Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

EU-Flagge Paragraf

Quelle: nitpicker / Shutterstock.com

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das IT-Sicherheitsgesetz dazu verpflichtet, sich an bestimmte Sicherheitsstandards und Meldepflichten zu halten. Mit großer Mehrheit stimmte am 6. Juli 2016 das EU-Parlament dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit in Europa (sog. NIS-Richtlinie) zu.

Durch diese Richtlinie werden sowohl die verantwortlichen Betreiber kritischer Infrastrukturen, als auch digitale Dienstleister für beispielsweise Cloud-Services und Online-Marktplätze in Bezug auf Cybersicherheit verstärkt in die Pflicht genommen. Bevor die Richtlinie allerdings in Kraft treten kann, muss diese von den jeweiligen Mitgliedstaaten der EU bis Mai 2018 in nationales Recht umgesetzt werden. Aufgrund des bereits bestehenden IT-Sicherheitsgesetzes hat Deutschland hier einen Vorteil, denn das IT-Sicherheitsgesetz bietet bereits einen rechtlichen Rahmen zu mehr Cybersicherheit bei kritischen Infrastrukturen sowie für die Kooperation zwischen dem Staat und den Unternehmen.

Betreiber kritischer Infrastrukturen müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen und gravierende IT-Sicherheitsvorfälle an das BSI melden. Aufgrund der neuen NIS-Richtlinie wird dieser Gesetzesentwurf nun auf die Aufsichts- und Durchsetzungsbefugnisse des BSI in Bezug auf kritische Infrastrukturen erweitert. Für Deutschland musste im Rahmen der NIS-Richtlinie dabei nur noch die Regelungen für digitale Dienstleistungsanbieter verfasst werden, welche – anders als die Regelungen für Betreiber kritischer Infrastrukturen – ab dem 10.05.2018 in Kraft getreten sind.

Um Unternehmen bei der Anpassung der neuen Richtlinien zu unterstützen, skizziert Airbus CyberSecurity fünf wichtige Schritte, die Infrastrukturunternehmen bei der Einhaltung und Verbesserung ihrer allgemeinen Sicherheit berücksichtigen sollten.

1) Wer ist betroffen?

Die Regierung hat vor kurzem die Schwellenwerte für die Bestimmung festgelegt, welche Anbieter unter die Gesetzgebung fallen - zum Beispiel gilt sie nur für Trinkwasserversorger, die 200.000 oder mehr Bürger versorgen. Infrastrukturunternehmen wird außerdem die Verantwortung auferlegt, die Einhaltung der Vorschriften in ihren Lieferketten nachzuweisen. Das bedeutet, dass auch ihre Lieferanten möglicherweise bald vertraglich dazu verpflichtet werden, sich denselben Regularien zu unterwerfen.

2) Einrichten eines Reaktionsplans für Vorfälle

Ein großer Teil der vorgeschlagenen Rechtsvorschriften befasst sich mit der rechtzeitigen Meldung von Cyber-Attacken an die Regulierungsbehörden. Unternehmen müssen darüber hinaus auch sicherstellen, dass ihre Dienste nach einem Angriff schnell wieder einsatzbereit gemacht werden können. Das bedeutet, dass sie innerhalb ihrer Organisation einen klaren Plan für die Reaktion auf Vorfälle erstellen müssen, damit sie wissen, wer für welche Aufgaben im Falle eines Angriffs verantwortlich ist. Dieser muss auch Backup- und Wiederherstellungsstrategien umfassen, die es ihnen ermöglichen, zum letzten "guten" Zustand vor einem Vorfall zurückzukehren und die betroffenen Systeme für Quarantäne und Forensik zu isolieren. Ohne solche Einrichtungen könnten sie einen Angriff weder zurückverfolgen noch verstehen, wie er stattgefunden hat.

3) Überwachen Sie Ihr Netzwerk

Das Erkennen eines Eindringens in Firmen-Netzwerke kann in Umgebungen, in denen Betriebstechnologie (Operating Technology = OT) eingebunden ist, eine große Herausforderung darstellen. Auch wenn OT-Netzwerküberwachungsdienste existieren, können sie aufgrund der Notwendigkeit von Netzwerkzonen oder Segmentierung nur eingeschränkt wirksam werden. Dies bedeutet, dass Sensoren und Alarmsysteme auf verschiedenen Ebenen im Netzwerk eingerichtet werden müssen, um bösartige Aktivitäten lückenlos zu überwachen.

4) Einrichten eines Cyber Security Management Systems (CSMS)

Ein CSMS ist eine Vielzahl von Prozessen, Arbeitsprogrammen und Checklisten, die einen Audit-Trail erstellen, um Ihre Risikominderungsstrategie aufzuzeigen. Standardprodukte sind verfügbar, müssen aber auf die Anforderungen einer Infrastrukturorganisation zugeschnitten sein. Es kann aber auch ein maßgeschneidertes Produkt erstellt werden. Cyber-Sicherheitsberater können dabei helfen, diese einzurichten und sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

5) Verbesserung des Cybersicherheitsbewusstseins

Hacker greifen Menschen in Vertrauenspositionen an, weil sie sich allzu oft als das schwache Glied in der Cyber-Abwehr einer Organisation erweisen. Cyber-Sicherheitstrainings können die Erfolgschancen häufig verwendeter Techniken wie Speer-Phishing-Angriffe oder Social Engineering-Methoden drastisch reduzieren.

Die zunehmende Anbindung von Betriebssystemen an das Internet hat zu erheblichen Verbesserungen in Bereichen wie Sicherheit, Effizienz und datengesteuerte Entscheidungsfindung geführt. Aber es hat auch das Potenzial für schädliche Cyber-Angriffe erhöht, die reale Auswirkungen auf die physische Sicherheit haben. Die bevorstehende NIS-Richtlinie ist ein positiver erster Schritt, um Infrastrukturorganisationen zu ermutigen, eine entschlossene Cyber-Sicherheitsstrategie einzuführen. Mit einer hohen Geldstrafe bestraft zu werden, enthält ein deutliches Drohpotenzial, wird damit aber auch für Beachtung sorgen und dazu beitragen, dass solche Maßnahmen ergriffen werden, welche die Widerstandsfähigkeit gegen Angriffe verbessern werden.

Michael Gerhards, Head of CyberSecurity, Airbus CyberSecurity

airbus-cyber-security.com/de/
 

GRID LIST
Krypro Miner

So stoppt man Krypto-Jacking im Unternehmen

Krypto-Währungen haben sich von einem Phänomen hin zu einer nicht nur von Kriminellen…
Tb W190 H80 Crop Int Bb821cdb6195a9ab36bf33a5b4ab6603

EfficientIP integriert DNS in das IT-Sicherheitskonzept

Schutzvorkehrungen am Netzwerk-Perimeter allein reicht nicht mehr aus, um die Sicherheit…
ISO 27001

Anforderungen der ISO 27001 mit der Realität abgleichen

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001…
Industrie 4.0

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Kontinuierliche Reaktion auf moderne Bedrohungen

Mit der Weiterentwicklung von Bedrohungen wächst auch der Bedarf sich gegen die…
Schwachstellen

Vier Dinge, die Sie noch nicht über IT-Schwachstellen wussten

16.500 – so hoch war die Zahl der 2018 entdeckten Schwachstellen. Ihre Zahl steigt seit…