[datensicherheit.de, 05.09.2023] In seiner aktuellen Stellungnahme geht der eco Verband der Internetwirtschaft e.V. auf das derzeit in der Ressortabstimmung befindliche KRITIS-Dachgesetz ein, mit dem das Bundesministerium des Innern und für Heimat (BMI) die Resilienz Kritischer Infrastrukturen stärken möchte. Damit sollten erstmals bundesweit „einheitliche Vorgaben zum physischen Schutz kritischer Anlagen“ geschaffen werden, welche im Zuge der europäischen CER-Richtlinie in deutsches Recht umzusetzen seien. „Darin werden unter anderem die Unternehmen zum Risikomanagement verpflichtet und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als Aufsichtsbehörde eingesetzt.“

Foto: eco e.V.

Klaus Landefeld fordert, Gesetzentwurf zum NIS2UmsuCG unverzüglich und mit angemessener Frist zur Stellungnahme in die Verbändeanhörung zu geben

Vorgaben des KRITIS-DachG drohen eher Verwirrung als Nutzen zu stiften

„Der Schutz Kritischer Infrastrukturen ist eine der Kernaufgaben der Sicherheitspolitik!“, betont eco-Vorstand Klaus Landefeld zu der für den 5. September 2023 angesetzten Verbändeanhörung im BMI. Der eco begrüßt demnach das Ziel, die Grundversorgung der Bevölkerung resilienter zu gestalten, zeigt sich jedoch „höchst verunsichert, ob und in welchem Umfang wir von diesem Gesetzentwurf betroffen sind“. Für die Internetwirtschaft stifteten die Vorgaben im Kontext des „KRITIS-DachG“ eher Verwirrung als Nutzen.

Landefeld stellt klar: „Viel dringender wäre es, uns mit der Bundesregierung über den Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie auseinanderzusetzen. Der ist zwar auch schon in der Abstimmung mit den anderen Ministerien, aber eine Verbändeanhörung findet dazu bislang nicht statt.“

KRITIS-DachG bestenfalls unvollständig – bei getrennter Betrachtung vom NIS-2-Umsetzungsgesetz

Die Festlegungen des „KRITIS-DachG“ seien aber „bestenfalls unvollständig, wenn sie vom NIS-2-Umsetzungsgesetz getrennt betrachtet werden“. Hierbei müsse vor allem darauf geachtet werden, „dass sich keine Rechtunsicherheiten für die betroffenen Unternehmen ergeben“. Vor allem die Rollenverteilung zwischen den bisherigen Aufsichtsbehörden, vor allem BSI und BNetzA, und dem künftig zuständigen BBK gelt es zu klären, „damit hier keine Doppel- oder Dreifachregulierung etabliert wird“.

Aus Sicht der Internetwirtschaft und im Sinne einer stringenten und nachvollziehbaren Gesetzgebung wäre es daher sinnvoll, die Vorgaben für IT-Unternehmen ausschließlich im NIS-2-Umsetzungsgesetz („NIS2UmsuCG“) zu bündeln. Abschließend unterstreicht Landefeld: „Der eco – Verband der Internetwirtschaft e.V. fordert deshalb, dass auch der Gesetzentwurf zum ,NIS2UmsuCG’ unverzüglich und mit angemessener Frist zur Stellungnahme in die Verbändeanhörung gegeben wird!“

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat, 28.07.2023
Kritische Infrastrukturen besser schützen / Der Gesetzentwurf zum KRITIS-Dachgesetz wurde heute veröffentlicht. Länder und Verbände können nun dazu Stellung nehmen

bitkom, 2023
Positionspapier: Nationale Umsetzung der NIS-2- Richtlinie / Handlungsempfehlungen der Digitalwirtschaft

[datensicherheit.de, 23.08.2022] Auf der diesjährigen Konferenz des TeleTrusT-Verbandes in Berlin soll Andreas Könen, Leiter der Abteilung „Cyber- und IT-Sicherheit“ im Bundesinnenministerium (BMI), die schrittweise Umstellung auf eine Zero-Trust-Architektur in Deutschland angekündigt haben. Am Beginn der Zero-Trust-Agenda steht demnach die Erzeugung von Transparenz über die verwendeten Dienste und Produkte. Christian Syrbe, „Chief Solution Architect“ bei NETSCOUT, erklärt in seiner aktuellen Stellungnahme, welche Schritte zur Erreichung einer vollständigen Transparenz vollzogen werden müssten. Syrbe hebt hervor: „Ein wesentliches Merkmal eines Zero-Trust-Modells ist, dass es kein falsches Gefühl von Sicherheit vermittelt – es handelt sich effektiv um eine ,perimeterlose’ Sicherheit.“

Foto: NETSCOUT

Christian Syrbe: Schwerpunkt auf den Schutz vor möglichen Insider-Bedrohungen legen!

Zero-Trust-Ansätze legen Schwerpunkt auf Schutz vor Insider-Bedrohungen

Es werde der Schwerpunkt auf den Schutz vor möglichen Insider-Bedrohungen gelegt und so verhindert, „dass Bedrohungsakteure durch die Verwendung kompromittierter Anmeldedaten Zugang zum System erhalten“.

Dies unterscheide sich stark von herkömmlichen, auf dem Netzwerkperimeter basierenden Architekturen, bei denen alles, was innerhalb des Netzwerks geschieht, als vertrauenswürdig angesehen werde.

Transparenz als notwendige Bedingung für Zero-Trust-Ansätze

„Unter ,Transparenz’ versteht sich die Erfassung aller Netzwerkaktivitäten“, erläutert Syrbe. Dies erfordere leistungsfähige Monitoring-Systeme und Tools, welche Paketdaten in Echtzeit erfassten und an vorhandene Anwendungen zur Überwachung der Cyber-Sicherheit weiterleiteten.

Paketdaten zeigten alle Protokolle, Konversationen und die vollständige Netzwerkkommunikation an, was einen detaillierten Einblick ermögliche. Damit könnten Verantwortliche beispielsweise Server identifizieren, „die an einer Konversation beteiligt sind, anstatt nur die virtuelle Adresse des ,Load Balancer’, der einem Server die Konversation zuweist“.

Umfassende Transparenz als Schrittmacher für Zero-Trust-Politik

Eine umfassende Transparenz ermögliche es, „mögliche Bedrohungen zu erkennen, vernetzte Geräte zu verfolgen, die historische Nutzung zu beobachten und ihre Unterstützung bei der Orchestrierung der Schadensbegrenzung durch Anwendungs-Programmierschnittstellen (APIs) anzubieten“.

Syrbe rät abschließend: „Darüber hinaus sollten Schutzgruppen verwendet werden, um Netzwerke, Server und Dienste nach dem potenziellen Ausmaß des Schadens zu klassifizieren, der ihnen zugefügt werden könnte.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit

datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken / Palo Alto Networks empfiehlt Fünf-Stufen-Methode