Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

EU-Flagge Paragraf

Quelle: nitpicker / Shutterstock.com

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das IT-Sicherheitsgesetz dazu verpflichtet, sich an bestimmte Sicherheitsstandards und Meldepflichten zu halten. Mit großer Mehrheit stimmte am 6. Juli 2016 das EU-Parlament dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit in Europa (sog. NIS-Richtlinie) zu.

Durch diese Richtlinie werden sowohl die verantwortlichen Betreiber kritischer Infrastrukturen, als auch digitale Dienstleister für beispielsweise Cloud-Services und Online-Marktplätze in Bezug auf Cybersicherheit verstärkt in die Pflicht genommen. Bevor die Richtlinie allerdings in Kraft treten kann, muss diese von den jeweiligen Mitgliedstaaten der EU bis Mai 2018 in nationales Recht umgesetzt werden. Aufgrund des bereits bestehenden IT-Sicherheitsgesetzes hat Deutschland hier einen Vorteil, denn das IT-Sicherheitsgesetz bietet bereits einen rechtlichen Rahmen zu mehr Cybersicherheit bei kritischen Infrastrukturen sowie für die Kooperation zwischen dem Staat und den Unternehmen.

Betreiber kritischer Infrastrukturen müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen und gravierende IT-Sicherheitsvorfälle an das BSI melden. Aufgrund der neuen NIS-Richtlinie wird dieser Gesetzesentwurf nun auf die Aufsichts- und Durchsetzungsbefugnisse des BSI in Bezug auf kritische Infrastrukturen erweitert. Für Deutschland musste im Rahmen der NIS-Richtlinie dabei nur noch die Regelungen für digitale Dienstleistungsanbieter verfasst werden, welche – anders als die Regelungen für Betreiber kritischer Infrastrukturen – ab dem 10.05.2018 in Kraft getreten sind.

Um Unternehmen bei der Anpassung der neuen Richtlinien zu unterstützen, skizziert Airbus CyberSecurity fünf wichtige Schritte, die Infrastrukturunternehmen bei der Einhaltung und Verbesserung ihrer allgemeinen Sicherheit berücksichtigen sollten.

1) Wer ist betroffen?

Die Regierung hat vor kurzem die Schwellenwerte für die Bestimmung festgelegt, welche Anbieter unter die Gesetzgebung fallen - zum Beispiel gilt sie nur für Trinkwasserversorger, die 200.000 oder mehr Bürger versorgen. Infrastrukturunternehmen wird außerdem die Verantwortung auferlegt, die Einhaltung der Vorschriften in ihren Lieferketten nachzuweisen. Das bedeutet, dass auch ihre Lieferanten möglicherweise bald vertraglich dazu verpflichtet werden, sich denselben Regularien zu unterwerfen.

2) Einrichten eines Reaktionsplans für Vorfälle

Ein großer Teil der vorgeschlagenen Rechtsvorschriften befasst sich mit der rechtzeitigen Meldung von Cyber-Attacken an die Regulierungsbehörden. Unternehmen müssen darüber hinaus auch sicherstellen, dass ihre Dienste nach einem Angriff schnell wieder einsatzbereit gemacht werden können. Das bedeutet, dass sie innerhalb ihrer Organisation einen klaren Plan für die Reaktion auf Vorfälle erstellen müssen, damit sie wissen, wer für welche Aufgaben im Falle eines Angriffs verantwortlich ist. Dieser muss auch Backup- und Wiederherstellungsstrategien umfassen, die es ihnen ermöglichen, zum letzten "guten" Zustand vor einem Vorfall zurückzukehren und die betroffenen Systeme für Quarantäne und Forensik zu isolieren. Ohne solche Einrichtungen könnten sie einen Angriff weder zurückverfolgen noch verstehen, wie er stattgefunden hat.

3) Überwachen Sie Ihr Netzwerk

Das Erkennen eines Eindringens in Firmen-Netzwerke kann in Umgebungen, in denen Betriebstechnologie (Operating Technology = OT) eingebunden ist, eine große Herausforderung darstellen. Auch wenn OT-Netzwerküberwachungsdienste existieren, können sie aufgrund der Notwendigkeit von Netzwerkzonen oder Segmentierung nur eingeschränkt wirksam werden. Dies bedeutet, dass Sensoren und Alarmsysteme auf verschiedenen Ebenen im Netzwerk eingerichtet werden müssen, um bösartige Aktivitäten lückenlos zu überwachen.

4) Einrichten eines Cyber Security Management Systems (CSMS)

Ein CSMS ist eine Vielzahl von Prozessen, Arbeitsprogrammen und Checklisten, die einen Audit-Trail erstellen, um Ihre Risikominderungsstrategie aufzuzeigen. Standardprodukte sind verfügbar, müssen aber auf die Anforderungen einer Infrastrukturorganisation zugeschnitten sein. Es kann aber auch ein maßgeschneidertes Produkt erstellt werden. Cyber-Sicherheitsberater können dabei helfen, diese einzurichten und sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

5) Verbesserung des Cybersicherheitsbewusstseins

Hacker greifen Menschen in Vertrauenspositionen an, weil sie sich allzu oft als das schwache Glied in der Cyber-Abwehr einer Organisation erweisen. Cyber-Sicherheitstrainings können die Erfolgschancen häufig verwendeter Techniken wie Speer-Phishing-Angriffe oder Social Engineering-Methoden drastisch reduzieren.

Die zunehmende Anbindung von Betriebssystemen an das Internet hat zu erheblichen Verbesserungen in Bereichen wie Sicherheit, Effizienz und datengesteuerte Entscheidungsfindung geführt. Aber es hat auch das Potenzial für schädliche Cyber-Angriffe erhöht, die reale Auswirkungen auf die physische Sicherheit haben. Die bevorstehende NIS-Richtlinie ist ein positiver erster Schritt, um Infrastrukturorganisationen zu ermutigen, eine entschlossene Cyber-Sicherheitsstrategie einzuführen. Mit einer hohen Geldstrafe bestraft zu werden, enthält ein deutliches Drohpotenzial, wird damit aber auch für Beachtung sorgen und dazu beitragen, dass solche Maßnahmen ergriffen werden, welche die Widerstandsfähigkeit gegen Angriffe verbessern werden.

Michael Gerhards, Head of CyberSecurity, Airbus CyberSecurity

airbus-cyber-security.com/de/
 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…