Illustration Absmeier foto freepik

30.000 Unternehmen und Einrichtungen in Deutschland gehören zu den sogenannten kritischen Infrastrukturen (KRITIS). byon unterstützt als Managed Service Provider KRITIS-Organisationen, die geforderte IT-Sicherheitsmaßnahmen nicht allein umsetzen können.

Derzeit vergeht kaum ein Tag ohne Medienberichte über einen Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung. Und das allgemeine Bedrohungsgefühl durch die Berichterstattung wird von Expertinnen und Experten bestätigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 fest: »Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.« Dabei sind vermehrt kleine und mittlere Unternehmen sowie Behörden der Landes- und Kommunalverwaltungen, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Ziel der Angriffe, da ihre IT-Sicherheitsmaßnahmen aufgrund von Ressourcen und Know-how häufig weniger stark ausgebildet sind als bei großen Organisationen.

Aus zwei Richtungen werden die Cyberangriffe laut BSI vorangetrieben: zum einen von organisierter Kriminalität, die eine cyberkriminelle Schattenwirtschaft immer weiter professionalisiert und über Ransomware-Angriffe Lösegelder eintreibt. Zum anderen von Hacktivistengruppen, die im Auftrag und mit Unterstützung staatlicher Stellen, beispielsweise aus Russland, ausschließlich DDoS-Angriffe ausführen, die vor allem als Propaganda zu werten sind.

Besonders schützenswert

Bedrohlich sind diese immer weiter zunehmenden Aktivitäten vor allem auch für die kritischen Infrastrukturen. Das sind Organisationen und Einrichtungen mit zentraler Bedeutung für das Gemeinwesen, weil sie Güter produzieren oder Dienstleistungen erbringen, die für die allgemeine Versorgung notwendig sind. Das BSI teilt die kritischen Infrastrukturen in zehn Sektoren ein: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Alle Organisationen aus diesen Sektoren gehören unabhängig von ihrer Größe zu den kritischen Infrastrukturen. Dabei kommt erschwerend hinzu, dass diese Sektoren stark voneinander abhängig sind: ohne Strom und heutzutage auch ohne IT können beispielsweise keine Kraftwerke betrieben werden. Sind daher eine oder mehrere kritische Infrastrukturen beeinträchtigt oder fallen aus, führt das zu Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit. Aufgrund der möglichen dramatischen Folgen eines Ausfalls sind diese Infrastrukturen besonders gut zu schützen. Vor allem auch im Hinblick auf ihre IT-Sicherheit.

Gesetzliche Grundlage

Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 eine rechtliche Grundlage geschaffen, um die Infrastruktur in Deutschland besser vor Cyberangriffen zu schützen. Mit der Aktualisierung nach zwei Jahren, im Mai 2023, wurden die Anforderungen nochmals erhöht. Der Kreis der Unternehmen, die Cybersicherheit nach den Gesetzen umsetzen müssen, hat sich in Deutschland damit auf 30.000 erhöht. Vom Gesetz betroffene Organisationen sind verpflichtet, Vorkehrungen zu treffen, um Cyberbedrohungen mithilfe von Mustern automatisiert zu identifizieren und abzuwehren. Darüber hinaus müssen KRITIS-Organisationen vermutete oder tatsächliche IT-Störfälle an das BSI melden und Informationen zur Fehlerbeseitigung bereitstellen. Dazu gehören Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte etwa nach Software-Updates.

Umfangreiche Schutzmaßnahmen

Damit es nur zu wenigen oder keinen Meldungen kommt, benötigen KRITIS-Organisationen ein umfassendes IT-Sicherheitskonzept. Dabei sind sie per Gesetz zu bestimmten Standards verpflichtet. Diese Liste ist umfassend: Pflicht sind ein Vulnerability Management, also proaktives Schwachstellenmanagement der Infrastruktur, Threat Intelligence zur Prävention von Angriffen, ein SIEM (Security Information and Event Management) als Threat Detection mit hohem Automatisierungsgrad zur Erkennung und Protokollierung von Angriffen, Schutzmaßnahmen gegen DDoS-Angriffe, eine Perimeter-Firewall zum Schutz der Infrastruktur, DNS Reputation, ein Secure Web Gateway und EDR (Endpoint Detection and Response) zum Schutz vor Schadprogrammen sowie SOC-Services (Security Operations Center) für den Support, wenn ein Sicherheitsvorfall eintritt. Bei der Risikobewertung und der Erkennung von Verhaltensanomalien kommt zunehmend künstliche Intelligenz zum Einsatz. Dadurch werden die IT-Fachkräfte entlastet. Die korrekte Umsetzung dieser Standards müssen die betroffenen Organisationen dem BSI alle zwei Jahre nachweisen. Gemeinsam verfolgen diese erhöhten Sicherheitsanforderungen die Ziele, Datenverluste zu vermeiden, Wirtschaftsspionage sowie finanzielle Schäden zu verhindern und die Betriebsabläufe aufrecht zu erhalten, um ein funktionierendes Ineinandergreifen verschiedener kritischer Infrastrukturen zu sichern.

Eigenverantwortung für Schutz

Ob eine Organisation zur kritischen Infrastruktur zählt, lässt sich über die BSI-Kritisverordnung prüfen. Darin legt das BSI Schwellenwerte fest, die bestimmen, ab wann eine Organisation unter das Gesetz fällt. Diesen Schwellenwert muss die jeweilige Organisation selbst errechnen. Angesichts der Menge und Komplexität der Paragraphen und Anhänge ist offensichtlich, dass diese Berechnung nicht einfach ist. Für betroffene Organisationen kann es daher sinnvoll sein, die professionelle Unterstützung eines IT-Dienstleisters einzuholen, um das notwendige IT-Sicherheitskonzept zu erarbeiten. Dieser Dienstleister hat idealerweise bereits Erfahrungen mit anderen Organisationen gesammelt und kann die Analyseaufgaben und Maßnahmen routiniert umsetzen. Handelt es sich beim Dienstleister um einen Managed Service Provider, können das Risikomanagement, die Schwachstellenanalyse aber auch laufende Schutzmaßnahmen wie die Firewall dauerhaft ausgelagert werden. Das entlastet die IT-Abteilung und hebt die IT-Sicherheit gerade kleiner und mittlerer KRITIS-Organisationen auf ein neues Niveau. Ein lohnenswerter Schritt mit Blick auf den Schutz des Gemeinwesens, denn Sicherheit ist ein Wettrennen, das nie aufhört.

Markus Michael, Geschäftsführer byon GmbH

https://www.byon.de/de/produkte/it-security/kritis

byon Unternehmensprofil

Als eigenständige Gesellschaft der Unternehmensgruppe 360 ITC unterstützt die byon gmbh mit Sitz in Frankfurt am Main ihre Kunden bei der Digitalisierung ihrer Kommunikationsprozesse. byon bietet Beratung sowie die Implementierung und den reibungslosen Betrieb der dafür nötigen IT-Ausstattung. Darüber hinaus profitieren die Kunden von byon als Managed-Service-Provider in den Bereichen Datenanbindung und Security.

Als Hersteller, Reseller und Cloud-Anbieter liefert byon darüber hinaus Individuallösungen in den Bereichen Telefonie, Datenanbindungen inklusive Standortvernetzungen sowie Unified Communications & Collaborations (UCC). Die virtuelle, flexibel skalierbare UCC-Lösung byon vTK inklusive Selfmanagement-Tool sowie das voll integrierbare Contact Center byon vACD ermöglichen eine schrittweise Migration.