09.08.2022 – Kategorie: IT-Sicherheit

IT-Sicherheitsgesetz 2.0: Diese Security-Maßnahmen müssen KRITIS-Organisation umsetzen

Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, Vorkehrungen zur Verhinderung von Cyberangriffen zu treffen. Mit der Verabschiedung des neuen IT- Sicherheitsgesetzes 2.0 im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft.

Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen (KRITIS) laut dem IT-Sicherheitsgesetz 2.0 „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyberangriffen treffen. Sophos hat deshalb als vom Bundesamt für Sicherheit in der Informationstechnik (BSI) qualifizierter APT-Response-Dienstleister für KRITIS einen Solution Brief erstellt. Dieser hilft Unternehmen und Organisationen dabei, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Dass die Gefahrenlage angespannt ist, belegen aktuelle Fakten.

Das BSI hat 2021 rund 144 Millionen neue Schadprogramme identifiziert. Rund 25 Prozent der betroffenen Unternehmen und Organisationen, sahen in den Angriffen eine schwerwiegende oder existenzbedrohende Gefahr. Dieses Gefahrenpotenzial wiegt umso schwerer, wenn kritische Infrastrukturen das Ziel der Cyberkriminellen sind. So etwa im Gesundheitswesen, in den Bereichen der Energie- und Wasserversorgung oder bei der Nahrungsversorgung. Mit der Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ im Frühjahr 2021 hat der Gesetzgeber diese Pflichten noch einmal verschärft. Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten.

IT-Sicherheitsgesetz 2.0: Neue Auflagen, aber wenig Empfehlungen

Wie schon in der Vergangenheit haben die Behörden, welche die Sicherheit bei KRITIS einfordern, auch bei der neuen Auflage der Bestimmungen genaue Vorstellungen, wie Verstöße zu ahnden und zu bestrafen sind. Allerdings lassen sie den Unternehmen und Organisationen weitestgehend freie Hand bei der Umsetzung der IT-Sicherheit. Die Begründung: Konkrete Handlungsempfehlungen könnten die fortschreitende Innovation auf dem Gebiet der IT behindern und dazu führen, dass die gesetzlichen Pflichten mit dem Aufkommen neuer Technologien schnell wieder veralten. Dieser Ansatz ist aus Sicht der Kontrollorgane nachvollziehbar, hilft den Unternehmen jedoch wenig bei der konkreten Umsetzung.

Security-Lösungsansatz für Betreiber von KRITIS

Sophos hat als offiziell vom BSI qualifizierter APT-Response-Dienstleister für KRITIS einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. Zur näheren Bestimmung der notwendigen Maßnahmen können sich KRITIS-Unternehmen und -Organisationen an zwei Anhaltspunkte orientieren. Zum einen den „branchenspezifischen Sicherheitsstandards“, die von den einzelnen Branchenverbänden der betroffenen Sektoren entwickelt wurden. Zum anderen an der aktuellen Handreichung des BSI. Während die branchenspezifischen Sicherheitsstandards ausschließlich für den jeweiligen Sektor anwendbar sind, bietet die Handreichung des BSI allgemeine Anforderungen. Diese sind auf alle Sektoren und Branchen anwendbar. In diesem Anforderungskatalog legt das BSI 100 relevante Themen fest und erläutert die jeweiligen Sicherheitsvorkehrungen.

Schwerpunkt von IT-Sicherheitsgesetz liegt auf Angriffserkennung

Im Solution Brief beschreibt Sophos, welche Themen aus dem Anforderungskatalog des BSI mit welchen Komponenten der Security adressiert werden können, um die geforderten Sicherheitsvorkehrungen umzusetzen – insbesondere im Zusammenhang mit dem neuen IT-Sicherheitsgesetz 2.0. Ein Schwerpunkt der neuen Gesetze liegt auf der Angriffserkennung. KRITIS-Unternehmen und -Organisationen müssen in der Lage sein, in der IT verarbeitete Daten laufend mit Informationen und technischen Mustern abzugleichen, um potenzielle Angriffe zu identifizieren.

Dazu müssen Parameter und Merkmale im Betrieb kontinuierlich und automatisch erfasst und vor allem ausgewertet werden. Die Raffinesse und schnelle Entwicklung der Cyberkriminellen erfordert eine Kombination aus automatisierter und mit KI angereicherter Security sowie menschlicher Expertise. Sowohl technisch als auch menschlich betriebene Security sollte sich in einem Ökosystem zusammenfinden, um Bedrohungen zu vermeiden und vor allem eingetretene Störungen so schnell wie möglich zu beseitigen.

Sophos ist Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Anwendern vor Cyberbedrohungen. Basierend auf Threat Intelligence, künstlicher Intelligenz und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos Lösungen und Services. Diese schützen Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken. Das Unternehmen bietet mit Sophos Central eine integrierte und Cloud-basierte Management-Konsole. (sg)

Lesen Sie auch: IT-Sicherheit: Unternehmen wollen bis 2024 aufrüsten

Aufmacherbild: hkama – Adobe Stock


Teilen Sie die Meldung „IT-Sicherheitsgesetz 2.0: Diese Security-Maßnahmen müssen KRITIS-Organisation umsetzen“ mit Ihren Kontakten:


Scroll to Top