Stormtrooper
IT-Sicherheitsgesetz 2.0

Kritisch, aber bitte nicht KRITIS

Mit der Novellierung des IT-Sicherheitsgesetzes erweitert sich der Betroffenenkreis um sogenannte Unternehmen im besonderen Interesse (UBI). Während Betreiber Kritischer Infrastrukturen bereits umfangreichen Pflichten und Rechten unterliegen, kommen neue Compliance-Anforderungen auf UBI zu. Ein Anlass mehr, um Sicherheitsarchitekturen ganzheitlich zu betrachten und Security Incident Management Prozesse und Lösungen einzuführen.

Die Rüstungsindustrie steht in der jüngsten Vergangenheit verstärkt im öffentlichen und politischen Fokus. Sie ist einer der Wirtschaftszweige, die für die Sicherung der Landesverteidigung eine zentrale Rolle spielt. Relevant sind dabei nicht nur die großen Rüstungskonzerne, sondern auch eine Vielzahl kleiner und mittlerer Unternehmen, welche Produkte produzieren, die (auch) für den militärischen Gebrauch konzipiert und angepasst werden. Ausfälle, Wirtschafsspionage oder gar Manipulationen im Bereich dieser Produkte bzw. Lieferketten, kann sich dabei signifikant auf die Sicherheitslage auswirken und Einfluss auf Vorgehen und Fähigkeiten von Sicherheitsorganen nehmen.   

Daher überrascht es nicht, dass sich der Gesetzgeber mit der zweiten Iteration des IT-Sicherheitsgesetzes auch mit den Informationssicherheitsanforderungen der Rüstungsindustrie beschäftigt. 

Das IT-Sicherheitsgesetz 2.0 erweitert den Anwendungskreis um die Gruppe der „Unternehmen im besonderen öffentlichen Interesse“, kurz UBI. Zu diesen zählen insbesondere Hersteller von Rüstungsgütern für den Export und von Produkten für staatliche Verschlusssachen. Dieses Cluster gruppiert sich neben den bereits bekannten kritischen Infrastrukturen (KRITIS) ein und unterscheidet sich hinsichtlich des Umfangs an Pflichten, aber auch an Rechten. Grundsätzlich sind die Pflichten im Vergleich zu KRITIS-Unternehmen jedoch stark beschränkt und entsprechen keinem vollständigen Informationssicherheitsprogramm, wie es KRITIS-Unternehmen vorweisen müssen. Der Schwerpunkt der Gesetzgebung liegt mehr im Bereich des Vorfallmanagements. Drei Aspekte stehen dabei im Fokus. 

Drei Schritte zur Compliance

Einerseits werden Unternehmen dazu verpflichtet, eine Kontaktstelle anzugeben. Diese Stelle dient dazu, relevante Informationen durch die Aufsichtsbehörde in das Unternehmen zu leiten. Damit soll sichergestellt werden, dass die gelieferten, teils zeitkritischen Informationen, wie bspw. Hinweise zu Sicherheitslücken und konkreten Gefährdungen, durch das Unternehmen bearbeitet werden.  

Des Weiteren müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) schwere Störungen des Betriebs gemeldet werden. Im IT-Sicherheitsgesetz 2.0 wird konkretisiert, dass sämtliche Sicherheitsvorfälle, die eine erhebliche Störung der Wertschöpfung verursachen (könnten), zu melden sind. Um dies gewährleisten zu können, müssen sich Unternehmen mit der Frage beschäftigen, was als erhebliche Störung klassifiziert werden soll und wie etwaige Störungen erkannt werden können. Schließlich kann verständlicher Weise nur gemeldet werden, was auch erkannt und bewertet wurde.  

Zu guter Letzt müssen betroffene Unternehmen alle zwei Jahre eine Selbstauskunft in Bezug auf den Schutz kritischer Unternehmenswerte (sogenannte Assets) abgeben, welche durch Sicherheitsauditierungen und -zertifizierungen ergänzt wird. Mit dieser Verpflichtung soll das BSI in die Lage versetzt werden, das individuelle Sicherheitsniveau nachzuvollziehen und auf dieser Basis Vorschläge zu weiteren Schutzmaßnahmen abzugeben. Mit dem Ziel, den Schutz der kritischen Assets zu steigern. 

Schadenprävention in den Blick nehmen

Keine der Maßnahmen verhindert jedoch, Sicherheitsvorfälle oder reduziert den Schaden auf ein tolerables Niveau. Je früher Sicherheitsvorfälle erkannt und gezielte Gegenmaßnahmen eingeleitet werden, umso geringer wirken sich die daraus resultierenden Schäden für das Unternehmen selbst, aber auch für dessen Kunden aus. Daher sind Maßnahmen und Methoden in Hinblick auf die Entdeckung von Sicherheitsvorfällen elementar. Hierbei ist jedoch immer mit Augenmaß vorzugehen. Etwaige Systeme sind hoch komplex und müssen mit der gesamte Systemarchitektur verwoben werden, was bei unzureichender Planung hohe Kosten entstehen lässt. Es ist folglich ratsam, die Sicherheitsarchitektur gesamtheitlich zu betrachten und Detektierungslösungen dort aufzubauen, wo ein maximaler Nutzen erfolgen kann und nicht flächendeckend – getrost dem Gießkannenprinzip – vorzugehen.  

Darüber hinaus ist es ratsam, Prozesse und Handlungsanweisungen zur Behandlung von Sicherheitsvorfällen zu etablieren, um im Eintrittsfall die Wertschöpfungsstörung gezielt und schnell eindämmen zu können. Hierbei können Security Incident Response Playbooks oder auch Incident Response Handbücher helfen, welche szenarienbasierte Informationen zu Handlungsabläufen, Checklisten und Systemen beinhalten.

UBIs müssen Sicherheitsvorfälle selbst lösen

Das IT-Sicherheitsgesetz 2.0 formuliert aber auch Rechte für Unternehmen: Das BSI hält Unterstützungsleistungen zur Schadprogramm-Analyse, digitalen Forensik oder Logdatenanalyse bereit. Leider profitieren davon nur KRITS-Unternehmen, UBIs hingegen haben keinen Anspruch auf das Portfolio des BSI. Selbiges gilt für das Mobile Incident Response Team der BSI, welches bei der Vorfallbewältigung vor Ort unterstützt, um Berechtigten in Notlagen fachliche Kompetenz und Ressourcen zur Verfügung stellen zu können. 

Da derartige Fähigkeiten wesentlich sind für eine konsistente Vorfallbewältigung, zugleich aber auch hoch spezifische Fachkenntnisse erfordern, ist es ratsam, präventiv Alternativen in Form von Expertise und Dienstleistungen am Markt zu suchen und Services in die eigenen Prozesse zu integrieren. Im Krisen- oder Notfall kann dann deutlich schneller und zielgerichtet agiert werden.  

Jetzt Handeln und Resilienz erhöhen

Betroffene Unternehmen müssen die durch das Gesetz geforderten Maßnahmen bis Mai 2023 umsetzen, bei Verfehlungen drohen anderenfalls Bußgelder von bis zu 500.000 Euro. Genug Zeit, um den Auflagen nachzukommen. Wer aber die eigene Resilienz nennenswert steigern will, muss über den gesetzlichen Anforderungskatalog blicken und Maßnahmen zur Vorfallbehandlung, Lieferkettenabsicherung sowie Detektion und Überwachung aufbauen. Dies ist mit Blick auf die Änderungshistorie des IT-Sicherheitsgesetztes auch ratsam, da die Anforderungen und der Kreis der Betroffenen kontinuierlich erweitert wurden. Also auch, wenn Unternehmen im besonderen öffentlichen Interesse derzeit kritisch, aber nicht KRITIS sind, darf durchaus vermutet werden, dass es auch hier mit der nächsten Iteration zu weitergehenden Anforderungen kommen wird.  

Um der Komplexität und Fülle, auch betriebswirtschaftlich, adäquat begegnen zu können, sollten Unternehmen gemeinsam mit externer Expertise Sicherheitsstrategien entwickeln. Die Ausgestaltung von Sicherheitsmaßnahmen variiert stark in ihrer Art, aber auch in ihrem Umfang sowie hinsichtlich der Kosten. Daher sollten sämtliche Anstrengungen stets im Kontext der Gesamtstrategie betrachtet und auf das Unternehmen hin angepasst werden. 

Bereits im Vorfeld sollten Maßnahmen eingeleitet werden, um die Sicherheit auf das notwendige Maß anzuheben, diese über die gesamten Prozesskette hinweg sicherzustellen und regelmäßig zu überprüfen. Für den Fall der Fälle sollten Prozesse und Zuständigkeiten festgelegt werden und auch regelmäßig geprobt werden. Darüber hinaus gilt es, geeignete IT-Lösungen zur Unterstützung die Prozesse, zu etablieren. So können z.B. Intrusion Detection Systeme (IDS) Anomalien im Datenstrom detektieren, Security Information and Event Management Systeme (SIEM) bei der Sammlung und Auswertung von Logdateien helfen und Extended Detection & Response (XDR) Lösungen eine aktive Rolle in der Behandlung von Sicherheitsvorfällen einnehmen. 

Artikel von:
Tim Du, Consultant, Cassini Consulting
Tim Du
Senior Consultant
Seite teilen