Kritis-Verordnung 2.0

Neuerungen für Kritis-Betreiber

11. Februar 2022, 7:00 Uhr | Helmut Semmelmayer/wg

Fortsetzung des Artikels von Teil 1

Neuerung 2: Verpflichtende Angriffserkennung

Betriebe, die nicht in der Lage sind, Cyberattacken zu identifizieren, können diese weder effektiv bekämpfen, noch ihrer Meldepflicht an das BSI nachkommen. Schon in der Vergangenheit waren Intrusion-Detection-Systeme daher Teil einiger Branchenstandards für Kritis, allerdings nur als optionaler Baustein. Die Anpassung des BSI-Gesetzes macht Systeme zur Angriffserkennung ab 2023 verpflichtend. Kernpunkt dieser Sicherheitsmaßnahme ist das SIEM (Security-Information- und Event-Management): Obwohl Kritis eine entsprechende Software bislang nicht explizit fordert, führt in der Praxis kein Weg an SIEM vorbei, um die regelbasierte Auswertung von Sicherheitsdaten zu ermöglichen. Anhand von Logdaten, beobachteten Mustern und gängigen Indikatoren (ungewöhnlicher Netzwerkverkehr, verdächtige Änderungen in der Registry etc.) weist eine SIEM-Lösung automatisch auf fragwürdige Aktivitäten hin.

Doch Administrationsteams wissen, dass sich nicht hinter jeder Auffälligkeit auch ein Sicherheitsvorfall verbirgt. Eine Anmeldung in den frühen Morgenstunden stammt vielleicht von einer Kollegin oder einem Kollegen, die vor kurzem Eltern geworden sind. Ein Zugriff aus dem Ausland kann mit einer Geschäftsreise zusammenhängen. Zur Auswertung der identifizierten Vorfälle braucht es Fachpersonal, das einschätzen kann, welche Ereignisse tatsächlich sicherheitsrelevant sind und ob sie so gravierend sind, dass man das BSI informieren muss.

Um SIEM-Systeme effektiv einsetzen zu können, müssen Betriebe also auch zeitliche Ressourcen für die Betreuung durch Sicherheitsverantwortliche schaffen. Neben der laufenden Auswertung ist dabei eine langfristige zentrale Speicherung vorgesehen, um vergangene Angriffe analysieren und Schutzmaßnahmen verbessern zu können. Das Security-Team muss also auch ein geschütztes Archiv für SIEM-Daten einrichten und verwalten.

Anbieter zum Thema

zu Matchmaker+
Umgang mit kritischen Komponenten
Der Umgang mit kritischen Komponenten ruht auf drei Säulen.
© Tenfold

Neuerung 3: Kritische Komponenten

Neben direkten Angriffen rückt das IT-Sicherheitsgesetz Supply-Chain-Attacken in den Fokus, also Angriffe über Dienstleister oder Zulieferer. Dazu etabliert das Gesetz die Kategorie der kritischen Komponenten: Hardware- und Softwareprodukte, deren Ausfall den Betrieb einer Kritis-Anlage erheblich beeinträchtigen würde. Aufgrund der hohen Komplexität und Vernetzung von IT-Verbünden kommen hier natürlich etliche Bestandteile in Frage.

Vor dem Einsatz kritischer Komponenten sind Betreiber künftig verpflichtet, eine Garantieerklärung des Herstellers einzuholen, die belegt, dass das Produkt gegen Missbrauch und Sabotage abgesichert ist. Sollten sich Produzenten als nicht vertrauenswürdig erweisen, etwa weil das BSI Sicherheitsmängel oder unzureichende Schutzmaßnahmen feststellt, kann die Behörde den Einsatz von Komponenten untersagen – selbst dann, wenn diese bereits installiert und in Betrieb sind. Ob das BSI tatsächlich Verbote aussprechen wird, bleibt abzuwarten. Um auf den Fall der Fälle vorbereitet zu sein, sollten sich Unternehmen allerdings einen Überblick über alle verwendeten IT-Produkte verschaffen. Um Komponenten registrieren und bei Bedarf austauschen zu können, müssen IT-Organisationen zunächst die von Kritis betroffenen Teile des Informationsverbundes inventarisieren, sofern dies noch nicht geschehen ist.

Mehr Regeln, mehr Aufwand?

Obwohl Kritis 2.0 auf die technische Absicherung wichtiger Organisationen abzielt, bringt die Novelle vor allem organisatorischen Aufwand mit sich: Unternehmen an der Schwelle zur kritischen Infrastruktur müssen Grenzwerte nun laufend beobachten. Die Kommunikation mit dem BSI nimmt durch die Registrierung aller kritischen Komponenten stark zu, wofür es zuvor außerdem Garantieerklärungen der Hersteller einzuholen gilt. Auch die Auswertung der Sicherheitsprotokolle von SIEM-Systemen setzt vor allem eines voraus: Zeit. Leider ist Zeit für vielbeschäftigte IT-Abteilungen ein rares Gut. Ein größeres Team wäre die naheliegendste Lösung, scheitert aber oft an fehlenden Ressourcen und am Fachkräftemangel.

Die nächstbeste Alternative ist es, der Administration mehr Zeit zu verschaffen, indem automatisierte Lösungen möglichst viele Routineaufgaben und Sicherheitsaspekte abdecken. Entsprechende Software gibt es nicht nur für das SIEM, sondern auch für das Patch-Management, die Endpunktsicherheit, geschützte Backups etc. Eine der wichtigsten Grundlagen für effiziente und sichere Verwaltung ist das Identitäts- und Rechte-Management. Um Daten vor unberechtigten Zugriffen zu schützen, zählt IDM nicht nur zu den Pflichten für Kritis-Betriebe: Eine entsprechende Softwarelösung spart auch Zeit und Frust bei der Benutzerverwaltung. Die zentrale und automatisierte Steuerung von IT-Ressourcen reduziert Tickets und Helpdesk-Anfragen, während sich Compliance-Anforderungen schnell und einfach umsetzen lassen.

Helmut Semmelmayer ist Senior Manager Channel Sales bei Tenfold.


  1. Neuerungen für Kritis-Betreiber
  2. Neuerung 2: Verpflichtende Angriffserkennung

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu InFocus GmbH

Weitere Artikel zu W.L. Gore & Associates GmbH

Weitere Artikel zu Labor-Daten-Systeme GmbH

Matchmaker+