20. Juni 2022

Entsorgungswirtschaft als kritische Infrastruktur: Schutz vor Cyberangriffen

In der modernen Welt sind viele Bereiche des Lebens digital miteinander vernetzt. Das gilt besonders für die Wirtschaft und alle mit Infrastruktur zusammenhängenden Segmente. Der Schaden, der durch gezielte Cyberangriffe auf sensible Bereiche von Staat und Wirtschaft entstehen kann, ist enorm. Bisher haben die meisten Attacken aus dem Internet nur begrenzten Schaden angerichtet. Die Gefahr einer Katastrophe, der weite Bereiche des öffentlichen Lebens lahmlegen könnte, steigt jedoch an. Unter dem Fachbegriff KRITIS haben sich Bund und Länder im Jahre 2011 darauf geeinigt, neun sensible Sektoren als kritische Infrastrukturen zu identifizieren und Maßnahmen zur Cybersecurity für diese Segmente ergriffen.

Was bedeutet KRITIS und welche Sektoren zählen dazu?

Unter dem Begriff KRITIS haben Staat und Wirtschaft eine gemeinsame Grundlage geschaffen, damit kritische Infrastrukturen in Bezug auf Cybersecurity besser vor Angriffen aus dem Internet geschützt werden. In diesem Zusammenhang wurden zunächst diese neun Sektoren als besonders schützenswert identifiziert:

• Energie
• Ernährung
• Finanz- und Versicherungswirtschaft
• Gesundheit
• Informationstechnik und Telekommunikation
• Medien und Kultur
• Staat und Verwaltung
• Transport und Verkehr
• Wasser

Die vorgenannt aufgeführten Sektoren verteilen sich anschließend auf 29 Branchen.

Im Jahre 2021 erfolgte eine Revision der bisher erreichten Erfolge. Dabei wurde als zehnter schützenswerter Sektor der Bereich Siedlungsabfallentsorgung neu als kritische Infrastruktur identifiziert.

Was ist der Grund für die Einteilung wichtiger Segmente und Branchen als kritische Infrastruktur?

In jedem Einzelnen der jetzt insgesamt zehn Sektoren werden von den Infrastrukturbetreibern Dienstleistungen erbracht, die für die Allgemeinheit äußerst bedeutsam sind. Fällt ein als kritisch eingestufter Bereich aufgrund von Cyberangriffen aus, so führt das wahrscheinlich zu erheblichen Beeinträchtigungen für die Bevölkerung. Versorgungsengpässe sind möglich bis hin zu einer Gefährdung der öffentlichen Sicherheit in unserem Land. Aus diesem Grund ist Cybersecurity für diese als hochsensibel eingestuften Bereiche oberstes Ziel. Behörden und Unternehmen müssen erreichen, dass jederzeit ein zuverlässiger und sicherer Betrieb der betreffenden Einrichtungen und Anlagen gewährleistet ist.

Warum zählt auch die Abfallwirtschaft zu den kritischen Infrastrukturbetrieben?

Mit der am 1. Januar 2022 in Kraft getretenen Anpassung der BSI-KRITIS-Verordnung und im Rahmen des IT-Sicherheitsgesetzes 2.0 aus dem Jahre 2021, zählt der Bereich Siedlungsabfallentsorgung als zehntes Segment zu den kritischen Infrastrukturen in Deutschland. Der Grund dafür ist der besondere Stellenwert der Müllabfuhr für die heimische Gesellschaft. Schließlich bedeutet der Ausfall von Anlagen zur Abfallbeseitigung eine erhöhte Seuchen- und Umweltgefahr für die Bevölkerung.

Unklar ist derzeit noch, wie groß die Reichweite bei der Umsetzung der Verordnung in die Praxis sein wird.

Aktuell werden Unternehmen der Abfallwirtschaft mit einem Versorgungsradius von 500.000 Personen von der KRITIS-Verordnung erfasst. Das Absenken dieses Schwellenwertes wird zurzeit noch diskutiert.

Bildquelle: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Cybersecurity als wichtiger Bestandteil einer sicheren Abfallwirtschaft

Bereits in der Vergangenheit haben sich kriminelle Aktivitäten im Internet zunehmend vermehrt. Neben den Attacken auf Server und Rechner in den Betrieben sind die Maschinen und Anlagen zunehmend ein Ziel von Cyberangriffen. Das „Internet der Dinge“ (Internet of Things, IoT) vernetzt ganze Maschinenparks miteinander, sodass technische Anlagen in der Lage sind, Fehler selbstständig zu erkennen und ohne menschliche Hilfe zu bereinigen.

Im Zuge der jüngsten Krise in der Ukraine, verbunden mit den Sanktionen gegen Russland, haben sich Cyberattacken auf deutsche Unternehmen deutlich erhöht.

Wie und über welche Wege wird angegriffen und was hat ein Angriff zur Folge

Aus dem Lagebericht des BSI aus dem Jahre 2019 geht hervor, dass Experten zufolge bis zu 110.000 Bot-Infektionen auf deutsche IT-Systeme pro Tag erfolgen. Immer öfter sind Betriebe aus dem Bereich kritische Infrastrukturen von diesen Cyberangriffen betroffen. Die Folge davon sind empfindliche Störungen in den jeweiligen Betrieben, die in einigen Fällen Auswirkungen auf angrenzende Bereiche und die Bevölkerung haben. Umso wichtiger ist es, dass KRITIS Betriebe den hohen Anforderungen an die IT-Sicherheit zeitnah nachkommen müssen.

Was für Unternehmen aus der kritischen Infrastruktur jetzt zu tun ist

Laut IT-SiG 2.0 kommen auf KRITIS-relevante Entsorger sowie alle weiteren Unternehmen folgende Cybersecurity Anforderungen zu:

Identifikation als KRITIS-Betreiber
>>> Zum Ablauf der Identifikation

Registrierung als KRITIS-Betreiber beim BSI (Bund für Sicherheit in der Informationstechnik)
>>> Zum Melde- und Informationsportal des BSI

Meldung von Sicherheitsvorfällen und IT-Störungen beim BSI
Die eingegangenen Informationen zu entsprechenden Vorfällen möchte der BSI an andere KRITIS-Betreiber weitergeben und diese vor bestimmten Schwachstellen warnen.  Gemeldet werden müssen laut § 8b (4) BSIG:  Störungen und erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit  der betriebenen Kritischen Infrastrukturen geführt haben.

Fristgerechte Meldepflichten beim BSI
Informationen zum Stand der Technik, Angriffen und Vorfällen

Beachtung der Regelungen zu KRITIS-Kernkomponenten
Das IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) sieht vor, dass KRITIS nur Komponenten verbauen dürfen, die ein BSI-Sicherheitskennzeichen nachweisen. Dieses soll eine Vertrauenswürdigkeit der gesamtem Lieferkette sicherstellen und damit die BSI definierten Mindeststandards gewährleisten. KRITIS-Betreiber sollten darauf achten, nur Kernkomponenten von Herstellern zu beziehen, die zuvor eine Vertrauenswürdigkeitserklärung abgegeben haben.

Implementation von Cybersecurity Systemen
Laut IT-SiG 2.0 sind KRITIS-Betreiber zukünftig dazu verpflichtet Systeme zur Angriffserkennung (Intrusion Detection Systeme, kurz: IDS) einzuführen. Diese sollen bei einem Angriff in Echtzeit automatisch alarmieren

————————

Quellen:

• IT-SiG 2.0: Abfallwirtschaft als neuer KRITIS-Sektor | TÜViT (tuvit.de)
• KRITIS-Sektor Siedlungsabfallentsorgung – OpenKRITIS

Wie können sich kritische Infrastrukturen vor der zunehmenden Bedrohung schützen?

Unter dem Stichwort „Intrusion Detection Systems“ (IDS) wurde am 19. Mai 2021 ein IT-Sicherheitsgesetz zum Schutz kritischer Segmente und Branchen in Kraft gesetzt. Zusätzlich zu den bekannten Virenscannern und Firewalls sorgt das IDS dafür, das Eindringen von Schadsoftware und Malware in IT-Systeme zu erkennen und zu verhindern.

Dabei analysiert das implementierte IDS permanent die IT-Systeme auf Angriffsversuche aus dem Internet, Missbrauchsversuche und Sicherheitsverletzungen. Wie bei einer Alarmanlage werden die für das System verantwortlichen Mitarbeitenden sofort informiert. Entscheidend ist, dass die betroffenen Unternehmen der Abfallwirtschaft ein Jahr bis zum 19. Mai 2022 Zeit haben, ein entsprechendes IDS-System im Betrieb zu installieren.

Fazit:

Cybersecurity ist im Segment der Siedlungsabfallentsorgung ein immer wichtiger werdender Faktor geworden. Mit Zunahme von Cyberattacken aus dem Internet ist die Bedrohung sensibler Bereiche der Infrastruktur gestiegen. Damit ist es umso entscheidender, dass sich die betroffenen Unternehmen im Rahmen des IT-Sicherheitsgesetzes rechtzeitig mit einem gut funktionierenden IDS-System schützen.

Erfahren Sie, wie auch Sie Ihr Unternehmen optimal mit  Sicherheitssystemen ausstatten können. Mit über 20 Jahren Erfahrung in Cyber Security unterstützen Sie die Expert:innen von Axians  gerne bei der Entwicklung Ihrer Sicherheitsinfrastruktur  und im Kampf gegen Bedrohungen aus dem Internet.

>> Ausführliche Informationen zum Angebot der Axians Cyber Security

KRITIS – Verständlich erklärt

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

Möchten auch Sie sich einmal zum Thema IDS/IPS beraten lassen?

Dann schauen Sie im Expertenblog von Axians vorbei und informieren sich zum einen über den Beitrag „KRITIS 2.0: So führen Sie IDS am besten ein“ oder sprechen uns gerne direkt an!

Weiterführende Informationen:

•  Übersicht und Einteilung der Branchen in die KRITIS Sektoren
• OpenKRITIS – eine unabhängige Plattform für den Schutz kritischer Infrastrukturen