„Es geht nicht darum, eine Checkbox auf der Auditliste abzuhaken“

Kai Thomsen, Director International Incident Response Services bei Dragos

Am 1. Mai endete die Frist zur Umsetzung des IT-Sicherheitsgesetz 2.0 bezüglich der Implementierung von Systemen zur Angriffserkennung (SZA). Viele KRITIS-Betreiber stehen unter Zugwang.

Ein Statement von Kai Thomsen, Director International Incident Response Services bei Dragos.

Als Spezialisten für den Schutz von OT-Netzen begrüßen wir es sehr, dass das BSI den Fokus auf die Cybersicherheit von Betreibern kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse legt – und Maßnahmen zur Prävention, Überwachung und Angriffserkennung in den Vordergrund rückt. Denn nur, wer sein Netzwerk im Blick hat, kann sich vor neuen und bestehenden Bedrohungen schützen. Dabei dürfen KRITIS-Betreiber die Sicherheit ihrer industriellen Steuerungssysteme und OT-Netzwerke nicht aus den Augen verlieren – also der dedizierten Netzwerke, die mit der physischen Umgebung interagieren: zum Beispiel den Kontrollsystemen, die den Leistungsschutz in einem Umspannwerk steuern.

Denn genau diese Systeme machen kritische Infrastrukturen ‚kritisch‘.

Ein zweiter wichtiger Aspekt: Unserer Meinung nach sollten sich regulatorische Anforderungen auf die gewünschten Resultate, also das ‚Was’, fokussieren – zum Beispiel auf die kontinuierliche Beobachtung kritischer OT-Netzwerke und die Implementierung von Systemen zur Angriffserkennung. Bei der Frage ‚Wie‘ sie diese Anforderungen erfüllen, sollten die Betreiber dafür etwas mehr Spielraum erhalten. Den Verantwortlichen muss aber klar sein, dass es nicht darum geht, eine Checkbox auf der Auditliste abzuhaken, sondern kritische Anlagen sicherer zu machen. Spezifische – aber nicht übermäßig regulierende – Anforderungen helfen KRITIS-Betreibern dabei, geeignete Tools und Prozesse zu integrieren, um ihre Systeme optimal zu schützen. Denn jedes Netzwerk und jede Branche stellt eigene Anforderungen. Die Angriffserkennung ist dabei nur ein erster Schritt. Wie es weitergehen kann, ist gut dokumentiert – zum Beispiel in den „5 Critical Controls für OT-Cybersicherheit“ des SANS Instituts.

 

Statt bestehende Anforderungskataloge immer mehr zu erweitern, sollten die Behörden den Unternehmen konstruktiv darlegen, was von ihnen erwartet wird. So erzielen wir deutlich bessere Ergebnisse bei der Sicherheit. Wie das aussehen kann, hat jüngst die Regierung Biden in den USA vorgelebt: Als sie sich das Thema „ICS-Sicherheit in der Stromerzeugung“ vornahm, wurde zuerst die Executive-Order mit den neuen Anforderungen veröffentlicht. Dann stimmte sich die Regierung in einer 100-tägigen-Planungsphase mit Experten aus der Branche ab, und startete schließlich eine verbindliche 3-jährige Umsetzungsphase. Das ist auch kein einfacher Weg – aber ein transparenter, und einer, der Raum für starke und konstruktive Diskussionen schafft und realistische und effiziente Ergebnisse für die Sicherheit liefert.

#Dragos