it-sa 2021: Europäische Souveränität im Bereich Kritische Infrastrukturen

Wie bewerten Sie die aktuelle Lage der IT-Sicherheit im KRITIS-Bereich?

Ali Carl Gülerman – Radar Cyber Security: Grundsätzlich verzeichnen wir in unserem CDC (Cyber Defense Center) in Wien über die letzten Jahre ein stetig steigendes Aufkommen von Cyber-Angriffen. Ein Trend, der auch vor KRITISUnternehmen nicht Halt macht, da diese durch ihre essentielle Bedeutung für unsere Gesellschaft leider ein besonders lohnendes Ziel für Cyberkriminelle darstellen.

Die Vorfälle der jüngeren Vergangenheit (z.B.: Colonial Pipeline USA, Sozialversicherungsträger IRL, etc.) haben gezeigt, dass es im Bereich der KRITIS-Unternehmen weltweit Aufholbedarf zum Thema Cyber Resilienz gibt.

Die meisten Unternehmen, und so auch der KRITIS-Bereich, stehen vor der Herausforderung, dass Digitalisierung automatisch mit einem höheren Aufwand zum Schutz der Cybersicherheit einhergeht.

Einerseits wird der Zugang für Cyberkriminelle zu illegalen Dienstleistungen im Darknet wie z.B. Ransomware-as-a-Service immer einfacher. Anderseits sind technische Komponenten eines KRITIS-Unternehmens immer stärker vernetzt und kommunizieren untereinander. Die über Jahrzehnte netzwerktechnisch unabhängige OT (Operational Technology) Landschaft eines KRITIS-Unternehmens nähert sich immer stärker der IT-Landschaft an und wird zum großen Einfallstor für Cyberangriffe.

Hier setzen wir an, indem wir die Sicherheitslage des Unternehmens gesamtheitlich für IT und OT Komponenten in einem Risk and Security Cockpit darstellen und mittels konkreten Handlungsempfehlungen auf Schwachstellen reagieren.

Frank Brech – EnBW Energie Baden-Württemberg AG: KRITIS-Unternehmen haben schon immer besondere Auflagen in puncto IT-Sicherheit. Die Vorgaben des IT-Sicherheitsgesetzes 2.0 des Bundesamtes für Sicherheit in der Informationstechnik verdeutlichen, dass IT-Sicherheit für KRITIS-Unternehmen noch deutlich an Relevanz gewinnen wird. Der verpflichtende Einsatz von Systemen zur Angriffserkennung ist nur ein Beispiel für die steigenden Anforderungen an die Unternehmen.

Welche neuen Vorgaben muss die IT-Sicherheit im KRITIS-Bereich einhalten? Was folgt aus dem IT-Sicherheitsgesetz 2.0?

Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen wurden neue Pflichten der KRITIS-Betreiber wie die Einführung einer Angriffserkennung von Cyber-Angriffen in das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) aufgenommen. Diese Detection & Response Technologie dient dazu, Schwachstellen in der IT & OT zu erkennen, um diese schließen zu können.

Neu ist auch die Definition von kritischen Komponenten und die unmittelbare Meldung an das BSI, welches zusätzliche Befugnisse erhält und als zentrale Meldestelle für Cyberangriffe dient.

Der Kreis der als KRITIS definierten Unternehmen wurde erweitert, betrifft jetzt auch Zulieferer und wurde beispielsweise um den Bereich Abfallwirtschaft ergänzt. Die Nichteinhaltung der Vorgaben wurde, unter Berücksichtigung einer Übergangsfrist, mit empfindlichen Strafen versehen.

Warum ist Digitale Souveränität für die Cybersicherheit so wichtig und auch gerade für KRITIS-Einrichtungen?

Ali Carl Gülerman – Radar Cyber Security: Europa muss seine Rolle in der heutigen Technologielandschaft ändern – vom Konsumenten hin zum Erfinder und Innovationstreiber von Technologie- und Cyberlösungen. Die europäische Digitale Souveränität, insbesondere hinsichtlich der IT-Sicherheit, muss vor dem Hintergrund globaler Cyberbedrohungen und zunehmender Gefährdung kritischer Infrastrukturen deutlich an Fahrt gewinnen.

Cyber-Security-Produkte, welche im amerikanischen oder asiatischen Raum entwickelt, hergestellt oder betrieben werden, obliegen anderen rechtlichen Rahmenbedingungen und beinhalten oft technische Backdoors. Genau hier ist eine Steigerung der europäischen Souveränität im Bereich von Cybersicherheit von höchster Bedeutung.

Radar Cyber Security ist der einzige europäische Anbieter von Managed Detection & Response, der seine Leistungen auf der Basis von Eigentechnologie erbringt. Mit über zehn Jahren Forschung und Entwicklung bieten wir eine umfassende Cyber Security and Risk Detection Plattform Made in Europe, garantiert ohne eingebaute Hintertüren und mit höchsten europäischen Datenschutzstandards, mit der wir täglich Behörden und Unternehmen vom Mittelstand bis zum Weltmarktführer verschiedenster Branchen schützen.

Frank Brech – EnBW Energie Baden-Württemberg AG: Durch digitale Souveränität bieten sich gerade auch für KRITIS-Unternehmen ganz neue Möglichkeiten und Wege, vorhandene Geschäftsmodelle zu automatisieren und neue Geschäftsmodelle zu entwickeln. Dabei spielt die Vernetzung von Technik und Standorten eine große Rolle.

Wenn wir in diesem Zusammenhang von IT-Sicherheit sprechen, dürfen wir dabei die OT-Sicherheit nicht außer Acht lassen. OT-Komponenten werden durch die Vernetzung erst angreifbar und rücken immer öfter in den Fokus von Hackern. Eine gemeinsame IT- / OT-Überwachung in einem Cyber-Defence-Center ist der Schlüssel zur größtmöglichen IT- / OT-Sicherheit.

Was empfehlen Sie, um die IT-Sicherheit im KRITIS-Bereich weiter zu erhöhen?

Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen beinhaltet das IT-Sicherheitsgesetz die richtigen Vorgaben, um die Cyber-Resilienz von KRITIS-Unternehmen zu erhöhen. Wir empfehlen daher, auf einen kompetenten europäischen Partner zu setzen und diese Vorgaben zeitnah zu implementieren, um hier nicht unter Zeitdruck zu geraten.

Der Vorgabe des IT-SIG 2.0 folgend empfehlen wir die Implementierung einer Angriffserkennung (Managed Detection and Response), welche die Sicherheitslage kontinuierlich überwacht, monitort und berichtet. Schwachstellen können so schnell erkannt werden, und es kann mittels einer konkreten Handlungsempfehlung darauf reagiert werden. Dies kann je nach Größe und Struktur des KRITIS-Unternehmens über ein unternehmenseigenes CDC (Cyber Defense Center) oder mittels einer externen Dienstleistung CDC as a Service erfolgen. Für beide Möglichkeiten gibt es in Europa kompetente und erfahrenen Partner wie zum Beispiel unser Unternehmen.

Für Energieversorger ist es besonders wichtig, die Sicherheitslage der IT- sowie der OT-Landschaft im Unternehmen zu erfassen und zentral darzustellen, um zeitnah auf Schwachstellen reagieren zu können.

Genau diese Möglichkeit stellen wir gemeinsam mit unserem Partner EnBW FKS (Full Kritis Service) auf der it-sa Expo in Nürnberg für den KRITIS-Bereich weiter vor.

Oliver Schonschek

Recent Posts

Gigabit-Datenraten im Zug

Projekt aus Bahn-, Mobilfunk- und Funkmastbranche zieht Zwischenbilanz. Start von Praxistests in erstem 5G-Korridor an…

8 Stunden ago

E-Health: Langzeitpflege mit KI

Das Fraunhofer-Institut entwickelt eine Pflegeplanung, die mit Künstlicher Intelligenz arbeiten wird. Ziel ist es, Pflegekräfte…

9 Stunden ago

Malware Mai 2024: Androxgh0st-Botnet breitet sich weiter aus

Die Lockbit3 Ransomware-Gruppe ist mittlerweile für ein Drittel der veröffentlichten Ransomware-Angriffe verantwortlich / Details zum…

14 Stunden ago

Vernetztes Fahren: Jeder zweite befürchtet Sicherheitsdefizite

Laut Kaspersky haben 52 Prozent der IT-Entscheider im Automobilbau ernsthafte Bedenken, dass vernetzte Fahrzeuge ausreichend…

15 Stunden ago

Unternehmen unterschätzen Komplexität der Digitalisierung

Studie: Projekte zur digitalen Transformation sind meist komplexer und zeitaufwändiger als erwartet.

17 Stunden ago

KI-basierte Übersetzung von Produktinformationen

Durch Anbindung des PIM-Systems an die KI-basierte Übersetzungslösung DeepL spart die J. Schmalz jährlich rund…

1 Tag ago