Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das IT-Sicherheitsgesetz dazu verpflichtet, sich an bestimmte Sicherheitsstandards und Meldepflichten zu halten. Mit großer Mehrheit stimmte am 6. Juli 2016 das EU-Parlament dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit in Europa (sog. NIS-Richtlinie) zu.
Durch diese Richtlinie werden sowohl die verantwortlichen Betreiber kritischer Infrastrukturen, als auch digitale Dienstleister für beispielsweise Cloud-Services und Online-Marktplätze in Bezug auf Cybersicherheit verstärkt in die Pflicht genommen. Bevor die Richtlinie allerdings in Kraft treten kann, muss diese von den jeweiligen Mitgliedstaaten der EU bis Mai 2018 in nationales Recht umgesetzt werden. Aufgrund des bereits bestehenden IT-Sicherheitsgesetzes hat Deutschland hier einen Vorteil, denn das IT-Sicherheitsgesetz bietet bereits einen rechtlichen Rahmen zu mehr Cybersicherheit bei kritischen Infrastrukturen sowie für die Kooperation zwischen dem Staat und den Unternehmen.
Betreiber kritischer Infrastrukturen müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen und gravierende IT-Sicherheitsvorfälle an das BSI melden. Aufgrund der neuen NIS-Richtlinie wird dieser Gesetzesentwurf nun auf die Aufsichts- und Durchsetzungsbefugnisse des BSI in Bezug auf kritische Infrastrukturen erweitert. Für Deutschland musste im Rahmen der NIS-Richtlinie dabei nur noch die Regelungen für digitale Dienstleistungsanbieter verfasst werden, welche – anders als die Regelungen für Betreiber kritischer Infrastrukturen – ab dem 10.05.2018 in Kraft getreten sind.
Um Unternehmen bei der Anpassung der neuen Richtlinien zu unterstützen, skizziert Airbus CyberSecurity fünf wichtige Schritte, die Infrastrukturunternehmen bei der Einhaltung und Verbesserung ihrer allgemeinen Sicherheit berücksichtigen sollten.
1) Wer ist betroffen?
Die Regierung hat vor kurzem die Schwellenwerte für die Bestimmung festgelegt, welche Anbieter unter die Gesetzgebung fallen – zum Beispiel gilt sie nur für Trinkwasserversorger, die 200.000 oder mehr Bürger versorgen. Infrastrukturunternehmen wird außerdem die Verantwortung auferlegt, die Einhaltung der Vorschriften in ihren Lieferketten nachzuweisen. Das bedeutet, dass auch ihre Lieferanten möglicherweise bald vertraglich dazu verpflichtet werden, sich denselben Regularien zu unterwerfen.
2) Einrichten eines Reaktionsplans für Vorfälle
Ein großer Teil der vorgeschlagenen Rechtsvorschriften befasst sich mit der rechtzeitigen Meldung von Cyber-Attacken an die Regulierungsbehörden. Unternehmen müssen darüber hinaus auch sicherstellen, dass ihre Dienste nach einem Angriff schnell wieder einsatzbereit gemacht werden können. Das bedeutet, dass sie innerhalb ihrer Organisation einen klaren Plan für die Reaktion auf Vorfälle erstellen müssen, damit sie wissen, wer für welche Aufgaben im Falle eines Angriffs verantwortlich ist. Dieser muss auch Backup- und Wiederherstellungsstrategien umfassen, die es ihnen ermöglichen, zum letzten „guten“ Zustand vor einem Vorfall zurückzukehren und die betroffenen Systeme für Quarantäne und Forensik zu isolieren. Ohne solche Einrichtungen könnten sie einen Angriff weder zurückverfolgen noch verstehen, wie er stattgefunden hat.
3) Überwachen Sie Ihr Netzwerk
Das Erkennen eines Eindringens in Firmen-Netzwerke kann in Umgebungen, in denen Betriebstechnologie (Operating Technology = OT) eingebunden ist, eine große Herausforderung darstellen. Auch wenn OT-Netzwerküberwachungsdienste existieren, können sie aufgrund der Notwendigkeit von Netzwerkzonen oder Segmentierung nur eingeschränkt wirksam werden. Dies bedeutet, dass Sensoren und Alarmsysteme auf verschiedenen Ebenen im Netzwerk eingerichtet werden müssen, um bösartige Aktivitäten lückenlos zu überwachen.
4) Einrichten eines Cyber Security Management Systems (CSMS)
Ein CSMS ist eine Vielzahl von Prozessen, Arbeitsprogrammen und Checklisten, die einen Audit-Trail erstellen, um Ihre Risikominderungsstrategie aufzuzeigen. Standardprodukte sind verfügbar, müssen aber auf die Anforderungen einer Infrastrukturorganisation zugeschnitten sein. Es kann aber auch ein maßgeschneidertes Produkt erstellt werden. Cyber-Sicherheitsberater können dabei helfen, diese einzurichten und sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.
5) Verbesserung des Cybersicherheitsbewusstseins
Hacker greifen Menschen in Vertrauenspositionen an, weil sie sich allzu oft als das schwache Glied in der Cyber-Abwehr einer Organisation erweisen. Cyber-Sicherheitstrainings können die Erfolgschancen häufig verwendeter Techniken wie Speer-Phishing-Angriffe oder Social Engineering-Methoden drastisch reduzieren.
Die zunehmende Anbindung von Betriebssystemen an das Internet hat zu erheblichen Verbesserungen in Bereichen wie Sicherheit, Effizienz und datengesteuerte Entscheidungsfindung geführt. Aber es hat auch das Potenzial für schädliche Cyber-Angriffe erhöht, die reale Auswirkungen auf die physische Sicherheit haben. Die bevorstehende NIS-Richtlinie ist ein positiver erster Schritt, um Infrastrukturorganisationen zu ermutigen, eine entschlossene Cyber-Sicherheitsstrategie einzuführen. Mit einer hohen Geldstrafe bestraft zu werden, enthält ein deutliches Drohpotenzial, wird damit aber auch für Beachtung sorgen und dazu beitragen, dass solche Maßnahmen ergriffen werden, welche die Widerstandsfähigkeit gegen Angriffe verbessern werden.
Michael Gerhards, Head of CyberSecurity, Airbus CyberSecurity