25.02.2022 • PraxisberichteAdminBerechtigungsmanagementBSI

IT-Sicherheit und Kritis 2.0

Die Novelle der Kritis-Verordnung, die mit 2022 in Kraft getreten ist, erweitert den gesetzlichen IT-Sicherheitsstandard um neue Kategorien und Schutzmaßnahmen. Auch die bestehenden Schwellenwerte ändern sich in einigen Branchen. Wir verraten, was Lebensmittelfirmen wissen müssen, um sich auf Kritis 2.0 und die neuen Anforderungen an die IT-Sicherheit vorzubereiten.
 
Es ist eine der größten Cyberattacken des vergangenen Jahres: Ende Mai 2021 gelingt es russischen Hackern, die Systeme des Fleischproduzenten JBS Foods zu infiltrieren und den Zugriff zu verschlüsseln. In Folge des Ransomware-Angriffs bleiben Schlachthäuser und Verarbeitungszentren in den USA, Kanada und Australien kurzzeitig geschlossen. Am Ende willigt JBS ein, das geforderte Lösegeld von rund 11 Mio. US-$ zu bezahlen. Der Verlust durch den Stillstand der Fabriken treibt die Schadenssumme zusätzlich in die Höhe.
 
Dabei hätte es noch wesentlich schlimmer kommen können: Der Ausfall der IT-Systeme konnte schnell genug behoben werden, um einen längeren Ausfall der Produktion und möglichen Versorgungsengpass für Konsumenten zu vermeiden. Dennoch zeigt der Fall JBS Foods eindrucksvoll, welche Auswirkungen Cyberangriffe auf die Lebensmittelindustrie haben können und wie wichtig der Schutz von Computersystemen auch in diesem Bereich geworden ist.
So sieht es auch der Gesetzgeber: In Deutschland zählen Lebensmittelproduzenten, -lieferanten und -händler aufgrund ihrer Bedeutung für die Allgemeinheit zu jenen Betreibern kritischer Infrastrukturen (Kritis), die seit 2016 Mindeststandards für die IT-Sicherheit erfüllen müssen. Im Rahmen der Anpassung des IT-Sicherheitsgesetzes im vergangenen Jahr hat die deutsche Bundesregierung nun auch die Kritis-Verordnung aktualisiert. Welche konkreten Änderungen Kritis 2.0 mit sich bringt, erfahren Sie hier.
 
Wer zählt als Kritis?
 
Durch die Kritis-Novelle wird der Geltungsbereich der Verordnung ausgeweitet: Mit der Abfallentsorgung kommt eine neue Branche zu den bestehenden Sektoren hinzu, zudem gibt es künftig eine neue Kategorie für Firmen, die als eine Art „Kritis light“ zwar Störungen melden, aber keinen verbindlichen Sicherheitsstandard einhalten müssen. Zu diesen Unternehmen im besonderen öffentlichen Interesse (UBI) zählen Betriebe in der Rüstungsindustrie, Firmen mit hoher Bedeutung für die deutsche Wirtschaft und solche, die Gefahrstoffe verarbeiten.
 
In einigen Bereichen (darunter Energie und Transport) wurden zudem jene Schwellenwerte angepasst, die bestimmen, ab wann ein Betrieb als Kritis-Anlage gewertet wird. Für die Lebensmittelindustrie bleiben diese Grenzwerte unberührt. Auch weiterhin zählen Firmen, die mehr als 434.500 t Lebensmittel oder 350 Mio. l Getränke herstellen, transportieren oder vertreiben als kritische Infrastruktur. Eine kleine Änderung gilt es dennoch zu beachten: Während bislang ausschließlich nichtalkoholische Getränke zu dieser Summe gerechnet wurden, zählen künftig auch Getränke mit einem Alkoholgehalt von bis zu 1,2 %. Minimalalkoholische Getränke fallen bei der Berechnung nun also ebenso ins Gewicht.
 
Kritische Komponenten
 
Kritis-Betreiber müssen in Zukunft nicht nur Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sondern dort im Vorfeld auch alle verwendeten IT-Produkte (Hardware & Software) registrieren, deren Ausfall den Betrieb der Anlage erheblich behindern würde. Für die Anmeldung dieser sogenannten kritischen Komponenten ist auch eine Garantieerklärung des Herstellers notwendig, der darin bestätigt, dass sein Produkt gegen Missbrauch gesichert ist, und sich bereit erklärt, mit dem BSI zu kooperieren.
 
Sollte das BSI Zweifel an der Vertrauenswürdigkeit eines Herstellers haben oder sogar Sicherheitsmängel feststellen, kann die Behörde den Einsatz von kritischen Komponenten untersagen. Auch dann, wenn diese bereits installiert und in Betrieb sind. Ob das BSI in der Praxis von diesem Recht Gebrauch machen wird, bleibt aktuell noch abzuwarten. Zur Vorbereitung sollten Unternehmen aber dringend eine aktuelle Inventur ihrer IT-Infrastruktur durchführen und mögliche Alternativen für den Austausch bestimmter Systeme zumindest in der Theorie durchdenken.
 
Systeme zur Angriffserkennung
 
Eine weitere Neuerung gibt es im Bereich der Angriffserkennung. Automatisierte Systeme zur Erkennung und Aufzeichnung verdächtiger Aktivitäten – Experten sprechen vom Security Information & Event Management bzw. SIEM – waren schon in der Vergangenheit Teil der empfohlenen Sicherheitsmaßnahmen des BSI. Durch das IT-Sicherheitsgesetz 2.0 wird der Einsatz von SIEM-Lösungen nun ausdrücklich vorgeschrieben.
 
Neben der Installation einer entsprechenden Software-Lösung und dem Einrichten der notwendigen Parameter ist dabei auch eine durchgehende Überwachung durch IT-Fachkräfte notwendig. Denn am Ende können nur geschulte Security-Experten einordnen, ob es sich bei einem Sicherheitsereignis um eine echte Bedrohung handelt und ab wann ein Vorfall an das BSI gemeldet werden muss. Die erfolgreiche Angriffserkennung setzt also auch ein entsprechendes Security-Team voraus. Betreiber haben aber noch etwas Zeit, um sich auf diese neue Kritis-Anforderung vorzubereiten: Der Einsatz von SIEM-Systemen ist erst ab Mai 2023 verpflichtend.
 
Compliance leicht gemacht?
 
Egal, ob ein Betrieb seit Jahren unter die Kritis-Verordnung fällt oder kurz vor der erstmaligen Registrierung steht: Die Umsetzung der gesetzlichen Sicherheitsstandards und Vorbereitung auf die regelmäßigen Audits bedeutet für Firmen in jedem Fall erheblichen Aufwand. Das Thema Cybersicherheit und Kritis-Compliance wird dabei fälschlicherweise oft als rein technische Aufgabe betrachtet. Tatsächlich umfasst die Absicherung der digitalen Systeme auch viele organisatorische Pflichten, von der Schulung des Personals über die Planung von Sicherheitstests bis zur Etablierung jenes Security Teams, das u. a. die Protokolldaten der Angriffserkennung auswertet.
 
Sicherheit nach dem aktuellen Stand der Technik, wie es die Kritis-Verordnung vorsieht, lässt sich natürlich nur mit modernster Software erreichen. Neben Schutzprogrammen wie Virenscans und Firewalls sollte der Fokus dabei auf Systemen liegen, die durch die Automatisierung zentraler Funktionen das eigene Sicherheitsteam entlasten und unterstützen. Das trägt nicht nur zum Schutz kritischer Systeme bei, sondern spielt IT-Fachkräfte für übergeordnete gesetzliche Pflichten frei.
 
Gerade im Berechtigungsmanagement gibt es hier großes Verbesserungspotenzial für Firmen: Die manuelle Verwaltung von Benutzerkonten und Berechtigungen kostet Admins wegen ständiger Anpassungen nicht nur viele Stunden Arbeitszeit, langfristig entstehen dabei zwangsläufig Fehler, Sicherheitslücken und potenzielle Datenschutz-Verstöße. Eine Software für Identity und Access Management wie bspw. Tenfold sorgt für die automatische Anpassung von Benutzern und Zugriffsrechten quer über alle verknüpften Systeme, und damit für optimale Sicherheit bei minimalem Aufwand.

Meist gelesen

Photo
13.11.2024 • PraxisberichteLebensmittel

KI als Gamechanger

Die Chance besteht, mit KI die Produktivität zu steigern, Lebensmittel nachhaltig und sicher zu liefern und das Wohlbefinden der Mitarbeitenden zu verbessern.

Photo
11.09.2024 • PraxisberichtePharma

Spritzen mit RFID-Chip

Wie kann die Sicherheit von Arzneimitteln noch gesteigert werden? Tracing, tracking, and packaging in der biopharmazeutischen Produktion ist ein Lösungsweg. Mit Hilfe von RFID-Sendern wird die individuelle Nachverfolgbarkeit einer jeden Spritze während des gesamten Produktionsprozesses gewährleistet.