6 Jahre Branchenspezifische Sicherheitsstandards (B3S) – Eine Bestandsaufnahme im Vergleich

Von Konrad Degen.

Branchenspezifische Sicherheitsstandards (B3S) haben sich in zahlreichen KRITIS-Sektoren in Deutschland etabliert. Nach der durch das IT-Sicherheitsgesetz 1.0 ausgelösten Entstehungswelle entwickeln sich aufgrund der zweijährigen Gültigkeit die Standards weiter. Eine Vergleichsanalyse zeigt, dass sieben Schritte für die Erstellung eines B3S notwendig sind. 

Mit Inkrafttreten des IT-Sicherheitsgesetzes 1.0 im Juli 2015 hat der Gesetzgeber sich zum Ziel gesetzt, die IT-Sicherheit in Deutschland zu stärken. Betreiber von kritischen Infrastrukturen wurden aufgrund ihrer Bedeutung für die Gesellschaft verpflichtet, ein Mindestmaß an IT-Sicherheit zu gewährleisten, da ein Ausfall oder eine Störung der öffentlichen Daseinsvorsorge negative Auswirkungen für Staat, Wirtschaft und Gesellschaft zur Folge haben. KRITIS-Betreibern wurde die Möglichkeit eingeräumt, branchenspezifische Sicherheitsstandards (B3S) zu entwickeln.  Die in der Regel durch Verbände entwickelten B3S werden nach Eignungsfeststellung durch das BSI für die Dauer von zwei Jahren als gültig erklärt.

Im Zuge der Diskussion um die Verabschiedung des IT-Sicherheitsgesetzes 2.0 und einer geplanten Überarbeitung der B3S Orientierungshilfe durch das BSI ist es sinnvoll, sich die bestehende B3S-Landschaft genau anzuschauen. Auf der Webseite des BSI werden 10 existierende B3S u. a. für die KRITIS-Sektoren Wasser, ITK, Ernährung, Gesundheit und Pharma sowie Verkehr veröffentlicht. Allerdings besteht keine Veröffentlichungspflicht; die Anzahl tatsächliche existierender B3S liegt deutlich höher.

Überblick über B3S

Betrachtet man nur die öffentlich verfügbaren B3S, lassen sich folgende Erkenntnisse ableiten:

  • Die meisten B3S wurden durch Verbände herausgegeben und die erste Version in den Jahren 2018 und 2019 veröffentlicht.
  • Im Zuge der Weiterentwicklung bzw. Verlängerung der B3S wurden die Inhalte teilweise vertieft und aktualisiert, aber nur kleine Änderungen vorgenommen, und es erfolgte meist keine Änderung der Grundstruktur.
  • In der Regel orientieren sich die B3S-Autorinnen und Autoren an der einschlägigen Orientierungshilfe des BSI (Ausnahme: Der B3S für Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr ist nach DIN ISO/IEC 27001 strukturiert)
  • Alle B3S umfassen nicht nur den B3S-Betreiber, sondern auch Dienstleister und Dritte, welche Teilleistungen bzw. Teilfunktionen erbringen. Der KRITIS-Betreiber muss dabei sicherstellen, dass die B3S-Anforderungen eingehalten werden.
  • Alle B3S verfolgen einen Allgefahrenansatz, und der Einsatz eines Informations-Sicherheitsmanagementsystems (ISMS) wird empfohlen und ist teilweise verpflichtend (u.a. B3S Gesundheitsversorgung im Krankenhaus)
  • Alle B3S verweisen auf allgemeine Normen (z. B. ISO 27001, IT-Grundschutz) und weitere branchenspezifische Standards, welche gemeinsam mit dem B3S angewendet werden müssen.
  • Alle B3S zeigen konkrete Maßnahmen und abzudeckende Themen auf, welche sich an der Orientierungshilfe orientieren und auf den speziellen KRITIS-Sektor angepasst wurden.

Vergleich B3S

Zukünftige B3S

Basierend auf den analysierten B3S lässt sich für die Erstellung zukünftiger B3S folgende Struktur empfehlen:

  1. Zunächst sollte die Festlegung des Scopes des B3S erfolgen. Dies beinhaltet die Nennung der Rechtsgrundlage, die Definition wichtiger Schlüsselbegriffe sowie die Festlegung der Zielsetzung des B3S mit einer Abgrenzung, welche Aspekte der kritischen Infrastruktur nicht Gegenstand des B3S sind.
  2. In einem zweiten Schritt sollte die KRITIS-Infrastruktur ausführlich beschrieben werden. Hierbei sollte auf die Funktionsweise und die Rollen/Akteure eingegangen werden. Im Mittelpunkt sollte die Beschreibung der Abhängigkeit der KRITIS-Infrastruktur von der IT stehen.
  3. Als dritter Schritt erfolgt die Festlegung und Formulierung der Schutzziele des B3S. Hierbei sollte auf die Anwendung eines Allgefahrenansatzes eingegangen, die KRITIS-Schutzziele genannt und auch die IT-Schutzziele beschrieben werden. Einbezogene Standards und Vorgaben, welche die Grundlage für den B3S bilden, können ebenfalls beschrieben bzw. auf diese verwiesen werden.
  4. Die Beschreibung der branchenspezifischen Gefährdungslage ist der vierte Schritt. Hierbei wird die kritische Dienstleistung definiert, indem deutlich wird, wann diese erfüllt oder nicht erfüllt wird. Des Weiteren werden die allgemeinen und IT-spezifischen Bedrohungen je nach Relevanz für den spezifischen B3S aufgelistet und gegenübergestellt. Die Benennung der Bedrohungskategorien und Schwachstellenkategorien sowie die Beschreibung des Umgangs bei Änderungen der Gefährdungslage sollten ebenfalls in diesem Schritt erfolgen.
  5. Im fünften Schritt erfolgt die Beschreibung des Vorgehens und Nennung von Maßnahmen für die Risikoanalyse und das Risikomanagement. Hierbei werden die Risikokategorien festgelegt und bewertet sowie Handlungsempfehlungen abgeleitet. Des Weiteren werden die Techniken und Methoden zur Durchführung der Risikoanalyse beschreiben und die Risikotoleranz definiert.
  6. Schritt sechs beinhaltet die Maßnahmen und Handlungsempfehlungen für den Umgang mit Risiken. Hierbei sollte sich an den abzudeckenden Themen der Orientierungshilfe orientiert werden:
    1. Relevanz eines ISMS
    2. Relevanz des Business Continuity Management für die kDL
    3. Relevanz des Asset Management
    4. Anforderungen an eine robuste/resiliente Architektur
    5. Anforderungen an eine bauliche/physische Sicherheit
    6. Bedeutung der personellen und organisatorischen Sicherheit
    7. Relevanz der branchenspezifischen Technik und Nennung spezifischer Anforderungen an die Ausgestaltung
    8. Bedeutung der branchenspezifischen Architektur und Verantwortung
    9. Anforderungen an die Vorfallserkennung und -bearbeitung
    10. Umgang mit Überprüfungen und die Bedeutung von Übungen
    11. Relevanz der externen Informationsversorgung und Unterstützung
    12. Rolle und Bedeutung von Lieferanten, Dienstleister und Dritte
    13. Beschreibung der technischen Informationssicherheit
  7. In Schritt sieben erfolgt die Definition der zulässigen Arten von Nachweisen, welche für die Erfüllung des B3S erforderlich sind. Hierbei sollen auch die für den Nachweis zulässigen Standards bzw. Anforderungen genannt werden. Des Weiteren müssen die Anforderungen an das Prüfschema sowie das Prüfteam beschrieben werden. Zum Schluss wird auch die Nachweispflicht gegenüber dem BSI geregelt.

Zusätzlich zu den skizzierten Schritten kann durch einen Anhang die Übersichtlichkeit etwa von Schwachstellen und Bedrohungskategorien verbessert werden. Weiterhin ist es empfehlenswert, Schlüsselwörter wie „MUSS“, „SOLL“ und „KANN“ zu verwenden, damit die Bedeutung von Maßnahmen sofort ersichtlich ist. Ein Literaturverzeichnis, Abkürzungsverzeichnis, sowie ein Glossar sorgen für ein besseres Verständnis des B3S.

Show Your HighNIS: Highlights des EU NIS Investment Reports

von Tim Goos.

Im Dezember 2020 wurde der NIS Investment Report veröffentlicht. Dieser analysiert, wie die EU NIS Direktive in den zwei Jahren seit ihrer Umsetzung in die nationalen Gesetze von Organisationen implementiert wurde. Dabei betrachtet der Report als repräsentative Stichprobe für die gesamte EU nur Organisationen aus den vier Ländern Deutschland, Frankreich, Spanien und Polen. So konnte ein Vergleich zwischen den Ländern, aber auch zwischen verschiedenen Sektoren gezogen werden. Dabei stellte sich heraus, dass in Bezug auf die Umsetzungstiefe die Länder von Deutschland und die Sektoren vom Banken- sowie vom Energiesektor angeführt werden. Abgeschlossen wird der Bericht durch eine Umfrage zu den gewählten Schwerpunkten und Komplikationen bei der Implementierung. Nicht überraschend werden unklare Erwartungen der nationalen Autoritäten und Konflikte mit anderen Gesetzen als die größten Hindernisse genannt.

Zusammengefasst bietet der NIS Investment Report einen Einblick in die Umsetzung der NIS Direktive, aber leider keinen tiefen.

Abbildung1: Darstellung der aktuellen Implementierung der NIS Direktive[1]

Insgesamt haben rund 80 % aller betrachteten Organisationen mit der Implementierung begonnen oder haben diese schon vollendet. Nur eine der 251 betrachteten Organisationen weigert sich, die NIS Direktive zu implementieren oder sich an dieser zu orientieren. Weiterhin dauert die Implementierung im Schnitt zwischen 14 und 18 Monaten, womit dreiviertel der Organisationen im Jahr 2018 oder 2019 starteten. Vorreiter bei der vollendeten Implementierung der NIS Direktive ist Deutschland mit ~70 %, dicht gefolgt von Frankreich und Italien mit ~67 % bzw. ~64 %. Spanien und Polen folgen mit unter 50 % Umsetzung. Gründe hierfür sind unter anderem die Geschwindigkeit, mit der die NIS Direktive in die nationalen Gesetze umgesetzt wurde, sowie deren Priorisierung.

Die eingesetzten dedizierten Ressourcen umfassen zu 90 % ein Budget zwischen 50.000 € und 1 Million € mit einer 50/50-Verteilung, ob neue oder externe Arbeitskräfte eingesetzt werden. Da keine Korrelation zwischen den erhobenen Daten und der Größe der entsprechenden Organisationen vorliegt, können die Daten schlecht interpretiert werden. Es ist anzunehmen, dass kleinere Organisationen mehr auf neue oder externe Arbeitskräfte setzen, um die NIS Direktive zu implementieren, während große Organisationen durch entsprechend größere IT-Abteilungen und Know-how diese selbständig umsetzen können. Ein interessanter Ausreißer ist der Sektor Digitale Infrastruktur. In diesem gaben ~39 % der Organisationen ein Budget unter 50.000 € an. Im Vergleich zum Energiesektor zeigen sich große Diskrepanzen. Daraus lässt sich schließen, dass die einzelnen Sektoren unterschiedlichen Wert auf IT-Sicherheit legen.

Den größten Einfluss auf die IT-Sicherheit der Organisationen hat die NIS-Direktive in den drei Sicherheitsbereichen „Governance, Risk and Compliance“, „Security Analytics“ und „Network Security“. Dies zeigt sich z. B. dadurch, dass 81 % aller betrachteten Organisationen einen Mechanismus zum Melden von Vorfällen in der IT-Sicherheit an nationale Autoritäten eingerichtet haben. Außerdem sieht die überwiegende Mehrheit aller betrachteten Organisationen die NIS-Direktive als einen positiven Beitrag zu Ihrer IT-Sicherheit. Dies könnte an den wenigen neuen Technologien liegen, die laut Umfrage eingesetzt werden. Es wurden also meist schon bestehende Systeme erweitert oder ausgebaut, was es den Organisationen einfacher machte. Schließlich gaben die betrachteten Organisationen die verschiedenen Umsetzungen in nationale Gesetze und mögliche Konflikte mit alten Gesetzgebungen sowie die Priorisierung anderer Regulierungen und die unklaren Erwartungen von Seiten nationaler Autoritäten als die größten Schwierigkeiten bei der Implementierung der NIS Direktive an.


[1] S. 18 des NIS Investments Report https://www.enisa.europa.eu/publications/nis-investments

Verbändeanhörung zur neuen KRITIS-Verordnung

An die einschlägigen Verbände wurde heute ein Vorab-Entwurf der Änderung der KRITIS-Verordnung zur Anhörung verschickt. Das BMI sieht darin signifikante neue bzw. verschärfte Anforderungen für KRITIS-Betreiber und – erstmalig – auch andere Unternehmen vor. Der Entwurf ist wohl innerhalb der Bundesregierung, anders als ein typischer Referentenentwurf, noch nicht abschließend abgestimmt.

KRITIS-Betreiber bleibten weiter verpflichtet, ihre Anlagen für kritische Dienstleistungen (kDL) nach „Stand der Technik“ abzusichern, was alle zwei Jahre durch zu überprüfen ist. Verstöße könnten zukünftig jedoch mit bis zu 20 Millionen Euro für juristische Personen geahndet werden (heute: 100.000 Euro).

BMI, Auswärtiges Amt und zuständiges Fachministerium könnten zukünftig den Einsatz bestimmter kritischer Komponenten verbieten („Lex Huawei“).

Betreiber würden zudem verpflichtet, Systeme zur „automatischen Angriffserkennung“ (lies: SIEM, ggf. SOC) zu nutzen und die Daten aus diesen vier Jahre lang aufzubewahren,

Kein neuer Schwellwert, aber neue Schwellen

Zwar bleibt die Orientierungsgröße von 500.000 mit einer kDL versorgten Menschen für die Einstufung als Kritis-Anlage erhalten. Im Detail wurde deren Interpretation aber verändert und ausgeweitet.

Für Verkehrsbetriebe etwa würde sich die Formulierung von „125 Millionen Fahrgästen im Jahr“ zu „125 Millionen unternehmensbezogener Fahrgastfahrten im Jahr“ konkretisieren, was Querelen wie bei der BVG (inzwischen beigelegt) die Grundlage entzieht.

Software und IT-Dienste als KRITIS

Neu als KRITIS-Anlagen werden nun „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ genannt. Hier ist jedoch noch eine konkrete Interpretation vonnöten.

Bis zum 17. Mai erwartet das BMI die Stellungnahmen der Verbände. Am 26. Mai ist eine Anhörung per Videokonferenz terminiert.

IT-Sicherheitsgesetz 2.0 verabschiedet

Nach langen Verhandlungen hat der Bundestag am 23.4.2021 „nach halbstündiger Aussprache“ – sprich, kurz und (je nach Standpunkt) schmerzlos bzw. -voll die Neuausgabe des IT-Sicherheitsgesetzes von 2015 beschlossen. Seit 2019 hatte es für die Novelle des Gesetzes, welches bis zuletzt nicht evaluiert worden war, eine Reihe von öffentlichen, nichtöffentlichen, geleakten und teilweise schnell wieder veralteten Entwürfen gegeben, die der kommentierenden Zivilgesellschaft einiges an Agilität abverlangten.

Am Ende konnte die viele – nicht wenige sagen: vernichtende – Kritik am Gesamtwerk nur wenig Änderungen bewirken; auch die Anträge der verschiedenen Oppositionsparteien wurden sämtlich abgeschmettert. Nun ist es, was es ist – und wird, wie bereits das ursprüngliche IT-SiG – konkret vor allem mit den folgenden Rechtsverordnungen ausgestaltet werden.

Klar ist aber schon, dass die Kompetenz des BSI stark erweitert wird. Es kann künftig Sicherheitslücken in IT-Systemen über öffentliche Telekommunikationsnetze mithilfe von Portscans suchen und semi-offensive Methoden wie Honeypots und Sinkholes einsetzen. Dazu mischt das BSI jetzt im Verbraucherschutz mit, etwa mit einem IT-Sicherheitskennzeichen.

Kritis-Betreiber sowie Betreiber im Energie-Sektor müssen bald Systeme zur Angriffserkennung („SOC“/„SIEM“) einsetzen. Außerdem müssen Erklärungen von Herstellern kritischer Komponenten eingeholt werden, dass keine Sabotage oder Spionage zu erwarten ist.

Bestimmte bislang schon geltende Pflichten für Kritis-Betreiber (v. a. die Meldepflicht) betreffen demnächst auch „Unternehmen in besonderem öffentlichen Interesse“ („UNBÖFI“), etwa in der Rüstungsindustrie und im Bereich Verschlusssachen („KRITIS-light“). Ebenso auf dem Radar sind nun Unternehmen, die der Störfallverordnung unterliegen, und Konzerne „von erheblicher volkswirtschaftlicher Bedeutung“ im Inland oder als Zulieferer mit „Alleinstellungsmerkmalen“. Neu betroffen ist der Sektor Entsorgung.

https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/it-sig-2-kabinett.html

Hold My BIA: Vergiftet oder erfroren – Welche ist die KRITISchste Dienstleistung?

Zurzeit lohnt aus dem Gesichtspunkt KRITIS ein langer und tiefer Blick in die USA, wo sich innerhalb kürzester Zeit zwei Szenarien ereigneten, die einige jüngst noch als Panikmache bezeichnet hätten: Während dieser Tage ein Wintereinbruch in Texas und Umgebung Millionen von Haushalten von der Stromversorgung abschneidet, konnte Anfang Februar ein Angriff auf die Wasseraufbereitung in Florida abgewehrt werden, der potenziell das Trinkwasser der Kleinstadt Oldsmar hätte vergiften können.

Aus Security-Sicht scheint vor allem der zweite Fall interessant, aber es macht durchaus Sinn, beide im Vergleich anzuschauen. In der texanischen Katastrophe kommen mindestens vier Dinge zusammen: Unsere wohlbekannte Abhängigkeit vom Strom als der Grund-kDL (kritische Dienstleistung) des Informationszeitalters, die ebenfalls wohlbekannt wackelige Infrastruktur in diesem Bereich in den USA und anderswo, die Zunahme der Volatilität in komplexen Systemen, die wir zu sehr aus dem Gleichgewicht bringen (Stichwort Klimawandel) sowie möglicherweise auch ein stückweit der Hochmut lokaler Machthabender, zu meinen, das eigene Grid besser getrennt vom Rest des Landes betreiben zu können – so viel Föderalismus gibt es nicht einmal bei uns. Trotzdem müssen wir zugeben, dass es nicht möglich ist, eine Infrastruktur gegen jedes „Black Swan“-Risiko abzusichern. Oder sollte Nigeria jetzt schneesichere Kraftwerke bauen? Die Notfallbehandlung im südlichen US-Bundesstaat scheint wiederum, soweit sich das aus der Ferne beurteilen lässt, durchwachsen zu laufen.

Oldsmar hingegen scheint Stoff für Horrorfilme zu bieten: Ganze Kleinstadt ausgelöscht durch böse Terror-Hacker! Also fast! Dabei wird hier eher umgekehrt ein Schuh draus: Dass auch im Bereich Wasser Fernwartung inzwischen die Regel ist und Teamviewer und Co. nicht allerorten sicher konfiguriert sind, hat sich herumgesprochen. Insofern war das Szenario erwartbar – und wurde auch erwartet und entsprechend behandelt. Auf IT-Ebene ist der Angriff zwar geglückt, wurde aber umgehend detektiert (durch Admin) und wäre auch sonst aufgefallen, bevor ein Schaden hätte entstehen können (durch Technik und Prozesse). Aus Sicherheitssicht also ein nützlicher Wakeup-Call oder wenigstens Reminder – aber der unfreiwillige Red-Teaming-Test wurde in jeder Hinsicht bravourös bestanden.

Also doch den Blick wieder nach Texas: Wir müssen auch in der IT aufpassen, dass wir uns in möglichst wenige Situationen hineinmanövrieren, wo die Komplexität außen steigt (Was ist unser „Klimawandel“?*), während wir innen zu viel Energie mit Altlasten („technical debt“) binden. Auch das wird immer wieder einmal schiefgehen – siehe diese Digests der letzten Jahre – aber wir sollten die Gesamttrajektorie im Blick behalten.

https://www.wired.com/story/oldsmar-florida-water-utility-hack/

* Siehe z. B. Lesetipp „Security, Moore’s law, and the anomaly of cheap complexity“.

Umsetzung des § 8a BSIG in der Praxis

Hilfe für die Bevölkerung oder nur ein Papier-Tiger? Eine Reise zwischen Nachweiserbringungen, Zertifizierungen und dem wirklichen Leben.

Von Daniel Jedecke, Senior Expert, HiSolutions AG.

Kritische Infrastrukturen sind essentiell für unsere Gesellschaft. Daher sollte die Sicherheit der IT ein wichtiges Augenmerk sein. Durch das IT-Sicherheitsgesetz und den § 8a BSIG wurden hierfür die Weichen gestellt. Jedoch ist für viele Unternehmen das Thema IT-Sicherheit neu und die Umsetzung scheitert oft schon am Verständnis für die neuen Anforderungen. Hilft ein schnell eingeführtes ISMS wirklich oder sollte das Thema nachhaltiger angegangen werden?

Oft wurde uns gesagt: „Wir wissen natürlich, wie wir unsere Dienstleistung anbieten müssen, aber IT-Sicherheit? Das ist nicht unser Kernthema“. Das ist vollkommen klar; ein Bäcker wird auch nicht einfach anfangen, Kupplungen zu entwickeln und zu verkaufen.

Zunehmende Digitalisierung

In Zeiten der voranschreitenden Digitalisierung unserer Gesellschaft eröffnen sich auch immer weitere Angriffsflächen. Musste man vor Jahren noch Banken überfallen, um an Geld heranzukommen, so reicht heute der Überfall auf die IT, um sich das Geld bequem am Geldautomaten abzuheben. Dabei lässt sich dann ein sogenannter Cash-Out direkt mit einer manipulierten Chipkarte erzeugen.

Immer neue Cyber-Angriffe führen dazu, dass Angriffe auf Unternehmen nicht mehr als Ausnahme, sondern als Regel gesehen werden. So werden, je nach Studie, etwa 45% der Unternehmen regelmäßig angegriffen. „Von 2013 bis 2017 hat sich die Lage der Cybersicherheit dramatisch verschlechtert. Während die Durchdringung aller Lebensbereiche mit digitaler Technologie immer schneller voranschreitet, ist die Qualität der Technologie in der Fläche nicht besser geworden“[1].

Kritische Infrastrukturen sind essentiell für unsere Gesellschaft. So gibt es europaweite Bestrebungen, diese Infrastrukturen zu schützen. Die EU hat hierzu die Direktive 2008/114/EC herausgegeben, um in einem ersten Schritt die kritischen Infrastrukturen zu definieren und Schutzmaßnahmen einzufordern.

Beispiel Stromversorgung

Am Beispiel der Stromversorgung lässt sich gut feststellen, wie sich diese im Laufe der Zeit angepasst hat. Anfang des 19. Jahrhunderts war die Abwesenheit von Strom noch an der Tagesordnung. Selbst vor 40 Jahren noch gehörten kleinere Stromausfälle zum Alltag und waren von der Gesellschaft akzeptiert. Durch die zunehmende Industrialisierung und die Vernetzung von Systemen entstanden Kopplungen. Eine Kopplung bedeutet, „dass es zwischen zwei miteinander verbundenen Teilen kein Spiel, keine Pufferzone oder Elastizität gibt“[2]. War früher der Ausfall einer Telefonleitung noch vertretbar, so kann dies heutzutage zu einem kritischen Zustand führen, da wichtige Informationen nicht zwischen zwei Standorten übertragen werden können.

Die Bevölkerung verlernt mehr und mehr, den Ausfall von kritischen Infrastrukturen zu kompensieren. „Steigen die Auswirkungen, die durch Stromausfälle hervorgerufen werden, kann dies zweierlei bedeuten: zum einen eine wachsende Abhängigkeit vom Strom, zum anderen eine sich relational verringernde Kompensationskompetenz. Beides scheint in zunehmendem Maße gegeben.“[3]. Die beschriebene Kompensationskompetenz verringert sich durch die Digitalisierung immer weiter. Während bei älteren Bürgern in Deutschland durch die Nachkriegszeit noch Erfahrungen mit Mangelsituationen vorhanden sind, fehlen den meisten Menschen in Deutschland diese Kenntnisse, da sie selten oder nie mit Mangelsituationen infolge kriegerischer Auseinandersetzungen oder Katastrophen in Berührung gekommen sind. So können Jugendliche heutzutage kaum noch ohne ihr Smartphone auskommen. Ausfälle der Infrastruktur erleben sie somit als ernstzunehmende persönliche Bedrohung. Gerade die aktuelle Pandemie mit flächendeckenden Lockdowns zeigt deutlich auf, wie fragil die Gesellschaft in dieser Hinsicht geworden ist.

Angriffe gegen kritische Infrastrukturen

Angriffe gegen die kritischen Infrastrukturen nehmen immer weiter zu. So wurden 2015 weite Teile des ukrainischen Stromnetzes durch einen IT-Angriff abgeschaltet.

Seit 2016 ist ein starker Anstieg der Gefährdung durch Ransomware festzustellen. Weltweite Ransomware wie WannaCry hat 2017 dafür gesorgt, dass viele Unternehmen ihre Produkte und Dienstleistungen nicht mehr oder nur stark vermindert anbieten konnten. Betroffen waren hiervon viele namhafte Firmen wie beispielsweise die Deutsche Bahn, das Kammergericht Berlin, der DFB und die Fresenius. Ebenfalls sorgte ab 2017 eine weitere Malware für Aufsehen. NotPetya verbreitet sich anders als WannaCry nicht nur über Sicherheitslücken, sondern auch intern in Netzwerken. Zu den betroffenen Firmen zählen beispielsweise Maersk, Mondelez, SNCF und Merck. Die Angriffe zeigen deutlich, dass selbst bekannte Angriffswege, in diesem Fall bekannte Schwachstellen, nicht zeitnah innerhalb der Unternehmen behoben werden. Diese Wellen gehen mit den aktuellen Emotet-Kampagnen weiter.

Das BSI weist im Lagebericht 2019 genau 252 Meldungen seit der Einführung der Meldepflicht für kritische Infrastrukturen aus. Die Dunkelziffer dürfte hier weitaus höher sein.

Rechtliche Grundlagen

Da die Sicherheit der Infrastrukturen ein wichtiges Augenmerk sein sollte, wurden durch das IT-Sicherheitsgesetz und den § 8a BSIG hierfür die Weichen gestellt. Das IT-Sicherheitsgesetz ist hierbei die nationale Umsetzung der europäischen Richtlinie 2016/1148 („NIS-Richtlinie“). Durch das BSI Gesetz (BSIG) hat das BSI weitreichende Rechte wie auch Pflichten erhalten, um den Schutz von kritischen Infrastrukturen in Deutschland zu gewährleisten.

Im Rahmen der BSI-Kritisverordnung wurden zwei Körbe definiert, welchen die verschiedenen Sektoren zugeordnet worden sind. Zu den regulierten Sektoren zählen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Nicht alle Sektoren werden direkt durch das BSI überwacht. Der Bereich Energie wird durch die Bundesnetzagentur (BNetzA) betreut. Die Bereiche Staat und Verwaltung sowie Medien und Kultur fallen nicht direkt unter die KritisV und werden separat betreut.

Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz) in Kraft getreten. Diese behandelt die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung. Diese werden auch als „Korb 1“ bezeichnet. Durch die erste Verordnung zur Änderung der BSI-Kritisverordnung, die am 30.06.2017 in Kraft getreten ist, wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Diese werden auch „Korb 2“ genannt.

Anhand von Schwellwerten werden die betroffenen Unternehmen aus diesen Bereichen eingeteilt. Hierbei wird meist davon ausgegangen, dass eine Anlage 500.000 Bürger versorgt, um zu einer kritischen Dienstleistung zu zählen. Anhand von Berechnungsformeln werden die Schwellwerte berechnet. So ist der in der BSI-Kritisverordnung genannte Schwellwert für Strom unter Annahme eines Durchschnittsverbrauchs von 7.375 kWh pro versorgter Person pro Jahr definiert. Bei 500.000 Bürgern ergibt sich somit ein Schwellwert von 3.700 GWh pro Jahr ( 3.700 GWh/Jahr = 7.375 kWh/Jahr x 500.000).

Von Anfang an gab es jedoch auch Kritik an der Berechnung der Schwellwerte. So Ffllen beispielweise viele Krankenhäuser in einer Großstadt unter diese Regelung, obwohl es in der Stadt meist noch Alternativen gäbe, das kleine Kreiskrankenhaus, welches im Umkreis von 50km alle Patienten betreut, jedoch nicht.

Status-Quo des Umsetzungsstatus bei Unternehmen

Für viele KRITIS-Unternehmen ist das Thema IT-Sicherheit neu und die Umsetzung scheitert oft schon am Verständnis für die neuen Anforderungen. So haben viele Unternehmen mit der Umsetzung der gesetzlichen Anforderungen erst 2018 angefangen, obwohl das Gesetz schon seit zwei Jahren galt. Oft ist das begrenzte Budget Schuld an der mangelhaften Umsetzung neuer IT-Anforderungen.

Im Rahmen unserer beruflichen Tätigkeit als Prüfer, Ausbilder und Teilnehmer an Branchenarbeitskreisen von Betreibern, welche unter die KRITIS-Verordnung fallen, konnte ein breites Wissen darüber aufgebaut werden, inwiefern die Umsetzung der Anforderungen die Sicherheit in den Unternehmen nachhaltig verbessert hat, oder ob es nur das Ziel war, die gesetzlichen Anforderungen mit minimalen Aufwand zu erfüllen.

Hierbei stelle ich die These auf, dass Unternehmen, welche sich bisher noch nicht mit IT-Sicherheit beschäftigt haben, dies trotz des Gesetzes auch in Zukunft nur begrenzt tun werden.

Vielmehr werden diese Unternehmen den Minimalansatz wählen, um die nötigen Nachweise liefern zu können, ohne einen allgemeinen Prozess zur stetigen Verbesserung einzuführen.

Wir würden daher gerne anregen, die folgenden Forschungshypothesen, welche sich aus dem Wissen bei der Betrachtung der bisher durchgeführten Prüfungen wie auch Diskussionen im Rahmen der Branchenarbeitskreise ergeben haben, einmal genauer zu prüfen:

  • Hypothese 1: Die Umsetzung des BSIG führt zu einer besseren Akzeptanz der IT-Sicherheit in den Unternehmen.
  • Hypothese 2: Unternehmen, die sich bereits seit Einführung des Gesetzes mit dem Thema beschäftigen, messen der IT-Sicherheit einen höheren Stellenwert zu.
  • Hypothese 3: Eine (fälschlicherweise oft als Nachweis genutzte) Zertifizierung bringt nicht zwangsläufig Vorteile für den Bereich kritische Infrastrukturen, da gegebenenfalls die falsche Zielsetzung verfolgt wird.
  • Hypothese 4: Unternehmen, die bisher nicht viel für IT-Sicherheit getan haben, werden auch durch das aktuelle IT-Sicherheitsgesetz nicht ermuntert, in Zukunft viel dafür zu tun.

[1] https://www.esmt.org/sites/default/files/dsi_ipr_cybersicherheit_2018-2020_0.pdf

[2] Normale Katastrophen. Die unvermeidbaren Risiken der Großtechnik von Charles Perrow

[3] Kritische Infrastrukturen aus Sicht der Bevölkerung