CyberCompare

Bedrohungslagen im Bereich kritischer Infrastruktur

Anwendungsbereich und Maßnahmen

Unter KRITIS werden kritische Infrastrukturen verstanden, deren Ausfall das Gemeinwesen nachhaltig beeinträchtigen würden. Darunter fallen Einrichtungen und Organisationen aus den Sektoren Energie, Wasser, Ernährung, IT, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr.

Nicht alle Infrastrukturen dieser Sektoren müssen zwangsläufig als kritische Infrastrukturen gelten. Daher werden diese Sektoren wiederum in Branchen unterteilt, in welchen unter Umständen kritische Dienstleistungen erbracht werden. Im Fokus des IT-Sicherheitsgesetzes und den zugehörigen Verordnungen stehen physische Anlagen, die die kritischen Dienstleistungen für mehr als 500.000 Personen erbringen. Die Bemessungsgrundlage unterscheidet sich dabei sektorspezifisch. Dies könnten z.B. Fallzahlen in Krankenhäusern oder produzierte Lebensmittelrationen sein.

Sollte eine Anlage als kritisch eingestuft werden, gehen gemäß BSI-Gesetz damit zusätzliche Verpflichtungen einher, die dem Schutz der kritischen Infrastruktur dienen. Darunter fallen insbesondere die Pflicht zur Meldung von Beeinträchtigungen, die Umsetzung der IT-Sicherheit nach aktuellem Stand der Technik und deren zweijährlichen Nachweis (z.B. durch ein auditiertes ISMS).

 

 

Neuerungen durch das IT-Sicherheitsgesetz 2.0

Vor wenigen Wochen haben Bundestag und Bundesrat das IT-Sicherheitsgesetz 2.0 verabschiedet. Zu den wesentlichen Änderungen gehört eine Ausweitung der Befugnisse des BSI, weitere Verpflichtungen für Betreiber kritischer Infrastrukturen und höhere Strafen in der Größenordnung die der DSGVO.

In Zukunft soll das Bundesamt Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung ausüben, indem es z.B. Daten der Kommunikationstechnik des Bundes verarbeiten darf, sofern dies der Gefahrenabwehr dient. Weitreichender geht der Schritt, dass das BSI mit Portscans in Zukunft auch Sicherheitslücken in öffentlichen Telekommunikationsnetzen aktiv detektieren darf.

Unternehmen, die kritische Infrastrukturen betreiben sollen darüber hinaus verpflichtet werden Systeme zur Angriffserkennung einzusetzen. Zudem soll der Scope der Betreiber kritischer Infrastrukturen erweitert werden. So sollen Unternehmen hinzukommen, die von besonderem öffentlichen Interesse (z.B. Rüstung) sind, Verschlusssachen verarbeiten, eine besondere volkswirtschaftliche Bedeutung aufgrund ihrer hohen Wertschöpfung haben oder der Regulierung durch die Störfallverordnung unterfallen.

 

KRITIS in der EU

Auf europäischer Ebene plant die EU seit 2020 die bisherige NIS-Richtlinie und die Richtlinie zum Schutz europäischer kritischer Infrastrukturen aus dem Jahr 2008 zu überarbeiten. In Zukunft soll es europaweit einheitliche Mindestanforderungen an kritische Infrastrukturen geben. Die Anforderungen sollen steigen, indem beispielsweise nicht (wie bisher) nur die Bereiche Energie und Verkehr, sondern alle Sektoren in die Verordnungen einschließen. Noch ist nicht abschließend absehbar, ob und inwiefern sich Änderungen auf europäischer Ebene auf deutsche Betreiber auswirken werden.

 

Die Bedrohungslage

Die Anforderungen durch die Regulierungsbehörden stehen nicht im Kontrast zu den Interessen von Betreibern kritischer Infrastrukturen – im Gegenteil. Jedes Unternehmen muss damit rechnen, Opfer eines Sicherheitsvorfalls zu werden und in der Lage sein entsprechend zu reagieren. Aktuelle Ereignisse wie z.B. das vermehrte Aufkommen von Ransomware-Attacken machen deutlich, dass diese Gefahr nicht abstrakt ist. Die durchschnittlichen Kosten einer Datenpanne werden von IBM auf 3,86 Millionen USD geschätzt. Eine der häufigsten Schwachstellen ist übrigens der Mitarbeiter. So ist in ca. 20% der Fälle Phishing die Ursache für Datendiebstähle.

Im Bereich der kritischen Infrastrukturen in Deutschland ist die Gefährdungslage weiterhin auf hohem Niveau. Im Fokus steht besonders die Branche der Elektrizität. Insbesondere Portscans sind in diesem Bereich besonders aufgefallen. Im Sektor Finanzen und Versicherungen führten DDoS-Angriffe auf Bankensysteme Anfang 2020 zu erheblichen Störungen im Zahlungsverkehr. Neben DDoS-Angriffen standen zwischen 2019 und 2020 Ransomware-Vorfälle im Vordergrund.

Im Mai 2021 war beispielsweise Pipeline Colonial betroffen. Angreifern war es gelungen, durch Verschlüsselung die IT des Betreibers zu kompromittieren. In der Folge wurden mehr als 8000 Kilometer Pipelines entlang der Ostküste der USA außer Betrieb gesetzt. Diese Verwundbarkeit der US-Infrastruktur führte zu zeitweiligen Engpässen bei der Benzinversorgung. Aufgrund der Unsicherheit über die Dauer und den Erfolg der Wiederherstellung, entschied sich der Betreiber ein Lösegeld in Höhe von umgerechnet 3,6 Millionen Euro zu zahlen.

Ein weiteres Beispiel, warum IT-Sicherheit bei kritischen Infrastrukturen Menschenleben schützen kann, beschreibt den Vorfall eines Wasserwerkes in Florida, in welchem Angreifer im Februar 2021 die Trinkwasserbehandlung manipulierten und das Wasser ungenießbar gemacht haben. Lesen Sie mehr dazu in unserem Artikel „Ungeschützte Versorgungswerke – wie ein Angriff auf ein Wasserwerk in Florida Menschenleben gefährdete“

 

Melden Sie sich zu unserem Roundtable an

Sie möchten mehr über KRITIS und das IT-Sicherheitsgesetz erfahren? Dann melden Sie sich gerne für unseren Roundtable mit ausgewiesenen Experten an. Am 06.07 werden Sie die Gelegenheit haben, sich u.a. mit Herrn Michael Georgi (IT Bereichsleiter bei den Technischen Werken Ludwigshafen) und Herrn Prof. Thomas Brandstetter (Geschäftsführer der Limes Security) über die aktuellen Entwicklungen rund um das Thema kritische Infrastrukturen auszutauschen. Sie können sich unter folgendem Link anmelden: https://cybercompare.hubspotpagebuilder.com/registrierung-zum-kritis-roundtable

 

Weiterführende Links:

https://cybercompare.de/ungeschuetzte-versorgungswerke/

https://www.tagesspiegel.de/politik/gutachten-warnt-vor-zusammenbruch-wasserbetriebe-gegen-hackerangriffe-mangelhaft-geschuetzt/26045264.html

https://www.sichere-industrie.de/angriff-kritische-infrastruktur-beispiele-2/

 

Quellen:

https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Pflichten-fuer-KRITIS-Betreiber/Pflichten-fuer-KRITIS-Betreiber_node.html

https://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Praxis_Bevoelkerungsschutz/PiB_20_Schutz%20Kritischer_Infrastrukturen_Identifizierung%20in%20sieben%20Schritten.pdf?__blob=publicationFile

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=2

https://www.tagesschau.de/wirtschaft/unternehmen/colonial-pipeline-loesegeld-hacker-angriff-ransomware-101.html

https://www.tagesschau.de/ausland/usa-pipeline-hackerangriff-101.html