NET 4/2022

16 www.net-im-web.de 04/22 Kritische Infrastrukturen und Cyberangriffe • Unternehmen im besonderen öffent- lichen Interesse werden zur regelmä- ßigen Abgabe einer Selbsterklärung verpflichtet, in der sie darlegenmüssen, welche Zertifizierungen imBereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden. Zudem hat die Europäische Kommission zur Verbesserung der digitalen und physi- schen Resilienz kritischer Einrichtungen und Netze einen Vorschlag zur Reform der EuropäischenNIS-Richtlinie (NIS-2) sowie eine „Richtlinie über dieWiderstandsfähig- keit kritischer Einrichtungen“ vorgelegt. Diese Vorschläge haben zum Ziel, aktuelle und künftige Risiken zu minimieren. Die Umsetzung dieser europäischen Richtlinien kann daher eine erneute Überarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben. Integrierter Schutz Produzenten und Versorger in den Berei- chen Energie,Wasser undGesundheit sowie Industrieunternehmen, die ihre IT und Leittechnik vor Cyberangriffen schützen müssen, benötigen integrierte Lösungen, die sich im Einklang mit dem IT-Sicher- heitsgesetz 2.0/BSI-Gesetz sowie den ISO- 27000-Standards zur Informationssicherheit befinden. Auf Technikseite sollten daher folgende Kompetenzen (Sicherheitsmodule) verknüpft werden, um ein engmaschiges Sicherheitsnetz gegen Angriffe zu bilden: • Log-Daten-Analyse (LDA): Unter LDA versteht man das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen. Daraus resultieren die Alarmierungen bei Si- cherheitsproblemen oder potenziellen Risiken. • VulnerabilityManagement &Compli- ance (VMC): Das Schwachstellenma- nagement ermöglicht kontinuierliche, interne und externe Schwachstellen- Scans mit umfassender Erkennung, Compliance Checks undTests für eine komplette Abdeckung. • Network ConditionMonitoring (OT- Modul): Hiermit werden in Echtzeit Kommunikationsvorgänge gemeldet, die auf eine Störung des fehlerfreien Betriebs hinweisen. • Network Behavior Analytics (NBA): Mit der Netzverhaltensanalyse ist das Erkennen von gefährlicher Malware, Anomalien und anderen Risiken im Netzverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines möglich. • Endpoint Detection & Response: Endpoint Detection and Response steht für die Analyse, Überwachung und Erkennung von Anomalien auf Computern (Hosts). Aktive Schutzak- tionen und eine sofortige Alarmierung werden bereitgestellt. Europäische Sicherheitstechnik Die Verwendung europäischer Sicherheits- techniken ist zwar nicht im BSI-Gesetz ver- ankert, jedoch für Kritis-Betreiber undUnter- nehmen imbesonderen öffentlichen Interesse empfehlenswert, um folgende gesetzliche Vorgaben einfach erfüllen zu können: Einhaltung der Datenschutzgrundverordnung sowie Integrität, Authentizität und Vertrau- lichkeit der IT-Systeme Kritis-Betreiber unterliegen ebenso wie Unternehmen aller anderen Branchen den Anforderungen der EU-Datenschutz- grundverordnung (DSGVO) und haben diese zu jeder Zeit einzuhalten sowie ent- sprechend abzusichern. Weiterhin fordert das BSI-Ge- setz (§ 8a Absatz 1 BSIG) von Betreibern kritischer Infrastrukturen einen geeigneten Nachweis gegenüber demBSI über ihreVor- kehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informations- technischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infra- strukturen maßgeblich sind. Mit europäischen Sicherheits- anbietern, deren Leistungen auf in Europa entwickelter Eigentechnik basieren, ist eine Gesetzeskonformität mit den oben ge- nannten Vorgaben einfach umzusetzen, da sie höchsten Datenschutzstandards unter- liegen. Neben der Herkunft des Cyberse- curityanbieters sollten Kritis-Unternehmen zudem auf die Art der Einrichtung der Sicherheitssoftware und die Sammlung von Sicherheitsdaten achten. Um bestmögliche Datensicherheit zu gewährleisten, empfiehlt sich die Einrichtung von On-Premise-Lö- sungen als sicherste Formdes Deployments. Auch wenn der Trend vermehrt Richtung Cloud geht, ist dies hinsichtlich der hohen Datensensibilität im Bereich Kritis kritisch zu betrachten. Kritische Komponenten: Vorgaben für ein- gesetzte Hersteller Der Einsatz europäischer Sicher- heitstechnik erleichtert auch die Prüfung kritischer Komponenten durch das BSI gemäß § 9b BSIG. So kann das BSI den erstmaligen Einsatz einer kritischen Kom- ponente untersagen, wenn: • der Hersteller unmittelbar oder mittel- bar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streit- kräfte, eines Drittstaates kontrolliert wird. • der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteili- ge Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bun- desrepublik Deutschland oder eines anderen Mitgliedstaates der EU, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten. • der Einsatz der kritischenKomponente nicht imEinklang mit den sicherheits- politischen Zielen der Bundesrepublik Deutschland, der EU oder des Nord- atlantikvertrages steht.