IT-Sicherheitsgesetz 2.0: Bedeutung für Kritis

Die Kritischen Infrastrukturen (Kritis) sind immer stärker vernetzt und damit auch häufiger der Gefahr von Cyberattacken ausgesetzt; das IT-Sicherheitsgesetz 2.0 fordert deshalb von den Kritis-Betreibern mehr Maßnahmen zum Schutz ihrer IT. Eine kontinuierliche Überwachung der Angriffsfläche ist dabei ein wichtiger Schritt zu mehr Cyberresilienz.

„Ob Energie, Wasserversorgung, Gesundheitswesen oder der Finanzsektor- alle wichtigen Sektoren für das öffentliche Leben sind mit dem Internet verbunden und damit auch für IT-Kriminelle erreichbar“, sagt Pieter Jansen, Gründer und CEO des niederländischen IT-Sicherheitsanbieters Cybersprint. „Für Kritis-Betreiber ist es deshalb wichtig, ihre digitale Angriffsfläche zu überwachen und Schwachstellen zu beheben, bevor andere darauf zugreifen können.“

Unter der digitalen Angriffsfläche - oder „Attack Surface“ - versteht man die Summe der Angriffsvektoren, über die ein unautorisierter Nutzer versuchen kann, Daten zu entwenden oder einzubringen. Angriffsvektoren sind dabei alle IT-Assets, die über das Internet adressierbar sind. Unautorisierte Nutzer können Cyberkriminelle sein ebenso wie Mitbewerber oder ausländische Geheimdienste, die diese Assets durchforsten, um eventuelle Schwachstellen zu finden: Eine veraltete Software, ein nicht gepatchter Server oder eine fehlerhafte Konfiguration können als Sprungbrett dienen, über das ein Angriff auf ein Unternehmen gestartet wird.

Mit der Digitalisierung und der damit einhergehenden Vernetzung sind immer mehr Assets über das Internet ansteuerbar: Unternehmen verlagern Services an externe Dienstleister und nutzen Cloud-Umgebungen. Bei Gas-, Wasser- und Stromversorgern beispielsweise kommen zunehmend intelligente Zähler zum Einsatz, die Daten empfangen und senden können und für diese Aufgabe in ein digitales Kommunikationsnetz eingebunden sind. Kunden können Stromtarife online buchen und haben Zugriff auf die von ihnen abgerufene Leistung sowie auf die Abrechnungen. Die digitale Transformation sichert die Wettbewerbsfähigkeit von Unternehmen in der Zukunft, doch sie sorgt auch dafür, dass Netzwerke zunehmend komplexer werden und die digitale Angriffsfläche von Unternehmen permanent wächst. Die Gefahr, Opfer einer Cyberattacke zu werden, ist damit auch im Kritis-Sektor in den letzten Jahren signifikant gestiegen.

Aufgrund dieser Entwicklungen fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verbesserte Schutzmaßnahmen für die IT von Kritis-Betreibern. So steht im Gesetzestext: „Betreiber kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Ihrer informationstechnischen Systeme zu treffen - dies umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.“ Diese Systeme ermitteln anhand von Anomalien im Netzwerk, ob es von einer Cyberattacke betroffen ist. „Systeme zur Angriffserkennung sind ein effektives Mittel, um Cyberattacken einzudämmen,“ sagt Jansen. „Noch wichtiger ist es aus unserer Sicht jedoch, einen Schritt weiter vorne anzusetzen und die digitale Angriffsfläche zu überwachen und einzugrenzen, damit es erst gar nicht zu einem Angriff kommt.“

Mit diesem Ziel hat Cybersprint eine Plattform entwickelt, die eine kontinuierliche Überwachung der digitalen Infrastruktur ermöglicht. Darüber hinaus liefert sie Handlungsempfehlungen, um gefährliche Sicherheitslücken zeitnah schließen zu können.

Bei der Plattform handelt es sich um eine „Zero-Scope-Lösung“: Bei ihr ist keine Vorgabe notwendig, in welchen Netzwerken nach potentiellen Risiken gesucht werden muss, denn eine solche Vorskizzierung des Suchbereichs würde die Qualität der Ergebnisse verringern. Deshalb braucht die Attack Surface Management Plattform nur den Namen einer Organisation oder einer Marke, um unterschiedlichste Quellen zu scannen und anschließend die Angriffsfläche darzustellen. Damit ahmt Cybersprint die Herangehensweise nach, die auch Cyberkriminelle nutzen, um einen Angriff vorzubereiten. Weil auch sie die IT-Infrastruktur ihres Ziels nicht genau kennen, kommt bei ihrer Suche nach IT-Sicherheitslücken meist nur der Name einer Organisation zum Einsatz.

Die Lösung analysiert und klassifiziert die Ergebnisse mit Hilfe von Künstlicher Intelligenz sowie der Bewertung von Analysten. Unternehmen erhalten damit nicht nur eine Übersicht über die unterschiedlichen IT-Risiken, sondern gleich eine Einordnung ihres Bedrohungspotentials sowie Empfehlungen für die Behebung. Mit dieser Herangehensweise ist die Attack Surface Management Plattform punktuellen Audits und Penetrationstests überlegen, denn sie bildet die Angriffsfläche kontinuierlich ab, anstatt nur eine Momentaufnahme darzustellen.

Die Attack Surface Management Plattform ist cloudbasiert. Damit greift sie nicht in bestehende Abläufe und Prozesse ein wie eine Software, die fest installiert werden muss. Außerdem verfügt die Plattform über eine API-Schnittstelle und lässt sich deshalb nahtlos mit anderen Sicherheitssystemen integrieren. Das können beispielsweise die Systeme zur Angriffserkennung sein, die das BSI mit dem Sicherheitsgesetz 2.0 verpflichtend vorschreibt. Diese Schnittstelle bietet den Kunden gleichzeitig die Möglichkeit, weitere Datenquellen für die Suche anzubinden.

Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 müssen sich mehr Unternehmen als bislang mit den Vorgaben auseinandersetzen. Neben den bereits bekannten Kritis-Sektoren Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Ernährung, Energie, sowie Finanz- und Versicherungswesen kommt nun der Bereich Siedlungsabfallentsorgung hinzu. Auch innerhalb der Sektoren gibt es Änderungen: So sinken im Bereich Stromerzeugung und -handel beispielsweise die Schwellenwerte, ab denen ein Unternehmen dem Kritis-Sektor zuzuordnen ist.

Das BSI erhält mehr Befugnisse und darf selbst nach Sicherheitslücken bei den Unternehmen suchen, um anschließend Empfehlungen zu erforderlichen technischen Maßnahmen geben zu können. Eine Attack Surface Management Plattform kann dafür sorgen, dass der Kritis-Betreiber die IT-Schwachstelle selbst findet und schließt, bevor die Behörde bei ihm anklopft. Denn verstößt ein Unternehmen gegen die Vorschriften oder meldet es einen Vorfall zu spät, so drohen ihm mit Inkrafttreten des neuen IT-Sicherheitsgesetztes deutlich höhere Strafen als bislang.