IT-Sicherheitsgesetz 2.0: KRITIS benötigt mehr Schutz

Angriffsflächenmanagement kann IT-Sicherheit der KRITIS stärken

[datensicherheit.de, 22.09.2021] KRITIS-Betreiber müssten ihre IT-Sicherheitsmaßnahmen ausbauen – „das fordert das IT-Sicherheitsgesetz 2.0“. Die Digitalisierung und der Trend zur Nutzung der „Cloud“ vergrößerten die digitale Angriffsfläche: Eine kontinuierliche Überwachung der digitalen Angriffsfläche helfe dabei, Schwachstellen zu erkennen, bevor IT-Kriminelle darauf zugreifen könnten.

KRITIS immer öfter Ziel von Cyber-Attacken

„Kritische Infrastrukturen werden immer öfter Ziel von Cyber-Attacken, denn durch die zunehmende Digitalisierung sind sie für IT-Kriminelle leichter erreichbar“, warnt Pieter Jansen, Gründer und „CEO“ von Cybersprint. Ein lückenloses Management der Angriffsfläche sei daher ein wichtiger Schritt zu mehr Cyber-Resilienz – „wie sie vom BSI gefordert wird“.
Unter der digitalen Angriffsfläche („Attack Surface“) verstehe man alle Angriffsvektoren, über die ein unautorisierter Nutzer versuchen könnte, Daten einzubringen oder zu entwenden. „Angriffsvektoren sind dabei alle ,IT Assets‘, die über das Internet adressierbar sind. Sind sie beispielsweise falsch konfiguriert, können sie IT-Kriminellen als Sprungbrett dienen, über das sie in das Unternehmensnetzwerk eindringen können.“

Attack Surface Management: KRITIS-Schwachstellen rechtzeitig finden

Eine lückenlose Überwachung der digitalen Angriffsfläche sei deshalb für KRITIS-Betreiber von zentraler Bedeutung. Die „Cybersprint Attack Surface Management Platform“ z.B. suche allein „über die Eingabe des Marken- oder Unternehmensnamens nach Schwachstellen, die damit in Verbindung stehen“.
Mit Hilfe Künstlicher Intelligenz (KI) und Analysten würden die Ergebnisse ausgewertet und klassifiziert, um konkrete Handlungsempfehlungen für die Beseitigung zu liefern. „Weil auch die Angriffe über die Lieferkette immer weiter zunehmen, verzichtet die Plattform auf vordefinierte IT-Rahmen.“

IT-Sicherheitsgesetz 2.0 fordert höhere KRITIS- Schutzmaßnahmen

Um die Versorgungssicherheit zu gewährleisten und die Kunden zu schützen, fordere das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Ausbau der Schutzmaßnahmen bei KRITIS-Betreibern. So seien diese ab dem 1. Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen.
Jansen erläutert: „Diese Systeme ermitteln anhand von Anomalien im Netzwerk, ob es von einer Cyber-Attacke betroffen ist.“ Ein kontinuierliches Angriffsflächenmanagement setze einen Schritt weiter vorne an und helfe dabei, einen Überblick über die IT-Infrastruktur und ihre Schwachstellen zu erhalten, „damit es gar nicht erst zu einer Attacke kommt“.

KRITIS mit erweitertem Adressatenkreis

Mit dem IT-Sicherheitsgesetz 2.0 würden mehr Unternehmen dem KRITIS-Sektor zugeordnet als bislang. Die „Entsorgung von Siedlungsabfällen“ gehöre nun ebenso zu den kritischen Dienstleistungen, sowie Unternehmen von „besonderen öffentlichen Interesse“. Darüber hinaus betreffe das Gesetz die bestehenden KRITIS-Bereiche Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Ernährung, Energie, sowie Finanz- und Versicherungswesen.
Auch innerhalb der Sektoren gebe es Änderungen: „So sinken im Bereich Stromerzeugung und -handel beispielsweise die Schwellenwerte, ab denen ein Unternehmen dem KRITIS-Sektor zuzuordnen ist.“ Damit erweitere sich der Kreis der betroffenen Unternehmen deutlich, betont Jansen abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 05.08.2021
Cyber-Attacke auf KRITIS im Landkreis Anhalt-Bitterfeld zeigt: Kommunen sollten sich besser schützen / Kommunale Verwaltungen gehören zur Kritis – sie sichern die Versorgung der Bevölkerung mit essenziellen Gütern und somit gesellschaftliches Wohlergehen

datensicherheit.de, 20.07.2021
KRITIS im Visier: Hacker-Angriffe auf das Allgemeinwohl / Bürger im Landkreis Anhalt-Bitterfeld z.B. direkt geschädigt, kommentiert Patrick Englisch

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für KRITIS-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können