IT-SIG 2.0 – Was die Profis raten

Auch wenn sich vielleicht noch manches Unternehmen fragt, ob es zu den kritischen Infrastrukturen der Volkswirtschaft – sprich KRITIS – zählt, so haben die Entwicklungen seit der Einführung des IT-Sicherheitsgesetzes 2.0 im Jahre 2021 deutlich gezeigt, dass die dort definierten Anforderungen nicht nur ein bürokratischer Akt sind, sondern eine notwendige Reaktion auf das stetig wachsende Angriffspotenzial, das auch vor kleinen oder mittelständischen Unternehmen nicht Halt macht. Jetzt sind die Unternehmen gefordert, Rechenschaft über die eingeleiteten Maßnahmen abzulegen. Warum tun sie sich nach wie vor schwer, die Direktiven umzusetzen?

Seit dem 1. Mai 2023 verlangt der Gesetzgeber nun verpflichtend den Nachweis für die Einrichtung von Systemen zur Identifizierung von Cyberangriffen, um diese frühzeitig zu erkennen, Schäden zu vermeiden oder zumindest zu reduzieren. Über die Sinnhaftigkeit dieser Anforderung besteht in der Fachwelt weitgehender Konsens. Aber wie sieht es in der Realität aus? Offenbar hadern die meisten Organisationen nach wie vor mit der Erfüllung. Netzpalaver hat maßgebliche Player nach den Gründen befragt und – wie sollte es anders sein – unterschiedlichste Erklärungen bekommen.

Wenn ein neues Gesetz verabschiedet wird, dann trifft es gemeinhin auf Widerstand, weil für die Betroffenen damit in aller Regel Maßnahmen verbunden sind, die organisatorische Veränderungen erforderlich machen und Kosten verursachen. Das ist beim zweiten IT-Sicherheitsgesetz nicht anders. Die Kluft zwischen Wunsch und Wirklichkeit klafft auch hier auseinander. Trotzdem besteht ungewohnte Einigkeit in der Branche dahingehend, dass die Umsetzung gelingen kann, auch wenn dies besondere Anstrengungen erfordert. Allerdings stellt sich die Frage, wie tauglich sich die gestellten Anforderungen in der Praxis erweisen.

 

Allgemeine Verunsicherung

„Vage Gesetzestextformulierungen, soweit das Auge reicht und Verunsicherung bei allen Beteiligten“, konstatiert Florian Schönknecht, stellvertretender Geschäftsführer bei Eramon. Und was nun? Er rät dazu, keine Panik zu entwickeln und den Fokus auf die Basics zu legen. Und die liegen für ihn darin, flexibel zu bleiben und sich variabel aufzustellen, um auf notwendige Änderungen oder Sicherheitsvorfälle schnell reagieren zu können.

 

Keine Panik ist oftmals ein guter Rat. Es gilt, sich in Ruhe mit der Situation auseinanderzusetzen und geeignete Maßnahmen zu treffen. Allerdings sind KRITIS und IT-SiG 2.0 nicht gerade einfach. Für viele Unternehmen bedeutet dies eben auch, sich an den Anfang zurückzubegeben: „In vielen Organisationen meint dies, klein anzufangen, um die eigene Umgebung zu verstehen und sich die notwendige Visibilität zu verschaffen“, erklärt Zac Warren, Chief Security Advisor EMEA bei Tanium.

 

Gehen sie zurück zum Start? Alles auf null? Kann das ein Ratschlag sein, nachdem bereits erhebliche Investitionen in die Sicherheitsinfratruktur getätigt worden sind? Offenbar erfordert das Gesetz oftmals genau das. „Viele Unternehmen glauben, dass sie mit den bereits implementierten Mechanismen auf der richtigen Seite sind. Das stimmt allerdings nicht in jedem Falle“, meint auch Andreas Müller, Vice President Sales DACH bei Definea. Auch er fordert ein Umdenken in Richtung auf die einfachsten Prozesse wie etwa die Beschränkung von Rechten oder das simple Sicherstellen eines Auditing.

 

Ganz offensichtlich zielt das Gesetz auf mehr als den Kauf neuer Hard- oder Software, die in der Vergangenheit Abhilfe versprochen hatten. Die Herausforderungen entstehen auf vielen Ebenen: Die Implementierung umfassender Lösungen erfordert ein hohes Maß an Know-how, das nicht immer vorhanden ist, die Kosten stellen insbesondere für KMUs eine veritable Hürde dar und es fehlt ganz allgemein an Expertise und Awarness bei den Verantwortlichen.

 

Nicht von der Stange

„Im Gegensatz zu früheren Anforderungen geht es hierbei nicht mehr nur einfach um eine technische Erweiterung“, erklärt Richard Werner, Business Consultant bei Trend Micro, „sondern um die Anpassung der Prozesse.“ Und die verlangen auch eine wirtschaftliche Antwort. „Das Verhältnis von Aufwand und Leistung ist nicht nur für KMUs, sondern auch für ein großes Unternehmen entscheidend.“

 

Tatsächlich erfordert IT-SiG 2.0 mehr als nur den Kauf einer neuen Lösung von der Stange, darin sind sich die Anbieter einig. Benötigt werden erhebliche Anstrengungen in den Bereichen Technologie, menschliche Ressourcen und Organisation. Das geht bis dahin, liebgewonnene Gewohnheiten konsequent zu verändern, weil selbst das teuerste Abwehrsystem keine Sicherheit bieten kann, wenn die Prozesse nicht adäquat ausgerichtet sind.

„Es geht eben nicht mehr nur darum, einfach nur Vorschriften zu erfüllen“, resümiert Marc Ahlgrim, Digital Transformation Specialist bei Veritas. „Vielmehr müssen zwangsläufig auch einfache Aufgaben wie das Back-up zuverlässig erfüllt werden.“

 

So viel ist klar: Die Hersteller sind nicht angetreten, um die Herausforderungen von IT-SiG 2.0 mittels eines einzigen Produktes zu erfüllen. Aber bieten sie dennoch entsprechende Lösungen an? Alexander Koch, Vice President Sales EMEA bei Yubico, sieht das optimistisch: „Natürlich stellen die Auflagen des IT-Sicherheitsgesetzes die Unternehmen vor einige Herausforderungen. Allerdings haben wir aus vielen Gesprächen mit unseren Kunden gelernt, dass es durchaus Möglichleiten gibt, mit den verfügbaren Tools Hürden zu errichten und die Anforderungen zu erfüllen.“

 

Das sieht auch Michael Veit, Security Specialist bei Sophos ähnlich, hebt aber eine andere Komponente hervor: „Es ist die eine Sache, Sicherheitsprodukte als State-of-the-Art einzusetzen, eine andere ist es, sie rund um die Uhr zu bedienen. Und daran scheitern die meisten Unternehmen.“ Nur die wenigsten Unternehmen verfügen über ein eigenes SOC-Team, und die Dringlichkeit ist offenbar noch nicht bei allen Beteiligten angekommen.

 

State-of-the-Art

Worin liegen aber die Fallstricke im Detail? Da sind einerseits die einerseits die vagen Formulierungen im Gesetzestext, die in der Praxis mit Leben gefüllt werden müssen. Andererseits gibt es in allen Unternehmen bereits mehr oder weniger gut funktionierende Infrastrukturen, die gegeben falls angepasst werden müssen. Zudem setzen immer mehr Unternehmen auf eine auf mehrere Anbieter verteilte Verarbeitung, die den eigenen Zugriff beschränkt: „Die Verteilung der Infrastrukturen auf Rechenzentren, die Cloud und SaaS-Anwendungen macht es heute schwer, die Daten zu lokalisieren“, stellt Thomas Wethmar, Regional Director DACH bei Skyhigh Security fest. „Wer hat Zugriff, wer versendet oder teilt sie mit wem? Die Risikobewertung muss auch die Daten einbeziehen, hybrid, am Gateway und in der Cloud.“

 

Eine ganz andere Herausforderung stellt sich beispielsweise in IoT-Umgebungen, wie Mirko Bülles, Director Technical Account Management EMEA/APAC bei Armis Security zu berichten weiß. „Hier haben wir es mit speziellen Geräten und Netzwerken zu tun, die sich von normalen IT-Umgebungen unterscheiden. Es müssen auch diejenigen Assets geschützt werden, auf denen keine Agenten installiert sind.“ Er empfiehlt, in diesen Umgebungen nach einer agentenlosen Plattform Ausschau zu halten, die jedes Gerät analysiert und eine eigene Risikobewertung abgibt.

 

Auch Jörg von der Heidt von Bitdefender verweist darauf, dass der Gesetzgeber sich auf den Begriff des „Standes der Technik“ zurückzieht, ohne eine klare Richtung vorzugeben. „Für die Angriffserkennung können beispielsweise SIEM oder auch Endpoint-Detection and Response zum Einsatz kommen – sprich EDR, XDR oder MDR. Wichtig ist, dass sich jedes Unternehmen seine eigenen Gedanken macht, welche individuellen Herausforderungen zu meistern sind.“

 

Ein weiterer Begriff, der das Gesetz prägt, ist ein „angemessener Aufwand“ für den verpflichtenden Einsatz von Systemen, die es ermöglichen, Angriffe auf die IT zu erkennen. Die Einführung eines SIEM – Security-Incident- und Event-Management-Systems – gilt vielfach bereits als ausreichend, um die Anforderungen von SiG 2.0 zu erfüllen. Aber reicht dies wirklich aus, wenn es am Ende an der erforderlichen Manpower fehlt? „Hier kommt für die meisten Unternehmen das Thema MDR ins Spiel“, weiß Fred Tavas, Country Manager DACH und CEE bei Trustwave. „Ein SIEM allein garantiert keinen ausreichenden Schutz, wenn nicht am Ende die erforderlichen Maßnahmen 24/7 eingeleitet werden.“

 

Sinnvoll, notwendig, schwierig

Das sieht auch Markus Auer, Sales Director Central Europe bei Bluevoyant ähnlich. Für ihn sind SIEM und SOC die prägenden Bereiche, für die es Lösungen zu finden gilt. „Jede SIEM-Lösung ist nur so gut wie ihre Erkennungsregeln. Aber viele Unternehmen haben gar nicht das Know-how, um diese Regeln selbst zu schreiben, geschweige denn, diese ständig an die Realitäten anzupassen und schnell zu implementieren.“ Das gilt im gleichen Maße für die kontinuierliche Überwachung der Systeme durch ein 24/7-SOC, für das meist weder das geeignete Personal zu finden ist, noch das notwendige Budget bereitsteht. Das Scheitern im personellen Bereich zwingt die Unternehmen nach seiner Ansicht dazu, Ausschau nach entsprechend kompetenten Service-Providern zu halten.

 

Was ist also die Essenz? Ja, IT-SiG 2.0 ist durchaus sinnvoll, geradezu notwendig in den Forderungen, um teils desaströse Konsequenzen aus Einbrüchen abzuwenden oder zumindest zu mildern. Aber die Implementierung erfordert ein hohes Maß an Know-how, das nicht immer verfügbar ist. Es fehlt an Expertise und Awareness, und die Kosten können insbesondere für KMUs eine Hürde sein. Und tatsächlich kann die Erfüllung der Anforderungen für viele Unternehmen einem Neuaufsetzen der Strategie gleichkommen. Das ändert allerdings nichts an der Notwendigkeit, die Aufgaben zu lösen.

Joern Kraus, Head of Security Presales bei Westcon, hat fünf Ratschläge, wie das Problem angegangen werden kann: „Die Sicherheitsinfrastruktur muss auf die spezifischen Bedrohungen des Unternehmens ausgerichtet sein, neue Produkte müssen sich nahtlos in die vorhandene Struktur einpassen lassen, sie müssen einfach zu bedienen und zu verwalten sein und natürlich die Datenschutz- und Compliance-Anforderungen erfüllen. Zudem ist es notwendig, auch auf personelle und organisatorische Anforderungen zu achten.“

 

Die Anforderungen sind zahlreich und die Rahmenbedingungen müssen für jedes Unternehmen individuell abgewogen werden. Auch wenn mancher anderes verspricht: es gibt keine Blaupause, die auf jede Organisation übertragbar wäre. „Ob KRITIS oder nicht – wenn die Alarme losgehen, müssen die IT-Verantwortlichen in der Lage sein, schnell zu reagieren und sich einen Vorsprung vor den Angreifern zu verschaffen“, erläutert Elmar Albinger, Regional Sales Director bei Algosec. Er meint damit vor allem, seitliche Bewegungen eines Angriffes zu erkennen und durch Mikrosegmentierung einzuschränken, die Mitarbeiter zu informieren und geeignete Gegenmaßnahmen zu ergreifen.

 

Kein leichtes Unterfangen, so viel ist klar. Aber den Kopf in den Sand zu stecken, ist keine wirkliche Alternative. Organisationen sollten die gesetzliche Vorgabe auch als Chance sehen, um ihre Widerstandsfähigkeit zu verbessern und katastrophale Folgen zu vermeiden, so der Tenor der Ratschläge. Auch ist es wohl so, dass die Prüfung gegenüber dem BSI sich in der Realität nicht gar so komplex darstellt, wie manchmal kolportiert. „Angriff ist die beste Verteidigung“ ist eine Weisheit aus der konventionellen Kriegsführung. Im Cyberkrieg gilt heute das Gegenteil als State-of-the-Art: Die Verteidigung der Assets mit allen zur Verfügung stehenden Mitteln und im Rahmen des Machbaren ist noch immer die beste Strategie, um Angriffe erfolgreich abzuwehren.