Kritische Infrastrukturen sind im menschlichen Leben allgegenwärtig – sie sorgen dafür, dass der Strom fließt, dass Wasser aus dem Hahn kommt und in den Geschäften Lebensmittel bereitliegen. Der Schutz dieser Infrastrukturen ist daher ein enorm wichtiges Thema. In Deutschland greift die Regierung jetzt zu gesetzlichen Maßnahmen, um diese Infrastrukturen besser zu schützen und widerstandsfähiger zu machen. Diese Maßnahmen sind im IT-Sicherheitsgesetz zusammengefasst, von dem rund 2.000 Betreiber betroffen sind, die zur Bereitstellung essenzieller Dienstleistungen beitragen.
Da immer mehr IT-Systeme von Betreibern kritischer Infrastrukturen mit dem öffentlichen Internet verbunden werden – zum Beispiel industrielle Steuersysteme und SCADA-Anwendungen –, verpflichtet dieses Gesetz Unternehmen und öffentliche Betriebe zu Sicherheitsvorkehrungen. Allerdings wirft es in seiner gegenwärtigen Form einige Fragen auf, die derzeit lebhaft diskutiert werden.
KRITIS ist noch schwammig definiert
Die Definition des Begriffs „kritische Infrastruktur“ in dem Gesetz ist ziemlich schwammig und umfasst auch Unternehmen, die man herkömmlicherweise eher nicht dazu zählen würde. Neben den „üblichen Verdächtigen“ – den Strom- und Versorgungsbetrieben sowie Organisationen mit Sicherheitsaufgaben – sind auch Unternehmen eingeschlossen, die früher nicht berücksichtigt worden wären. Dazu gehören etwa Unternehmen, die in den großflächigen Lebensmittelvertrieb involviert sind, da Ausfälle bei diesen einen erheblichen Prozentsatz der Zivilbevölkerung treffen würden.
Diese Unternehmen dürften zwar schon jetzt im eigenen Geschäftsinteresse um betriebliche Kontinuität und Sicherheit bemüht sein und Mittel dafür bereitstellen. Doch wird mit den derzeitigen Investitionen vielleicht nicht unbedingt das Sicherheitsniveau erreicht, das das neue Gesetz vorschreibt. Hier kommt das zweite potenzielle Problem ins Spiel: Die genaue Definition des Sicherheitsstandards wird nämlich noch offengelassen und erst im Lauf der nächsten 18 Monaten festgelegt, nach denen die Umsetzungsfrist endet.
In mancher Hinsicht ist das ein Vorteil: Wenn Lösungen oder bestimmte Technologien vorgeschrieben werden, kann dies längerfristig ein Hemmschuh sein, weil die Gesetzgebung nur schwer mit neuen Entwicklungen in der Branche Schritt halten kann, ganz zu schweigen von neuartigen Malware-Attacken oder Hacker-Angriffen. Jedoch herrscht im Moment eine gewisse Unsicherheit, wie das Verfahren aussehen soll. Es ist nicht klar, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Standards festlegen wird. Die betroffenen Unternehmen sollten mit dem BSI in Dialog treten und Sicherheitsstandards erarbeiten, die sowohl für die Betreiber als auch die Regierung akzeptabel sind.
Wie eine bessere Absicherung der kritischen Infrastruktur gefördert werden?
Es ist ein schwieriger Balanceakt, ein Gleichgewicht zwischen der Verordnung spezifischer Maßnahmen und einer Förderung verstärkter Investitionen in den Schutz kritischer Infrastruktur herzustellen. Wenn die Regierung zu detaillierte Vorschriften erlässt, besteht die Gefahr, dass sie der Realität hinterherhinkt; sind die Vorschriften dagegen zu weit gefasst, können die Betreiber nur schwer entscheiden, wo und wie sie die Verordnungen anwenden müssen und wie sie deren Einhaltung gewährleisten können.
Diese Balance muss bei dem vorliegenden Gesetz erst noch gefunden werden. Zum Beispiel ist gegenwärtig unklar, was ein erfolgreicher Angriff auf einen von dem Gesetz erfassten Betreiber für die Regulierungsbehörde bedeuten wird, wenn es um die öffentliche Bekanntgabe geht. Wie werden die entsprechenden Informationen übermittelt, in welchem Zeitrahmen, und wie lässt sich verhindern, dass die Informationen zu ihrer Quelle zurückverfolgt werden können?
Nach dem gegenwärtigen Stand des Gesetzes müssen „erhebliche“ Störungen gemeldet werden, doch was das bedeutet, bleibt bisher vage. Die Meldepflicht macht Investitionen in eine Infrastruktur erforderlich, die es ermöglicht, die Informationen sowohl auf der Bundes- als auch der Industrieebene nachzuverfolgen und zu verbreiten.
Im Zusammenhang mit dem PCI-Standard bereits ein weiteres Problem deutlich geworden: Wenn Unternehmen Investitionen in die IT tätigen, um Vorschriften einzuhalten, beschränken sie sich gerne auf die „Mindeststandards“, anstatt sich die potenziellen umfassenderen Auswirkungen auf ihr Geschäft vor Augen zu führen. Damit das nicht passiert, sollten CISOs in dem neuen Gesetz eine Chance zur Verbesserung ihrer IT-Sicherheit sehen, anstatt es als reine Vorschrift zu betrachten, die nur eine Hürde darstellt.
Auf diesem Weg könnten beispielsweise cloudbasierte Sicherheitsmaßnahmen implementiert werden, um die Flexibilität und den Datenzugriff zu verbessern und gleichzeitig eine sichere Nutzung der Daten zu ermöglichen, wo immer sich die Mitarbeiter gerade befinden. Dieser Ansatz kann Unternehmen helfen, das Potenzial ihrer Investitionen besser auszuschöpfen und gleichzeitig den Vorschriften gerecht zu werden.
Was Unternehmen in Deutschland betrifft, wird dieses Gesetz die IT-Sicherheit stärker in den Blickpunkt des Managements rücken und potenzielle Investitionen in Verbesserungen fördern. Doch genau wie sich der IT-Sicherheitssektor angesichts veränderter IT-Praktiken und neuer Hacker-Angriffe ständig weiterentwickelt, muss auch das Gesetz immer wieder auf den neuesten Stand gebracht werden.
Für Unternehmen und Regierungen außerhalb Deutschlands stellt das IT-Sicherheitsgesetz eine interessante Vergleichsgröße dar. Wie wird es sich auswirken? Werden die zusätzlichen Meldepflichten die deutschen Unternehmen so stark belasten, dass ihre Wettbewerbsfähigkeit leidet? Gibt es Bereiche, in denen der Markt selbst mehr bewirken kann als gesetzliche Vorschriften, insbesondere im Hinblick auf die Offenlegung und die Marktaktivitäten nach einer Sicherheitspanne? Wie sehen die Auswirkungen auf die kommenden EU-Vorschriften aus? Ein großer Vorteil sind sicher die Diskussionen zu dem Gesetz und zu der Frage, wie es genutzt werden kann, um die Standards für alle zu erhöhen.
Die Meldepflichten im Rahmen dieses Gesetzes liefen bereits im Januar 2016 an. Was wir sehen können, ist, dass weitere Investitionen in die Sicherheitsplanung und ein fundierteres Verständnis nötig sein werden, zugleich aber auch, dass die deutschen Unternehmen bereits Maßnahmen einleiten, um den neuen Vorschriften so schnell wie möglich gerecht zu werden. Da die IT-Systeme, die zur kritischen Infrastruktur gehören, immer stärker vernetzt sind, wird ihr Schutz von größter Bedeutung sein. Diese Assets schlafen nie und genau deshalb müssen sie unaufhörlich gescannt und geschützt werden.
Von: Wolfgang Kandek, CTO bei Qualys
#Netzpalaver #Qualys