In der modernen Welt sind viele Bereiche des Lebens digital miteinander vernetzt. Das gilt besonders für die Wirtschaft und alle mit Infrastruktur zusammenhängenden Segmente. Der Schaden, der durch gezielte Cyberangriffe auf sensible Bereiche von Staat und Wirtschaft entstehen kann, ist enorm. Bisher haben die meisten Attacken aus dem Internet nur begrenzten Schaden angerichtet. Die Gefahr einer Katastrophe, der weite Bereiche des öffentlichen Lebens lahmlegen könnte, steigt jedoch an. Unter dem Fachbegriff KRITIS haben sich Bund und Länder im Jahre 2011 darauf geeinigt, neun sensible Sektoren als kritische Infrastrukturen zu identifizieren und Maßnahmen zur Cybersecurity für diese Segmente ergriffen.
Unter dem Begriff KRITIS haben Staat und Wirtschaft eine gemeinsame Grundlage geschaffen, damit kritische Infrastrukturen in Bezug auf Cybersecurity besser vor Angriffen aus dem Internet geschützt werden. In diesem Zusammenhang wurden zunächst diese neun Sektoren als besonders schützenswert identifiziert:
Die vorgenannt aufgeführten Sektoren verteilen sich anschließend auf 29 Branchen.
Im Jahre 2021 erfolgte eine Revision der bisher erreichten Erfolge. Dabei wurde als zehnter schützenswerter Sektor der Bereich Siedlungsabfallentsorgung neu als kritische Infrastruktur identifiziert.
In jedem Einzelnen der jetzt insgesamt zehn Sektoren werden von den Infrastrukturbetreibern Dienstleistungen erbracht, die für die Allgemeinheit äußerst bedeutsam sind. Fällt ein als kritisch eingestufter Bereich aufgrund von Cyberangriffen aus, so führt das wahrscheinlich zu erheblichen Beeinträchtigungen für die Bevölkerung. Versorgungsengpässe sind möglich bis hin zu einer Gefährdung der öffentlichen Sicherheit in unserem Land. Aus diesem Grund ist Cybersecurity für diese als hochsensibel eingestuften Bereiche oberstes Ziel. Behörden und Unternehmen müssen erreichen, dass jederzeit ein zuverlässiger und sicherer Betrieb der betreffenden Einrichtungen und Anlagen gewährleistet ist.
Mit der am 1. Januar 2022 in Kraft getretenen Anpassung der BSI-KRITIS-Verordnung und im Rahmen des IT-Sicherheitsgesetzes 2.0 aus dem Jahre 2021, zählt der Bereich Siedlungsabfallentsorgung als zehntes Segment zu den kritischen Infrastrukturen in Deutschland. Der Grund dafür ist der besondere Stellenwert der Müllabfuhr für die heimische Gesellschaft. Schließlich bedeutet der Ausfall von Anlagen zur Abfallbeseitigung eine erhöhte Seuchen- und Umweltgefahr für die Bevölkerung.
Unklar ist derzeit noch, wie groß die Reichweite bei der Umsetzung der Verordnung in die Praxis sein wird.
Aktuell werden Unternehmen der Abfallwirtschaft mit einem Versorgungsradius von 500.000 Personen von der KRITIS-Verordnung erfasst. Das Absenken dieses Schwellenwertes wird zurzeit noch diskutiert.
Bildquelle: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Bereits in der Vergangenheit haben sich kriminelle Aktivitäten im Internet zunehmend vermehrt. Neben den Attacken auf Server und Rechner in den Betrieben sind die Maschinen und Anlagen zunehmend ein Ziel von Cyberangriffen. Das „Internet der Dinge“ (Internet of Things, IoT) vernetzt ganze Maschinenparks miteinander, sodass technische Anlagen in der Lage sind, Fehler selbstständig zu erkennen und ohne menschliche Hilfe zu bereinigen.
Im Zuge der jüngsten Krise in der Ukraine, verbunden mit den Sanktionen gegen Russland, haben sich Cyberattacken auf deutsche Unternehmen deutlich erhöht.
Aus dem Lagebericht des BSI aus dem Jahre 2019 geht hervor, dass Experten zufolge bis zu 110.000 Bot-Infektionen auf deutsche IT-Systeme pro Tag erfolgen. Immer öfter sind Betriebe aus dem Bereich kritische Infrastrukturen von diesen Cyberangriffen betroffen. Die Folge davon sind empfindliche Störungen in den jeweiligen Betrieben, die in einigen Fällen Auswirkungen auf angrenzende Bereiche und die Bevölkerung haben. Umso wichtiger ist es, dass KRITIS Betriebe den hohen Anforderungen an die IT-Sicherheit zeitnah nachkommen müssen.
Laut IT-SiG 2.0 kommen auf KRITIS-relevante Entsorger sowie alle weiteren Unternehmen folgende Cybersecurity Anforderungen zu:
Identifikation als KRITIS-Betreiber
>>> Zum Ablauf der Identifikation
Registrierung als KRITIS-Betreiber beim BSI (Bund für Sicherheit in der Informationstechnik)
>>> Zum Melde- und Informationsportal des BSI
Meldung von Sicherheitsvorfällen und IT-Störungen beim BSI
Die eingegangenen Informationen zu entsprechenden Vorfällen möchte der BSI an andere KRITIS-Betreiber weitergeben und diese vor bestimmten Schwachstellen warnen. Gemeldet werden müssen laut § 8b (4) BSIG: Störungen und erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben.
Fristgerechte Meldepflichten beim BSI
Informationen zum Stand der Technik, Angriffen und Vorfällen
Beachtung der Regelungen zu KRITIS-Kernkomponenten
Das IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) sieht vor, dass KRITIS nur Komponenten verbauen dürfen, die ein BSI-Sicherheitskennzeichen nachweisen. Dieses soll eine Vertrauenswürdigkeit der gesamtem Lieferkette sicherstellen und damit die BSI definierten Mindeststandards gewährleisten. KRITIS-Betreiber sollten darauf achten, nur Kernkomponenten von Herstellern zu beziehen, die zuvor eine Vertrauenswürdigkeitserklärung abgegeben haben.
Implementation von Cybersecurity Systemen
Laut IT-SiG 2.0 sind KRITIS-Betreiber zukünftig dazu verpflichtet Systeme zur Angriffserkennung (Intrusion Detection Systeme, kurz: IDS) einzuführen. Diese sollen bei einem Angriff in Echtzeit automatisch alarmieren
————————
Quellen:
Unter dem Stichwort „Intrusion Detection Systems“ (IDS) wurde am 19. Mai 2021 ein IT-Sicherheitsgesetz zum Schutz kritischer Segmente und Branchen in Kraft gesetzt. Zusätzlich zu den bekannten Virenscannern und Firewalls sorgt das IDS dafür, das Eindringen von Schadsoftware und Malware in IT-Systeme zu erkennen und zu verhindern.
Dabei analysiert das implementierte IDS permanent die IT-Systeme auf Angriffsversuche aus dem Internet, Missbrauchsversuche und Sicherheitsverletzungen. Wie bei einer Alarmanlage werden die für das System verantwortlichen Mitarbeitenden sofort informiert. Entscheidend ist, dass die betroffenen Unternehmen der Abfallwirtschaft ein Jahr bis zum 19. Mai 2022 Zeit haben, ein entsprechendes IDS-System im Betrieb zu installieren.
Cybersecurity ist im Segment der Siedlungsabfallentsorgung ein immer wichtiger werdender Faktor geworden. Mit Zunahme von Cyberattacken aus dem Internet ist die Bedrohung sensibler Bereiche der Infrastruktur gestiegen. Damit ist es umso entscheidender, dass sich die betroffenen Unternehmen im Rahmen des IT-Sicherheitsgesetzes rechtzeitig mit einem gut funktionierenden IDS-System schützen.
Erfahren Sie, wie auch Sie Ihr Unternehmen optimal mit Sicherheitssystemen ausstatten können. Mit über 20 Jahren Erfahrung in Cyber Security unterstützen Sie die Expert:innen von Axians gerne bei der Entwicklung Ihrer Sicherheitsinfrastruktur und im Kampf gegen Bedrohungen aus dem Internet.
>> Ausführliche Informationen zum Angebot der Axians Cyber Security
Dann schauen Sie im Expertenblog von Axians vorbei und informieren sich zum einen über den Beitrag „KRITIS 2.0: So führen Sie IDS am besten ein“ oder sprechen uns gerne direkt an!
Weiterführende Informationen: