Ali Carl Gülerman, Chief Executive Officer und Geschäftsführer bei Radar Cyber Security
Ali Carl Gülerman – Radar Cyber Security: Grundsätzlich verzeichnen wir in unserem CDC (Cyber Defense Center) in Wien über die letzten Jahre ein stetig steigendes Aufkommen von Cyber-Angriffen. Ein Trend, der auch vor KRITIS–Unternehmen nicht Halt macht, da diese durch ihre essentielle Bedeutung für unsere Gesellschaft leider ein besonders lohnendes Ziel für Cyberkriminelle darstellen.
Die Vorfälle der jüngeren Vergangenheit (z.B.: Colonial Pipeline USA, Sozialversicherungsträger IRL, etc.) haben gezeigt, dass es im Bereich der KRITIS-Unternehmen weltweit Aufholbedarf zum Thema Cyber Resilienz gibt.
Die meisten Unternehmen, und so auch der KRITIS-Bereich, stehen vor der Herausforderung, dass Digitalisierung automatisch mit einem höheren Aufwand zum Schutz der Cybersicherheit einhergeht.
Einerseits wird der Zugang für Cyberkriminelle zu illegalen Dienstleistungen im Darknet wie z.B. Ransomware-as-a-Service immer einfacher. Anderseits sind technische Komponenten eines KRITIS-Unternehmens immer stärker vernetzt und kommunizieren untereinander. Die über Jahrzehnte netzwerktechnisch unabhängige OT (Operational Technology) Landschaft eines KRITIS-Unternehmens nähert sich immer stärker der IT-Landschaft an und wird zum großen Einfallstor für Cyberangriffe.
Hier setzen wir an, indem wir die Sicherheitslage des Unternehmens gesamtheitlich für IT und OT Komponenten in einem Risk and Security Cockpit darstellen und mittels konkreten Handlungsempfehlungen auf Schwachstellen reagieren.
Frank Brech – EnBW Energie Baden-Württemberg AG: KRITIS-Unternehmen haben schon immer besondere Auflagen in puncto IT-Sicherheit. Die Vorgaben des IT-Sicherheitsgesetzes 2.0 des Bundesamtes für Sicherheit in der Informationstechnik verdeutlichen, dass IT-Sicherheit für KRITIS-Unternehmen noch deutlich an Relevanz gewinnen wird. Der verpflichtende Einsatz von Systemen zur Angriffserkennung ist nur ein Beispiel für die steigenden Anforderungen an die Unternehmen.
Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen wurden neue Pflichten der KRITIS-Betreiber wie die Einführung einer Angriffserkennung von Cyber-Angriffen in das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) aufgenommen. Diese Detection & Response Technologie dient dazu, Schwachstellen in der IT & OT zu erkennen, um diese schließen zu können.
Neu ist auch die Definition von kritischen Komponenten und die unmittelbare Meldung an das BSI, welches zusätzliche Befugnisse erhält und als zentrale Meldestelle für Cyberangriffe dient.
Der Kreis der als KRITIS definierten Unternehmen wurde erweitert, betrifft jetzt auch Zulieferer und wurde beispielsweise um den Bereich Abfallwirtschaft ergänzt. Die Nichteinhaltung der Vorgaben wurde, unter Berücksichtigung einer Übergangsfrist, mit empfindlichen Strafen versehen.
Ali Carl Gülerman – Radar Cyber Security: Europa muss seine Rolle in der heutigen Technologielandschaft ändern – vom Konsumenten hin zum Erfinder und Innovationstreiber von Technologie- und Cyberlösungen. Die europäische Digitale Souveränität, insbesondere hinsichtlich der IT-Sicherheit, muss vor dem Hintergrund globaler Cyberbedrohungen und zunehmender Gefährdung kritischer Infrastrukturen deutlich an Fahrt gewinnen.
Cyber-Security-Produkte, welche im amerikanischen oder asiatischen Raum entwickelt, hergestellt oder betrieben werden, obliegen anderen rechtlichen Rahmenbedingungen und beinhalten oft technische Backdoors. Genau hier ist eine Steigerung der europäischen Souveränität im Bereich von Cybersicherheit von höchster Bedeutung.
Radar Cyber Security ist der einzige europäische Anbieter von Managed Detection & Response, der seine Leistungen auf der Basis von Eigentechnologie erbringt. Mit über zehn Jahren Forschung und Entwicklung bieten wir eine umfassende Cyber Security and Risk Detection Plattform Made in Europe, garantiert ohne eingebaute Hintertüren und mit höchsten europäischen Datenschutzstandards, mit der wir täglich Behörden und Unternehmen vom Mittelstand bis zum Weltmarktführer verschiedenster Branchen schützen.
Frank Brech – EnBW Energie Baden-Württemberg AG: Durch digitale Souveränität bieten sich gerade auch für KRITIS-Unternehmen ganz neue Möglichkeiten und Wege, vorhandene Geschäftsmodelle zu automatisieren und neue Geschäftsmodelle zu entwickeln. Dabei spielt die Vernetzung von Technik und Standorten eine große Rolle.
Wenn wir in diesem Zusammenhang von IT-Sicherheit sprechen, dürfen wir dabei die OT-Sicherheit nicht außer Acht lassen. OT-Komponenten werden durch die Vernetzung erst angreifbar und rücken immer öfter in den Fokus von Hackern. Eine gemeinsame IT- / OT-Überwachung in einem Cyber-Defence-Center ist der Schlüssel zur größtmöglichen IT- / OT-Sicherheit.
Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen beinhaltet das IT-Sicherheitsgesetz die richtigen Vorgaben, um die Cyber-Resilienz von KRITIS-Unternehmen zu erhöhen. Wir empfehlen daher, auf einen kompetenten europäischen Partner zu setzen und diese Vorgaben zeitnah zu implementieren, um hier nicht unter Zeitdruck zu geraten.
Der Vorgabe des IT-SIG 2.0 folgend empfehlen wir die Implementierung einer Angriffserkennung (Managed Detection and Response), welche die Sicherheitslage kontinuierlich überwacht, monitort und berichtet. Schwachstellen können so schnell erkannt werden, und es kann mittels einer konkreten Handlungsempfehlung darauf reagiert werden. Dies kann je nach Größe und Struktur des KRITIS-Unternehmens über ein unternehmenseigenes CDC (Cyber Defense Center) oder mittels einer externen Dienstleistung CDC as a Service erfolgen. Für beide Möglichkeiten gibt es in Europa kompetente und erfahrenen Partner wie zum Beispiel unser Unternehmen.
Für Energieversorger ist es besonders wichtig, die Sicherheitslage der IT- sowie der OT-Landschaft im Unternehmen zu erfassen und zentral darzustellen, um zeitnah auf Schwachstellen reagieren zu können.
Genau diese Möglichkeit stellen wir gemeinsam mit unserem Partner EnBW FKS (Full Kritis Service) auf der it-sa Expo in Nürnberg für den KRITIS-Bereich weiter vor.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…