Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

EU-Flagge Paragraf

Quelle: nitpicker / Shutterstock.com

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das IT-Sicherheitsgesetz dazu verpflichtet, sich an bestimmte Sicherheitsstandards und Meldepflichten zu halten. Mit großer Mehrheit stimmte am 6. Juli 2016 das EU-Parlament dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit in Europa (sog. NIS-Richtlinie) zu.

Durch diese Richtlinie werden sowohl die verantwortlichen Betreiber kritischer Infrastrukturen, als auch digitale Dienstleister für beispielsweise Cloud-Services und Online-Marktplätze in Bezug auf Cybersicherheit verstärkt in die Pflicht genommen. Bevor die Richtlinie allerdings in Kraft treten kann, muss diese von den jeweiligen Mitgliedstaaten der EU bis Mai 2018 in nationales Recht umgesetzt werden. Aufgrund des bereits bestehenden IT-Sicherheitsgesetzes hat Deutschland hier einen Vorteil, denn das IT-Sicherheitsgesetz bietet bereits einen rechtlichen Rahmen zu mehr Cybersicherheit bei kritischen Infrastrukturen sowie für die Kooperation zwischen dem Staat und den Unternehmen.

Betreiber kritischer Infrastrukturen müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen und gravierende IT-Sicherheitsvorfälle an das BSI melden. Aufgrund der neuen NIS-Richtlinie wird dieser Gesetzesentwurf nun auf die Aufsichts- und Durchsetzungsbefugnisse des BSI in Bezug auf kritische Infrastrukturen erweitert. Für Deutschland musste im Rahmen der NIS-Richtlinie dabei nur noch die Regelungen für digitale Dienstleistungsanbieter verfasst werden, welche – anders als die Regelungen für Betreiber kritischer Infrastrukturen – ab dem 10.05.2018 in Kraft getreten sind.

Um Unternehmen bei der Anpassung der neuen Richtlinien zu unterstützen, skizziert Airbus CyberSecurity fünf wichtige Schritte, die Infrastrukturunternehmen bei der Einhaltung und Verbesserung ihrer allgemeinen Sicherheit berücksichtigen sollten.

1) Wer ist betroffen?

Die Regierung hat vor kurzem die Schwellenwerte für die Bestimmung festgelegt, welche Anbieter unter die Gesetzgebung fallen - zum Beispiel gilt sie nur für Trinkwasserversorger, die 200.000 oder mehr Bürger versorgen. Infrastrukturunternehmen wird außerdem die Verantwortung auferlegt, die Einhaltung der Vorschriften in ihren Lieferketten nachzuweisen. Das bedeutet, dass auch ihre Lieferanten möglicherweise bald vertraglich dazu verpflichtet werden, sich denselben Regularien zu unterwerfen.

2) Einrichten eines Reaktionsplans für Vorfälle

Ein großer Teil der vorgeschlagenen Rechtsvorschriften befasst sich mit der rechtzeitigen Meldung von Cyber-Attacken an die Regulierungsbehörden. Unternehmen müssen darüber hinaus auch sicherstellen, dass ihre Dienste nach einem Angriff schnell wieder einsatzbereit gemacht werden können. Das bedeutet, dass sie innerhalb ihrer Organisation einen klaren Plan für die Reaktion auf Vorfälle erstellen müssen, damit sie wissen, wer für welche Aufgaben im Falle eines Angriffs verantwortlich ist. Dieser muss auch Backup- und Wiederherstellungsstrategien umfassen, die es ihnen ermöglichen, zum letzten "guten" Zustand vor einem Vorfall zurückzukehren und die betroffenen Systeme für Quarantäne und Forensik zu isolieren. Ohne solche Einrichtungen könnten sie einen Angriff weder zurückverfolgen noch verstehen, wie er stattgefunden hat.

3) Überwachen Sie Ihr Netzwerk

Das Erkennen eines Eindringens in Firmen-Netzwerke kann in Umgebungen, in denen Betriebstechnologie (Operating Technology = OT) eingebunden ist, eine große Herausforderung darstellen. Auch wenn OT-Netzwerküberwachungsdienste existieren, können sie aufgrund der Notwendigkeit von Netzwerkzonen oder Segmentierung nur eingeschränkt wirksam werden. Dies bedeutet, dass Sensoren und Alarmsysteme auf verschiedenen Ebenen im Netzwerk eingerichtet werden müssen, um bösartige Aktivitäten lückenlos zu überwachen.

4) Einrichten eines Cyber Security Management Systems (CSMS)

Ein CSMS ist eine Vielzahl von Prozessen, Arbeitsprogrammen und Checklisten, die einen Audit-Trail erstellen, um Ihre Risikominderungsstrategie aufzuzeigen. Standardprodukte sind verfügbar, müssen aber auf die Anforderungen einer Infrastrukturorganisation zugeschnitten sein. Es kann aber auch ein maßgeschneidertes Produkt erstellt werden. Cyber-Sicherheitsberater können dabei helfen, diese einzurichten und sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

5) Verbesserung des Cybersicherheitsbewusstseins

Hacker greifen Menschen in Vertrauenspositionen an, weil sie sich allzu oft als das schwache Glied in der Cyber-Abwehr einer Organisation erweisen. Cyber-Sicherheitstrainings können die Erfolgschancen häufig verwendeter Techniken wie Speer-Phishing-Angriffe oder Social Engineering-Methoden drastisch reduzieren.

Die zunehmende Anbindung von Betriebssystemen an das Internet hat zu erheblichen Verbesserungen in Bereichen wie Sicherheit, Effizienz und datengesteuerte Entscheidungsfindung geführt. Aber es hat auch das Potenzial für schädliche Cyber-Angriffe erhöht, die reale Auswirkungen auf die physische Sicherheit haben. Die bevorstehende NIS-Richtlinie ist ein positiver erster Schritt, um Infrastrukturorganisationen zu ermutigen, eine entschlossene Cyber-Sicherheitsstrategie einzuführen. Mit einer hohen Geldstrafe bestraft zu werden, enthält ein deutliches Drohpotenzial, wird damit aber auch für Beachtung sorgen und dazu beitragen, dass solche Maßnahmen ergriffen werden, welche die Widerstandsfähigkeit gegen Angriffe verbessern werden.

Michael Gerhards, Head of CyberSecurity, Airbus CyberSecurity

airbus-cyber-security.com/de/
 

GRID LIST
Phishing

Das Phishing-Prinzip und seine Gefahr für die IT von Unternehmen

Im Web ist weltweit jedes dritte kleine und mittlere Unternehmen Opfer von…
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Smarte News aus der IT-Welt