it-sa 2021: Europäische Souveränität im Bereich Kritische Infrastrukturen
Bei Ausfall oder Beeinträchtigung Kritischer Infrastrukturen (KRITIS) drohen nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit und andere dramatische Folgen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Abhängigkeiten und eine fehlende digitale Souveränität sind hier deshalb besonders kritisch. Doch wie kann man eine Europäische Souveränität im Bereich Kritische Infrastrukturen erreichen? Wir haben Ali Carl Gülerman, Chief Executive Officer und Geschäftsführer bei Radar Cyber Security, und Frank Brech, Leiter Geschäftsfeldentwicklung Full Kritis Service EnBW Energie Baden-Württemberg AG, dazu befragt, die gemeinsam auf der it-sa 2021 über Cybersicherheit im KRITIS-Bereich informieren.
Wie bewerten Sie die aktuelle Lage der IT-Sicherheit im KRITIS-Bereich?
Ali Carl Gülerman – Radar Cyber Security: Grundsätzlich verzeichnen wir in unserem CDC (Cyber Defense Center) in Wien über die letzten Jahre ein stetig steigendes Aufkommen von Cyber-Angriffen. Ein Trend, der auch vor KRITIS–Unternehmen nicht Halt macht, da diese durch ihre essentielle Bedeutung für unsere Gesellschaft leider ein besonders lohnendes Ziel für Cyberkriminelle darstellen.
Die Vorfälle der jüngeren Vergangenheit (z.B.: Colonial Pipeline USA, Sozialversicherungsträger IRL, etc.) haben gezeigt, dass es im Bereich der KRITIS-Unternehmen weltweit Aufholbedarf zum Thema Cyber Resilienz gibt.
Die meisten Unternehmen, und so auch der KRITIS-Bereich, stehen vor der Herausforderung, dass Digitalisierung automatisch mit einem höheren Aufwand zum Schutz der Cybersicherheit einhergeht.
Einerseits wird der Zugang für Cyberkriminelle zu illegalen Dienstleistungen im Darknet wie z.B. Ransomware-as-a-Service immer einfacher. Anderseits sind technische Komponenten eines KRITIS-Unternehmens immer stärker vernetzt und kommunizieren untereinander. Die über Jahrzehnte netzwerktechnisch unabhängige OT (Operational Technology) Landschaft eines KRITIS-Unternehmens nähert sich immer stärker der IT-Landschaft an und wird zum großen Einfallstor für Cyberangriffe.
Hier setzen wir an, indem wir die Sicherheitslage des Unternehmens gesamtheitlich für IT und OT Komponenten in einem Risk and Security Cockpit darstellen und mittels konkreten Handlungsempfehlungen auf Schwachstellen reagieren.
Frank Brech – EnBW Energie Baden-Württemberg AG: KRITIS-Unternehmen haben schon immer besondere Auflagen in puncto IT-Sicherheit. Die Vorgaben des IT-Sicherheitsgesetzes 2.0 des Bundesamtes für Sicherheit in der Informationstechnik verdeutlichen, dass IT-Sicherheit für KRITIS-Unternehmen noch deutlich an Relevanz gewinnen wird. Der verpflichtende Einsatz von Systemen zur Angriffserkennung ist nur ein Beispiel für die steigenden Anforderungen an die Unternehmen.
Welche neuen Vorgaben muss die IT-Sicherheit im KRITIS-Bereich einhalten? Was folgt aus dem IT-Sicherheitsgesetz 2.0?
Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen wurden neue Pflichten der KRITIS-Betreiber wie die Einführung einer Angriffserkennung von Cyber-Angriffen in das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) aufgenommen. Diese Detection & Response Technologie dient dazu, Schwachstellen in der IT & OT zu erkennen, um diese schließen zu können.
Neu ist auch die Definition von kritischen Komponenten und die unmittelbare Meldung an das BSI, welches zusätzliche Befugnisse erhält und als zentrale Meldestelle für Cyberangriffe dient.
Der Kreis der als KRITIS definierten Unternehmen wurde erweitert, betrifft jetzt auch Zulieferer und wurde beispielsweise um den Bereich Abfallwirtschaft ergänzt. Die Nichteinhaltung der Vorgaben wurde, unter Berücksichtigung einer Übergangsfrist, mit empfindlichen Strafen versehen.
Warum ist Digitale Souveränität für die Cybersicherheit so wichtig und auch gerade für KRITIS-Einrichtungen?
Ali Carl Gülerman – Radar Cyber Security: Europa muss seine Rolle in der heutigen Technologielandschaft ändern – vom Konsumenten hin zum Erfinder und Innovationstreiber von Technologie- und Cyberlösungen. Die europäische Digitale Souveränität, insbesondere hinsichtlich der IT-Sicherheit, muss vor dem Hintergrund globaler Cyberbedrohungen und zunehmender Gefährdung kritischer Infrastrukturen deutlich an Fahrt gewinnen.
Cyber-Security-Produkte, welche im amerikanischen oder asiatischen Raum entwickelt, hergestellt oder betrieben werden, obliegen anderen rechtlichen Rahmenbedingungen und beinhalten oft technische Backdoors. Genau hier ist eine Steigerung der europäischen Souveränität im Bereich von Cybersicherheit von höchster Bedeutung.
Radar Cyber Security ist der einzige europäische Anbieter von Managed Detection & Response, der seine Leistungen auf der Basis von Eigentechnologie erbringt. Mit über zehn Jahren Forschung und Entwicklung bieten wir eine umfassende Cyber Security and Risk Detection Plattform Made in Europe, garantiert ohne eingebaute Hintertüren und mit höchsten europäischen Datenschutzstandards, mit der wir täglich Behörden und Unternehmen vom Mittelstand bis zum Weltmarktführer verschiedenster Branchen schützen.
Frank Brech – EnBW Energie Baden-Württemberg AG: Durch digitale Souveränität bieten sich gerade auch für KRITIS-Unternehmen ganz neue Möglichkeiten und Wege, vorhandene Geschäftsmodelle zu automatisieren und neue Geschäftsmodelle zu entwickeln. Dabei spielt die Vernetzung von Technik und Standorten eine große Rolle.
Wenn wir in diesem Zusammenhang von IT-Sicherheit sprechen, dürfen wir dabei die OT-Sicherheit nicht außer Acht lassen. OT-Komponenten werden durch die Vernetzung erst angreifbar und rücken immer öfter in den Fokus von Hackern. Eine gemeinsame IT- / OT-Überwachung in einem Cyber-Defence-Center ist der Schlüssel zur größtmöglichen IT- / OT-Sicherheit.
Was empfehlen Sie, um die IT-Sicherheit im KRITIS-Bereich weiter zu erhöhen?
Ali Carl Gülerman – Radar Cyber Security: Im Wesentlichen beinhaltet das IT-Sicherheitsgesetz die richtigen Vorgaben, um die Cyber-Resilienz von KRITIS-Unternehmen zu erhöhen. Wir empfehlen daher, auf einen kompetenten europäischen Partner zu setzen und diese Vorgaben zeitnah zu implementieren, um hier nicht unter Zeitdruck zu geraten.
Der Vorgabe des IT-SIG 2.0 folgend empfehlen wir die Implementierung einer Angriffserkennung (Managed Detection and Response), welche die Sicherheitslage kontinuierlich überwacht, monitort und berichtet. Schwachstellen können so schnell erkannt werden, und es kann mittels einer konkreten Handlungsempfehlung darauf reagiert werden. Dies kann je nach Größe und Struktur des KRITIS-Unternehmens über ein unternehmenseigenes CDC (Cyber Defense Center) oder mittels einer externen Dienstleistung CDC as a Service erfolgen. Für beide Möglichkeiten gibt es in Europa kompetente und erfahrenen Partner wie zum Beispiel unser Unternehmen.
Für Energieversorger ist es besonders wichtig, die Sicherheitslage der IT- sowie der OT-Landschaft im Unternehmen zu erfassen und zentral darzustellen, um zeitnah auf Schwachstellen reagieren zu können.
Genau diese Möglichkeit stellen wir gemeinsam mit unserem Partner EnBW FKS (Full Kritis Service) auf der it-sa Expo in Nürnberg für den KRITIS-Bereich weiter vor.