VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

EU-Flagge Paragraf

Quelle: nitpicker / Shutterstock.com

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das IT-Sicherheitsgesetz dazu verpflichtet, sich an bestimmte Sicherheitsstandards und Meldepflichten zu halten. Mit großer Mehrheit stimmte am 6. Juli 2016 das EU-Parlament dem Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit in Europa (sog. NIS-Richtlinie) zu.

Durch diese Richtlinie werden sowohl die verantwortlichen Betreiber kritischer Infrastrukturen, als auch digitale Dienstleister für beispielsweise Cloud-Services und Online-Marktplätze in Bezug auf Cybersicherheit verstärkt in die Pflicht genommen. Bevor die Richtlinie allerdings in Kraft treten kann, muss diese von den jeweiligen Mitgliedstaaten der EU bis Mai 2018 in nationales Recht umgesetzt werden. Aufgrund des bereits bestehenden IT-Sicherheitsgesetzes hat Deutschland hier einen Vorteil, denn das IT-Sicherheitsgesetz bietet bereits einen rechtlichen Rahmen zu mehr Cybersicherheit bei kritischen Infrastrukturen sowie für die Kooperation zwischen dem Staat und den Unternehmen.

Betreiber kritischer Infrastrukturen müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen und gravierende IT-Sicherheitsvorfälle an das BSI melden. Aufgrund der neuen NIS-Richtlinie wird dieser Gesetzesentwurf nun auf die Aufsichts- und Durchsetzungsbefugnisse des BSI in Bezug auf kritische Infrastrukturen erweitert. Für Deutschland musste im Rahmen der NIS-Richtlinie dabei nur noch die Regelungen für digitale Dienstleistungsanbieter verfasst werden, welche – anders als die Regelungen für Betreiber kritischer Infrastrukturen – ab dem 10.05.2018 in Kraft getreten sind.

Um Unternehmen bei der Anpassung der neuen Richtlinien zu unterstützen, skizziert Airbus CyberSecurity fünf wichtige Schritte, die Infrastrukturunternehmen bei der Einhaltung und Verbesserung ihrer allgemeinen Sicherheit berücksichtigen sollten.

1) Wer ist betroffen?

Die Regierung hat vor kurzem die Schwellenwerte für die Bestimmung festgelegt, welche Anbieter unter die Gesetzgebung fallen - zum Beispiel gilt sie nur für Trinkwasserversorger, die 200.000 oder mehr Bürger versorgen. Infrastrukturunternehmen wird außerdem die Verantwortung auferlegt, die Einhaltung der Vorschriften in ihren Lieferketten nachzuweisen. Das bedeutet, dass auch ihre Lieferanten möglicherweise bald vertraglich dazu verpflichtet werden, sich denselben Regularien zu unterwerfen.

2) Einrichten eines Reaktionsplans für Vorfälle

Ein großer Teil der vorgeschlagenen Rechtsvorschriften befasst sich mit der rechtzeitigen Meldung von Cyber-Attacken an die Regulierungsbehörden. Unternehmen müssen darüber hinaus auch sicherstellen, dass ihre Dienste nach einem Angriff schnell wieder einsatzbereit gemacht werden können. Das bedeutet, dass sie innerhalb ihrer Organisation einen klaren Plan für die Reaktion auf Vorfälle erstellen müssen, damit sie wissen, wer für welche Aufgaben im Falle eines Angriffs verantwortlich ist. Dieser muss auch Backup- und Wiederherstellungsstrategien umfassen, die es ihnen ermöglichen, zum letzten "guten" Zustand vor einem Vorfall zurückzukehren und die betroffenen Systeme für Quarantäne und Forensik zu isolieren. Ohne solche Einrichtungen könnten sie einen Angriff weder zurückverfolgen noch verstehen, wie er stattgefunden hat.

3) Überwachen Sie Ihr Netzwerk

Das Erkennen eines Eindringens in Firmen-Netzwerke kann in Umgebungen, in denen Betriebstechnologie (Operating Technology = OT) eingebunden ist, eine große Herausforderung darstellen. Auch wenn OT-Netzwerküberwachungsdienste existieren, können sie aufgrund der Notwendigkeit von Netzwerkzonen oder Segmentierung nur eingeschränkt wirksam werden. Dies bedeutet, dass Sensoren und Alarmsysteme auf verschiedenen Ebenen im Netzwerk eingerichtet werden müssen, um bösartige Aktivitäten lückenlos zu überwachen.

4) Einrichten eines Cyber Security Management Systems (CSMS)

Ein CSMS ist eine Vielzahl von Prozessen, Arbeitsprogrammen und Checklisten, die einen Audit-Trail erstellen, um Ihre Risikominderungsstrategie aufzuzeigen. Standardprodukte sind verfügbar, müssen aber auf die Anforderungen einer Infrastrukturorganisation zugeschnitten sein. Es kann aber auch ein maßgeschneidertes Produkt erstellt werden. Cyber-Sicherheitsberater können dabei helfen, diese einzurichten und sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

5) Verbesserung des Cybersicherheitsbewusstseins

Hacker greifen Menschen in Vertrauenspositionen an, weil sie sich allzu oft als das schwache Glied in der Cyber-Abwehr einer Organisation erweisen. Cyber-Sicherheitstrainings können die Erfolgschancen häufig verwendeter Techniken wie Speer-Phishing-Angriffe oder Social Engineering-Methoden drastisch reduzieren.

Die zunehmende Anbindung von Betriebssystemen an das Internet hat zu erheblichen Verbesserungen in Bereichen wie Sicherheit, Effizienz und datengesteuerte Entscheidungsfindung geführt. Aber es hat auch das Potenzial für schädliche Cyber-Angriffe erhöht, die reale Auswirkungen auf die physische Sicherheit haben. Die bevorstehende NIS-Richtlinie ist ein positiver erster Schritt, um Infrastrukturorganisationen zu ermutigen, eine entschlossene Cyber-Sicherheitsstrategie einzuführen. Mit einer hohen Geldstrafe bestraft zu werden, enthält ein deutliches Drohpotenzial, wird damit aber auch für Beachtung sorgen und dazu beitragen, dass solche Maßnahmen ergriffen werden, welche die Widerstandsfähigkeit gegen Angriffe verbessern werden.

Michael Gerhards, Head of CyberSecurity, Airbus CyberSecurity

airbus-cyber-security.com/de/
 

GRID LIST
Security Concept Shield

Gute Basisarbeit in der IT-Security fängt 90 Prozent aller Cyber-Attacken ab

Unternehmen setzen bei der IT-Sicherheit meist auf die neuesten Tools. Allerdings helfen…
Security Concept

Cyberschutz: Unternehmen brauchen wirksame Instrumente

"Cyberkriminalität wird in den meisten Unternehmen unterschätzt. Insbesondere kleine und…
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Airlock WAF 7.1: Automatisierung der IT-Security

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Cloud Account Defense: Sicherheit bei Office-365-Accounts

Proofpoint, Inc. (NASDAQ: PFPT), gab die Verfügbarkeit von Proofpoint Cloud Account…
Security Concept

Compliance ist nur Teilaspekt der IT-Sicherheit

IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

DATEV setzt auf E-Mail-Verschlüsselung mit SEPPmail

Wer heute noch Wirtschaftsdaten unverschlüsselt per E-Mail versendet, der handelt grob…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security