Image
Unternehmen der kritischen Infrastrukturen müssen nach dem IT-Sicherheitsgesetz 2.0. geeignete Maßnahmen zur Abwehr von Cyberangriffen ergreifen. Welche das sein können, erklärt Sophos in einem Solution Brief.
Foto: andreas - Fotolia.com
Unternehmen der kritischen Infrastrukturen müssen nach dem IT-Sicherheitsgesetz 2.0. geeignete Maßnahmen zur Abwehr von Cyberangriffen ergreifen. Welche das sein können, erklärt Sophos in einem Solution Brief.

IT-Sicherheit

So entsprechen Kritis dem IT-Sicherheitsgesetz 2.0

Kritis-Betreiber müssen nach dem  IT- Sicherheitsgesetzes 2.0 Vorkehrungen zur Verhinderung von Cyber-Attacken treffen. Sophos unterstützt bei deren Umsetzung.

Betreiber von kritischen Infrastrukturen (Kritis) sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des „IT- Sicherheitsgesetzes 2.0“ im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.

Sophos hat deshalb als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für Kritis einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen.

Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, maßgeblich um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Dass die Gefahrenlage angespannt ist, belegen Fakten: Laut BSI wurden 2021 rund 144 Mio. neue Schadprogramme identifiziert. Rund 25 % der betroffenen Unternehmen und Organisationen, sahen in den Angriffen eine schwerwiegende oder existenzbedrohende Gefahr. Dieses Gefahrenpotenzial wiegt umso schwerer, wenn kritische Infrastrukturen das Ziel der Cyberkriminellen sind, etwa im Gesundheitswesen, in den Bereichen der Energie- und Wasserversorgung oder bei der Nahrungsversorgung. Aus diesem Grund sind die Betreiber von kritischen Infrastrukturen gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des „IT- Sicherheitsgesetzes 2.0“ im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.

Neue Auflagen aber wenig konkrete Handlungsempfehlung

Wie schon in der Vergangenheit haben die Behörden, welche die Sicherheit bei Kritis einfordern, auch bei der neuen Auflage der Bestimmungen genaue Vorstellungen, wie Verstöße geahndet und bestraft werden. Allerdings lassen sie den Unternehmen und Organisationen weitestgehend freie Hand bei der Umsetzung der IT-Sicherheit. Die Begründung: Konkrete Handlungsempfehlungen könnten die fortschreitende Innovation auf dem Gebiet der IT-Technik behindern und dazu führen, dass die gesetzlichen Pflichten mit dem Aufkommen neuer Technologien schnell wieder veralten. Dieser Ansatz ist aus Sicht der Kontrollorgane nachvollziehbar, hilft den Unternehmen jedoch wenig bei der konkreten Umsetzung.

Security-Lösungsansatz für Kritis

Sophos hat als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für Kritis einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. Zur näheren Bestimmung der notwendigen Maßnahmen können sich Kritis-Unternehmen und -Organisationen an zwei Anhaltspunkte orientieren: den „branchenspezifischen Sicherheitsstandards“, die von den einzelnen Branchenverbänden der betroffenen Sektoren entwickelt wurden, und an der aktuellen Handreichung des BSI. Während die branchenspezifischen Sicherheitsstandards ausschließlich für den jeweiligen Sektor anwendbar sind, bietet die Handreichung des BSI allgemeine Anforderungen, die auf alle Sektoren und Branchen anwendbar sind. In diesem Anforderungskatalog legt das BSI 100 relevante Themen fest und erläutert die jeweiligen Sicherheitsvorkehrungen.

Kritis-Verordnung 2.0: Was ändert sich für Betreiber?

Nach dem Erlass des IT-Sicherheitsgesetzes 2.0 im Mai 2021 gelten seit dem 1. Januar 2022 nun auch für die Betreiber Kritischer Infrastrukturen (Kritis) neue Bestimmungen.
Artikel lesen

Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz 2.0

Im Solution Brief beschreibt Sophos, welche Themen aus dem Anforderungskatalog des BSI mit welchen Komponenten der Security adressiert werden können, um die geforderten Sicherheitsvorkehrungen umzusetzen – insbesondere im Zusammenhang mit dem neuen IT-Sicherheitsgesetz 2.0. Ein Schwerpunkt der neuen Gesetze liegt auf der Angriffserkennung. Kritis-Unternehmen und -Organisationen müssen in der Lage sein, in der IT verarbeitete Daten laufend mit Informationen und technischen Mustern abzugleichen, um potenzielle Angriffe zu identifizieren.

Dazu müssen Parameter und Merkmale im Betrieb kontinuierlich und automatisch erfasst und vor allem ausgewertet werden. Die Raffinesse und schnelle Entwicklung der Cyberkriminellen erfordert eine Kombination aus automatisierter und mit Künstlicher Intelligenz angereicherter Security, sowie menschlicher Expertise. Sowohl technisch als auch menschlich betriebene Security sollte sich in einem Ökosystem zusammenfinden, um Bedrohungen zu vermeiden und vor allem eingetretene Störungen so schnell wie möglich zu beseitigen.

Image
cybersprint_management_kritis.jpeg
Foto: Simon Kraus - Fotolia

IT-Sicherheit

IT-Sicherheitsgesetz 2.0: Bedeutung für Kritis

Die Betreiber von Kritischen Infrastrukturen (Kritis) müssen ihre digitale Angriffsfläche im Blick behalten, so eine Forderung des IT-Sicherheitsgesetz 2.0.

Image
Kritis 2.0 etabliert eine neue Meldepflicht für sogenannte „Kritische Komponenten“, also Software- und Hardware-Produkte, deren Ausfall eine Anlage empfindlich beeinträchtigen würde.
Foto: Gorodenkoff - stock.adobe.com

IT-Sicherheit

Kritis-Verordnung 2.0: Was ändert sich für Betreiber?

Nach dem Erlass des IT-Sicherheitsgesetzes 2.0 im Mai 2021 gelten seit dem 1. Januar 2022 nun auch für die Betreiber Kritischer Infrastrukturen (Kritis) neue Bestimmungen.

Image
Foto: 4th Life Photography-stock.adobe.com

Industrie 4.0

IT-Sicherheitsgesetz 2.0: Neuregelungen für Kritis-Betreiber

Betreiber Kritischer Infrastrukturen (Kritis) müssen laut IT-Sicherheitsgesetz ein unternehmensweites IT-Sicherheitskonzept einführen.

Image
Foto: Pixabay

IT-Sicherheit

Cybersicherheit und mobile Kommunikation in Kritis

Kritis-Betreiber müssen besonders auf die Cybersicherheit bei der mobilen Kommunikation, etwa per Handy oder Tablet, achten.