IT-Security

IT-Sicherheitsgesetz 2.0: KRITIS ausreichend schützen

19. Januar 2021 von Bianca Wellbrock

it-sicherheitsgesetz
© momius - Adobe Stock

5
(2)

IT-Systeme in kritischen Infrastrukturen (KRITIS) sind nicht vor Cyberangriffen gefeit – so lautete die Antwort der Bundesregierung auf eine Anfrage der FDP-Bundestagsfraktion. So stieg die Anzahl der Hackerattacken im Gesundheitsbereich mit Fokus auf Krankenhäusern von elf Attacken in 2018 über 16 Attacken in 2019 bis auf 43 Attacken in 2020. Angriffe nahmen auch im Energiesektor zu. Kann das IT-Sicherheitsgesetz 2.0 hier Abhilfe schaffen? Wir schauen uns die Situation an und wagen einen Blick in die Zukunft für die IT-Sicherheit in KRITIS.

Report der Bundesregierung zu Hackerattacken

Neben den erwähnten Zahlen im Gesundheitssektor stieg auch die Zahl der Angriffe im Energiesektor: In den vergangenen drei Jahren stieg die Anzahl der Angriffe von vier über zehn, dann auf 26 Angriffe. 70 Attacken wurden im Jahr 2020 auf Staat und Verwaltung gefahren – ein geringerer Anstieg: 2019 wurden 63 kritische Vorfälle verzeichnet.

Andere KRITIS-Sektoren fallen mit vergleichsweise niedrigen Angriffszahlen aus. So kommt das Finanz- und Versicherungswesen 2019 auf sechs, 2020 auf elf Angriffe. Der Bereich Verkehr und Transport glänzt sogar mit fallenden Zahlen: Von zehn auf acht gingen die Angriffe von 2019 auf 2020 zurück. Insgesamt sollen 2019 121 IT-Angriffe auf KRITIS-Institutionen stattgefunden haben, 2020 waren es 171.

Zahlen des BSI

Bei den Angriffen ist laut „Lagebericht der IT-Sicherheit in Deutschland 2020“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der Trend zu neuen Schadprogramm-Varianten ungebrochen. In diesem Report lässt sich nachlesen, dass mehr als 400 meldepflichtige IT-Sicherheitsvorfälle bei KRITIS-Betreibern angezeigt wurden. Im Vorjahr waren es laut BSI 252 IT-Sicherheitsvorfälle bei KRITIS-Unternehmen, was einem Anstieg von über 60 Prozent entspricht!

Knackpunkte in KRITIS-Unternehmen

Man kommt nicht umhin, sich zu fragen, warum ausgerechnet Betreiber kritischer Infrastrukturen oft erfolgreich angegriffen werden. Leider fehlt es in KRITIS am Wesentlichen: Vorliegendes Datenmaterial ist oft unzureichend, man setzt auf alte Geräte, die zum Teil keine Updates mehr erhalten, eine fehlende Routine macht insbesondere multiple Angriffe erfolgreicher und Mitarbeiter werden nicht oder unzureichend geschult. Im Einzelnen:

Fehlende Daten – hohe Dunkelziffer

Auf die Anfrage der FDP-Bundestagsfraktion konnte das federführende Bundesinnenministerium nur bedingt antworten: So liegt kein Zahlenmaterial darüber vor, inwieweit Blaulichtbehörden wie die Feuerwehr oder die Polizei Opfer von IT-Angriffen wurden. Ebenso fehlt es an Zahlenmaterial über Ransomware-Angriffe sowie an Statistiken zu etwaig eingeleiteten Ermittlungs- oder Hauptverfahren. Man kann davon ausgehen, dass bei Cyberkriminalität im Allgemeinen, besonders aber bei Attacken auf KRITIS eine große Dunkelziffer existiert.

Veraltete Geräte, fehlende Updates

Gerade Kliniken verzeichnen eine immense Anfälligkeit ihrer IT-Systeme: Medizingeräte im Einsatz sind zu Teilen veraltet, Betriebssysteme dementsprechend nicht mehr aktualisierbar. In Produktionsstätten liegt das Problem eher in industriellen Kontrollsystemen mit praxisfernen langen Laufzeiten sowie ebenso langen Investitionszyklen. Eine Abhängigkeit von einzelnen Herstellern zeigt sich in der Praxis als genauso problematisch: Die IT-Sicherheitsfunktionalität steht oder fällt nach Gutdünken der Hersteller – viele stellen Updates für ältere Produkte früher oder später ein.

Multiple Angriffe

Immer häufiger gehen Angreifer dazu über, möglichst viele Endpunkte zu infizieren – Angriffe sind komplexer geworden. Auch kritische Systeme kann es treffen; etwa Domain-Controller, bei denen Infiltrationen binnen weniger Minuten bis hin zu mehreren Stunden dauern können. Schadsoftware wird gerne so konzipiert, dass zunächst Vorstufen beim Angriff stattfinden. Diese Vorstufen schalten erst danach an allen kompromittierten Endpunkten scharf. So gelingt es Angreifern, maximalen Schaden beim Opfer anzurichten.

Personal: mangelnde Routine und Schulung

Die größte Schwachstelle in der IT-Sicherheit ist der Mensch – das ist keine neue Feststellung. Dennoch fehlt es an Fachwissen, Kompetenz und vor allem Routine. Woher sollen Mitarbeiter wissen, was im Falle eines Angriffs zu tun oder zu unterlassen ist?

Ein Weg, diese Herausforderung zu meistern, ist es, Mitarbeiter zu schulen. Nur wenn Angriffe als solche überhaupt erkannt werden, sind Mitarbeiter in der Lage, korrekt zu reagieren. Awareness-Schulungen unterstützen sowohl den einzelnen Mitarbeiter als auch das gesamte Unternehmen dabei, auf etwaige Angriffe richtig zu reagieren und Schutzmaßnahmen zu ergreifen, bevor es zum Angriff kommt.

Eine Sicherheitsrichtlinie unterstützt Mitarbeiter, im Alltag richtig zu handeln. So gelingt es beispielsweise, Personal davon zu überzeugen, Privatgeräte nicht als Schatten-IT ins Unternehmensnetzwerk zu holen. Weiter gibt die Sicherheitsrichtlinie Auskunft, welche Schritte im Falle eines Angriffs zu erledigen sind.

Um die Routine herzustellen, bieten sich Sicherheits- und Rollenspiele an. In solchen Probeläufen erfährt Ihr Team, wie es sich im Falle eines Angriffs richtig verhält. Derartige Übungen helfen außerdem beim Identifizieren noch vorhandener Schwachstellen in der Sicherheitsstrategie des Unternehmens.

Penetrationstests und mehr Aufmerksamkeit sind gefordert

Penetrationstests haben sich als präventives Mittel gegen Cyberangriffe bewährt. Zwar haben sie im Wortlaut keinen Einzug in die Gesetzgebung gefunden, jedoch kann man Hinweise zwischen den Zeilen sowohl der DSGVO als auch dem IT-Sicherheitsgesetz und den BSI-Empfehlungen entnehmen. So fordert § 32 Abs. 1 d DSGVO für die Sicherheit der IT „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Penetrationstests leisten exakt dies.

Das IT-Sicherheitsgesetz, welches 2015 überarbeitet wurde, verpflichtet KRITIS-Betreiber darüber hinaus, die hauseigenen Netze gegen Cyberattacken zu stärken. Dazu sollen geeignete Maßnahmen ergriffen werden, zu denen auch Penetrationstests zählen. Auch die KRITIS-Betreiber treffenden BSI-Verordnungen regen zu Penetrationstests an. Für die Finanzindustrie gelten die PCI-Standards. Hier werden jährliche Penetrationstests bereits vorgeschrieben.

Wird IT-Sicherheit als iterativer Prozess begriffen, wird schnell klar, dass dieser Prozess genauso dynamisch sein muss wie die Möglichkeiten der Cyberkriminellen es sind. Nahezu täglich werden neue Schwachstellen bekannt, bei denen niemand sagen kann, wie lange sie Cyberkriminellen schon bekannt sind. Es ist mehr als sinnvoll, Penetrationstests in zeitlich festgelegten Intervallen zu wiederholen und die Resilienz der IT-Infrastrukturen immer neu zu prüfen. Mit diesem Vorgehen wird IT-Sicherheit zum Bestandteil Ihrer Unternehmensstruktur; sie wird nicht mehr als „Geldfresser“ angesehen, sondern als Wettbewerbsvorteil, als sichere Investition in die Zukunft des Unternehmens.

Schafft das IT-Sicherheitsgesetz 2.0 Abhilfe?

Die Bundesregierung hat also erkannt, dass KRITIS-Betreiber Nachholbedarf haben und dass auch die gesetzliche Seite angepasst gehört. Deshalb möchte man seit 2018 das IT-Sicherheitsgesetz anpassen. Ein dritter Entwurf sorgt nun nicht nur für rege Diskussionen, sondern auch für großen Unmut – allem voran aufgrund dieser Punkte:

BMI ignoriert Vorschläge der Experten

Das sogenannte UP KRITIS ist eine öffentlich-private Kooperation zwischen verschiedenen KRITIS-Betreibern, entsprechenden Verbänden und den zuständigen staatlichen Stellen. Für die Neuauflage des IT-Sicherheitsgesetzes, also dem IT-Sicherheitsgesetz 2.0, unterbreitete UP KRITIS verschiedene Vorschläge, die komplett ignoriert worden seien. Gewünscht war hier eigentlich ein kontinuierlicher Austausch zur Weiterentwicklung des IT-Sicherheitsgesetzes. Das Deutsche Verkehrsforum (DVF) kritisierte die Art und Weise, wie das BMI betroffene Verbände wie den DVF einband. Nach Erhalt des Entwurfs hatten diese lediglich einen Tag Zeit, um den Entwurf nicht nur zu lesen, sondern auch darauf zu reagieren.

Seitens des DVF heißt es: „Es findet jedoch kein Austausch statt. Vielmehr arbeiten die IT-Experten der 14 beteiligten Branchen den staatlichen Stellen zu, ohne dass die gemeinsamen Vorschläge von Wirtschaft und Verwaltung Gehör finden. Damit steht der kooperative Ansatz von UP KRITIS auf der Kippe“.

Innenministerium kann Technik-Einsatz untersagen

Im dritten Referentenentwurf vom IT-Sicherheitsgesetz 2.0 hat das BMI auch das Zulassungs- bzw. Ausschlussverfahren kritischer Komponenten konkretisiert. Das BMI kann demnach Betreibern kritischer Infrastrukturen untersagen, kritische Komponenten einzusetzen, wenn dies öffentliche Interessen bzw. sicherheitspolitische Belange notwendig machen.

Heißt für die Praxis: Bevor KRITIS-Betreiber kritische Komponenten einsetzen können, müssen sie dieses Vorhaben beim BMI anzeigen. Binnen eines Monats muss dann eine Entscheidung getroffen werden – einvernehmlich mit dem betroffenen Ressort. Dies wäre im Sektor Mobilfunk beispielsweise das Bundeswirtschaftsministerium (BMWi). Haben Entscheiden außenpolitische Wirkung, so ist das Auswärtige Amt einer der Entscheidungsträger. Lässt sich keine Einigung erzielen, möchte man einen Eskalationsmechanismus aufsetzen, sodass das Kabinett gemeinsam berät.

IT-Sicherheitsgesetz 2.0: BSI erhält Sonderrechte

Das BSI erhält mit dem IT-Sicherheitsgesetz 2.0 neue Befugnisse: Es darf hacken und muss Sicherheitslücken nicht zwangsläufig veröffentlichen. So soll das BSI aktiv nach unsicheren Geräten suchen. Mitarbeiter des BSI dürfen sich dann mit unsicheren Passwörtern wie „admin“ oder „0000“ anmelden. Damit Betroffene von Sicherheitslücken bzw. –vorfällen benachrichtigt werden können, bekommt das BSI darüber hinaus das Recht, Bestandsdaten wie Name oder Adresse bei Telekommunikationsanbietern abzufragen. Der letzte Entwurf des IT-Sicherheitsgesetzes enthält den Hinweis, dass zur Bestandsdatenauskunft die letzte Entscheidung des Bundesverfassungsgerichts beachtet werden muss.

Ein Passus des Entwurfs fürs IT-Sicherheitsgesetz 2.0 ist extrem umstritten: Das BSI darf Informationen über ihm bekannte Sicherheitslücken zurückhalten, „soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist“. So soll gewährleistet werden, dass die Geheimdienste sowie die Polizei Zero-Day-Exploits weiter für eigene Zwecke nutzen kann.

Weiter ermächtigt das IT-Sicherheitsgesetz 2.0 das BSI, freiwillige IT-Sicherheitskennzeichen einzuführen. Ein solches Kennzeichen besteht aus „einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt“, darüber hinaus aus einer „Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes“. Aussagen über den Datenschutz von Produkten oder Dienstleistungen werden mit diesem IT-Sicherheitskennzeichen jedoch nicht getroffen. Ein solches freiwilliges IT-Sicherheitskennzeichen klingt beim ersten Hören gar nicht so schlecht. Aber: das ist ein erneuter nationaler Alleingang, der die Wirksamkeit europäischer Bestimmungen beschädigen könnte. Neben einem erhöhten Aufwand für Unternehmen ist auch Verbrauchern nur bedingt geholfen, wenn eine immer größer werdende Zahl an Gütesiegeln eher Verwirrung stiftet.

12-monatige Speicherzeit für Protokolldaten

Kommunizieren Bürger und Verwaltungseinrichtungen bzw. Parlamentarier online miteinander, können vom BSI anfallende Protokolldaten inklusive persönlicher Nutzerinformationen wie IP-Adresse zwölf Monate lang gespeichert und ausgewertet werden. Das BSI darf interne Protokollierungsdaten aus allen Behörden als Aufzeichnung über die Art der IT-Nutzung zur Gefahrenabwehr für die bundesinterne Kommunikationstechnik verarbeiten. Dies soll dazu führen, dass Trojaner wie Emotet oder komplexe Angriffe besser erkannt werden.

Fehlende Evaluation und horrende Bußgelder

Auch am aktuellen Entwurf des IT-Sicherheitsgesetzes wird – wie schon bei früheren Entwürfen – kritisiert, dass keine Evaluation des 2015 verabschiedeten Ursprungsgesetz erfolgte. So fehlt es an Transparenz und Nachvollziehbarkeit der Bestimmungen.

Kritiker erklären zudem, dass die Bußgeldregelungen die der DSGVO kopieren würden. Man kommt nicht umhin, sich zu fragen, ob hier eigene Überlegungen nicht besser wären. Die DSGVO soll das Recht auf informationelle Selbstbestimmung des Bürgers sowie dessen Datenschutz stärken, das IT-Sicherheitsgesetz 2.0 die IT-Sicherheit der KRITIS-Betreiber. Beides mit demselben Maß zu bemessen, wirkt unüberlegt.

IT-Sicherheitsgesetz 2.0: Unklare Zukunft für die IT-Sicherheit

Seit gut zwei Jahren wird am IT-Sicherheitsgesetz 2.0 gearbeitet, viele Entwürfe zogen schon Kritiker auf den Plan. Klar wird schon jetzt, dass sowohl die Hersteller als auch die Betreiber künftig verstärkt in die Pflicht genommen werden. Es stellt sich jedoch die Frage nach der Verhältnismäßigkeit diverser Passus. Hier gibt es noch großen Diskussionsspielraum.

Bevor das IT-Sicherheitsgesetz 2.0 den Bundestag passiert, ist eine dreimonatige Notifizierungsfrist auf EU-Ebene einzuhalten (Stand: 12/2020, Quelle: Golem.de). Vorher seien ein erstes Verlesen des Entwurfs sowie parlamentarische Beratungen angesetzt. Laut Golem-Informationen zeigt sich das Ministerium „zuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden könne“.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu