Vorkehrungen für das IT-Sicherheitsgesetz 2.0
Solution-Brief von Sophos für Kritis-Organisation
Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, maßgeblich um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Das Gefahrenpotenzial wiegt umso schwerer, wenn kritische Infrastrukturen (Kritis) das Ziel der Cyberkriminellen sind, etwa im Gesundheitswesen, in den Bereichen der Energie- und Wasserversorgung oder bei der Nahrungsversorgung. Sophos hat für das Kritis-Umfeld einen Solution-Brief erstellt, der Unternehmen und Organisationen helfen soll, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen.
Kritis-Betreiber sind gesetzlich dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyberattacken zu treffen. Seit der Verabschiedung des „IT- Sicherheitsgesetzes 2.0“ im Frühjahr 2021 sind diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.
Wie schon in der Vergangenheit haben die Behörden, welche die Sicherheit bei Kritis einfordern, auch bei der neuen Auflage der Bestimmungen genaue Vorstellungen, wie man Verstöße ahndet und bestraft. Allerdings lassen sie den Unternehmen und Organisationen weitestgehend freie Hand bei der Umsetzung der IT-Sicherheit. Die Begründung: Konkrete Handlungsempfehlungen könnten die fortschreitende Innovation auf dem Gebiet der IT behindern und dazu führen, dass die gesetzlichen Pflichten mit dem Aufkommen neuer Technik schnell wieder veralten. Dieser Ansatz ist aus Sicht der Kontrollorgane nachvollziehbar, hilft den Unternehmen jedoch wenig bei der konkreten Umsetzung.
Sophos hat als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für Kritis einen Solution-Brief erstellt, der Unternehmen und Organisationen dabei helfen soll, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. Zur näheren Bestimmung der notwendigen Maßnahmen können sich Kritis-Unternehmen und -Organisationen an zwei Anhaltspunkte orientieren: den „branchenspezifischen Sicherheitsstandards“, welche die einzelnen Branchenverbände der betroffenen Sektoren entwickelt haben, und an der aktuellen Handreichung des BSI. Während die branchenspezifischen Sicherheitsstandards ausschließlich für den jeweiligen Sektor anwendbar sind, bietet die Handreichung des BSI allgemeine Anforderungen für alle Sektoren und Branchen. In diesem Anforderungskatalog legt das BSI 100 relevante Themen fest und erläutert die jeweiligen Sicherheitsvorkehrungen.
Im Solution-Brief beschreibt Sophos, welche Themen sich aus dem Anforderungskatalog des BSI mit welchen Komponenten der Security adressieren lassen, um die geforderten Sicherheitsvorkehrungen umzusetzen – insbesondere im Zusammenhang mit dem neuen IT-Sicherheitsgesetz 2.0. Ein Schwerpunkt der neuen Gesetze liegt auf der Angriffserkennung. Kritis-Unternehmen müssen in der Lage sein, in der IT verarbeitete Daten laufend mit Informationen und technischen Mustern abzugleichen, um potenzielle Angriffe zu identifizieren. Dazu müssen sich Parameter und Merkmale im Betrieb kontinuierlich und automatisch erfassen und vor allem auswerten lassen. Die Raffinesse und schnelle Entwicklung der Cyberkriminellen erfordert eine Kombination aus automatisierter und mit künstlicher Intelligenz angereicherter Security, sowie menschlicher Expertise. Sowohl technisch als auch menschlich betriebene Security sollte sich in einem Ökosystem zusammenfinden, um Bedrohungen zu vermeiden und vor allem eingetretene Störungen so schnell wie möglich zu beseitigen.
Lesen Sie mehr zum Thema
