunkelziffer sicherheitsrelevanter Vorfälle in kritischen Infrastrukturen gibt, die unentdeckt bleiben. Hintergrund sind unter anderem nicht umfassend ausgewertete Protokolldaten, was auch auf den Netzwerkverkehr zutrifft. Hinzu kommen erkannte Vorfälle, die als nicht meldewürdig eingestuft werden.

Sicher ist oft nicht bequem

In vielen Fällen zeigt sich, dass Gesetze und Verordnungen erstmal nur Papier sind. Am Ende des Tages kommt es darauf an, wie ernst Energieversorger kritischen Infrastrukturen als Thema annehmen. Die Erfahrung zeigt, dass die gesetzlichen Anforderungen sowohl im Bereich des Energiewirtschaftsgesetzes als auch des BSI-Gesetzes in Prüfungen erfüllt werden können und der faktische Schutz trotzdem nur in geringem Umfang steigt. Sicher ist oft nicht bequem und bequem ist oft nicht sicher. Der Erfolg hängt von vielen Faktoren ab. Hierzu zählen eine schlagkräftige Prozess-IT-Abteilung, der Aufbau interner Know-how-Träger, die Verankerung von Informationssicherheit in den Köpfen aller Mitarbeiter oder der Wille sich kontinuierlich zu verbessern.

All das erfordert Unterstützung durch die Führungsriege eines Unternehmens und letztendlich auch die Bereitstellung oftmals erheblicher finanzieller Ressourcen.

Und auch im Bereich der Unternehmens-Resilienz  lässt sich im Vorfeld einiges tun. Die Widerstandsfähigkeit wird an vielen Fronten entschieden und es gilt die Binsenweisheit, dass sich ein gravierender Informationssicherheitsvorfall erst gar nicht zu einem Flächenbrand entwickeln kann, wenn präventive Maßnahmen zuvor greifen. Konkret heißt das, neben der Awareness der Mitarbeiter sind gehärtete und gepatchte Systeme die Grundvoraussetzung.

Der Aufwand, Sicherheitsmeldungen bezüglich der eigenen Betroffenheit auszuwerten, ist immens und überfordert die meisten Unternehmen. Aufgrund des fehlenden IT-Know-how, stellt bereits die Auswertung der überschaubaren Menge an BSI-Meldungen, welche über den UPKRITIS oder die BSI-Kontaktstelle versendet werden, manches Unternehmen vor eine unlösbare Aufgabe. Daneben ist ein entscheidender Faktor die Netzstruktur und ihre Segmentierung. Der Betrieb eines Secure Operations Center oder eines Computer Emergency Response Team (CERT) können sich nur wenige leisten.

Daher sollte zumindest über IDS/IPS-Systeme nachgedacht werden, die eine Überwachung von unerwünschten Aktivitäten im eigenen Netzwerk ermöglichen und schnelle sowie automatisierte Reaktionen ermöglichen. Denn eines ist sicher: Deutsche Unternehmen sind schon lange im Fadenkreuz gewerblicher und staatlicher Akteure. Von daher sollten Unternehmen vom reinen Papier im KRITIS-Umfeld zum Mehrwert kommen.

Autor

Alexander Burgis ist Spezialist in den Bereichen ISO/IEC 27001, ISO 22301, B3S-Kritis und Krisenstabsübungen, sowie Senior Berater bei der RUCON Gruppe.

Alexander Burgis ist Spezialist in den Bereichen ISO/IEC 27001, ISO 22301, B3S-Kritis und Krisenstabsübungen, sowie Senior Berater bei der RUCON Gruppe.

[ Source of cover photo: Adobe Stock ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.