Flächendeckende digitale Souveränität bei Kritischen Infrastrukturen?

PrintMailRate-it

veröffentlicht am 23. Februar 2021 | von Bastian Schönnenbeck

 

Im Dezember 2020 hat das Bundeskabinett den Entwurf zum IT-Sicherheitsgesetz 2.0 beschlossen und räumt damit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichendere (Kontroll-)Befugnisse ein und erweitert die Anforderungen an Betreiber kritischer Infrastrukturen. Insgesamt lässt sich im breiten Feld feststellen, dass die Informationssicherheit eine immer größere Rolle bei Entscheidungen aus Politik und Wirtschaft einnimmt, was angesichts der breiten Abhängigkeit von modernen Gesellschaften von technischen Systemen auch notwendig ist. Dennoch gilt das Informations-Sicherheitsniveau in Deutschland als noch nicht reif genug. 

 

Was ist eine kritische infrastruktur?

Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit relevanter / wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, signifikante Störungen der öffentlichen Sicherheit oder bedrohliche Mangelerscheinungen eintreten würden. Die für die Gesellschaft existenziell notwendigen Basisdienste bestehen aus Organisationen und Einrichtungen der Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Die Betreiber dieser Kritischen Infrastrukturen, ob privatwirtschaftlich oder öffentlich-rechtlich organisiert, erbringen die kritischen, für die Versorgung der Bevölkerung zwingend notwendigen Dienstleistungen in hoher Qualität und Stabilität. Wann eine Organisation oder Einrichtung KRITIS-relevant wird, entscheiden Messfaktoren des BSI. 

Betreiber von kritischen Infrastrukturen müssen dem BSI geeignete technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten und Informationen mittels eines Schutzkonzeptes nachweisen. 

 Kritis-Abbildung


Abbildung 1: Quelle: Kritis Bund

 

Flächendeckende Digitale Souveränität

Die Sicherheitsanforderungen an KRITIS-Betreiber sind hoch, aber angesichts der enormen Cyber-Bedrohungslage notwendig. Im Jahr 2020 wurde die Begleit-Infrastruktur (Hersteller von Insulinpumpen, Herzschrittmachern, Überwachungsmonitoren) von medizinische Versorgungseinrichtungen durch das BSI auditiert. Festgestellt wurde eine „auffällig hohe” Mängelquote, die Informationssicherheit im Krankenhausbereich sei insgesamt nachholbedürftig. So legte 2016 ein Computervirus ein Krankenhaus in Neuss (Nordrhein-Westfalen) lahm. Eine Reihe von DRK-Kliniken in Rheinland-Pfalz und im Saarland hatten 2019 mit einer Schadstoffsoftware zu kämpfen. Und erst in diesem September sorgte ein Hackerangriff auf die Uniklinik Düsseldorf für Systemausfälle. Die Gefährdungslage für KRITIS-Unternehmen ist inzwischen so hoch, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig und eindringlich vor Hackern und ihren immer fortschrittlicheren Angriffsmethoden warnt.

Es ist davon auszugehen, dass in den kommenden Monaten immer mehr Organisationen und Einrichtungen durch das BSI als KRITIS-relevant eingestuft werden. Städte und Kommunen sollten bereits heute reagieren, die Abwasser- Energie- und Transportwirtschaft digital stärken und die bestehenden Informationssicherheits-Sicherheitsmaßnahmen mit den Mindestanforderungen des BSI vergleichen. Aber auch alle weiteren Zugehörigen der BSI-Sektoren (siehe Grafik oben) sollten, selbst wenn sie heute noch nicht als KRITIS-relevant gelten, für ein Höchstschutzmaß ihrer Daten und Informationen sorgen. Vor allem der Einsatz von Systemen zur Angriffserkennung und Fortführung existenzieller Prozesse (Business Continuity Management) muss vorhanden, geprüft und funktional sein.

Natürlich unterstützt Rödl & Partner Sie bei der Umsetzung von Maßnahmen aus den Anforderungen der Informationssicherheit, ganz gleich ob ISO 27001, KRITIS-Verordnung des BSI oder ISIS12. Ein bereits entwickeltes und wirkungsvolles Dokumenten-Set bringt Sie schnell und effizient in die Lage, ein Business Continuity Management sowie eine Business Impact Analyse (also Schutzbedarfsanalyse Ihrer wichtigsten Prozesse und Anwendungen) zu etablieren. Sprechen Sie uns an.

 Aus dem Newsletter

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu