Die Bedrohungslage für Organisationen der Kritischen Infrastruktur (KRITIS) hat in den vergangenen Jahren spürbar zugenommen: Cyber-Attacken häufen sich und haben in der Vergangenheit schwerwiegende Schäden verursacht, wie der Angriff auf die US-Benzin-Pipeline Colonial Pipeline (2021) durch die Ransomware-Gruppe DarkSide oder die zeitweilige Stilllegung der ukrainischen Telekommunikation durch russische Hacker gezeigt haben. Die Gründe für diese erhöhte Gefahrenlage sind vielfältig: Während viele KRITIS-Organisationen ihre Prozesse digitalisieren und die Systeme hierdurch anfälliger für Angriffe von außen werden, führt auch die steigende Komplexität technischer Systeme zu neuen Schwachstellen. Zudem hat die Zunahme globaler Konflikte durch die Strategie der hybriden Kriegsführung Auswirkungen auf die KRITIS: Staaten und nicht-staatliche Akteure nutzen Cyber-Attacken als Instrument der Kriegsführung, um gegnerische Kriegsparteien zu destabilisieren. KRITIS-Organisationen sind hier besonders gefährdet.
Aus diesem Grund hat der Gesetzgeber in Deutschland reagiert: Betreiber von Kritischen Infrastrukturen müssen bestimmte Vorgaben einhalten und Sicherheitsmaßnahmen entwickeln, um ihre Systeme und Prozesse vor Störungen, Ausfällen oder Angriffen zu schützen. Die IT-Sicherheit spielt hier eine wichtige Rolle: Das neue IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 schreibt vor, welche technischen und organisatorischen Maßnahmen KRITIS-Betreiber umzusetzen haben. Dazu zählt unter anderem die Meldepflicht bei IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Doch welche Organisationen sind von den Vorgaben betroffen und welche Anforderungen werden an digitale Sicherungssysteme wie Firewalls gestellt? In diesem Blog-Beitrag geben wir Antworten auf diese Fragen und stellen praktische Lösungen für die Erhöhung der IT-Sicherheit vor.
Wer fällt unter die KRITIS-Vorgaben? – Schwellenwerte & selbständige Meldung
Zur KRITIS zählen in Deutschland Organisationen und Einrichtungen, die wesentliche Dienstleistungen und Güter bereitstellen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf das öffentliche Leben, die Sicherheit oder die Wirtschaft hätte. Der Gesetzgeber unterteilt die KRITIS in Sektoren, wie z.B. Wasser und Abwasser, Energie, Gesundheit, Ernährung oder IT und Telekommunikation. Laut IT-Sicherheitsgesetz 2.0 müssen die gesetzlich vorgeschriebenen KRITIS-Vorgaben zur IT-Sicherheit erfüllt werden, wenn bestimmte Schwellenwerte überschritten werden. Diese Schwellenwerte sind in der BSI-Kritisverordnung (BSI-KritisV) festgelegt und je nach Sektor unterschiedlich definiert. Sie orientieren sich an der Größe und an der Bedeutung der jeweiligen KRITIS-Organisation und daran, wie viele Menschen durch einen Ausfall betroffen wären.
Auf der Basis der BSI-KritisV müssen z.B. folgende Organisationen die KRITIS-Vorgaben erfüllen:
– … Stromversorger, die Übertragungs- und Verteilnetze betreiben, wenn ihre Netze eine Versorgung von mehr als 500.000 Personen sicherstellen.
– … Krankenhäuser, die über eine bestimmte Anzahl von Betten verfügen (z.B. mehr als 30.000 vollstationäre Fälle pro Jahr).
– … Internetdienstleister und Rechenzentren, wenn sie eine bestimmte Anzahl an Nutzern oder eine bestimmte Datenübertragungsrate überschreiten.
Die KRITIS-Vorgaben: Maßnahmen, Konzepte & Audits
Organisationen, die die Schwellenwerte überschreiten, müssen sich selbständig beim BSI melden und die gesetzlich vorgeschriebenen Vorgaben umsetzen, um die Sicherheit und Zuverlässigkeit der jeweiligen Systeme zu gewährleisten. Darunter fallen vor allem die folgenden Anforderungen:
– Umsetzung von Sicherheitsmaßnahmen: KRITIS-Betreiber müssen angemessene organisatorische und technische Sicherheitsmaßnahmen umsetzen, damit die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme sichergestellt sind. Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und auf das jeweilige Risiko abgestimmt sein.
– Erstellung eines Sicherheitskonzepts: KRITIS-Betreiber sind zudem verpflichtet, ein umfassendes IT-Sicherheitskonzept zu entwickeln und zu dokumentieren. Dieses Konzept muss alle relevanten Sicherheitsaspekte abdecken, einschließlich der Erkennung und Abwehr von Bedrohungen, der Wiederherstellung von Systemen nach Störungen und der regelmäßigen Überprüfung und Aktualisierung der Sicherheitsmaßnahmen.
– Regelmäßige Audits und Prüfungen: Darüber hinaus wird KRITIS-Organisationen vorgeschrieben, regelmäßig Audits und Prüfungen ihrer IT-Sicherheitsmaßnahmen durchzuführen. Diese Prüfungen sollen sicherstellen, dass die Maßnahmen effektiv sind und dem aktuellen Stand der Technik entsprechen. Die Ergebnisse dieser Prüfungen müssen an das BSI übermittelt werden.
– Meldepflicht bei Sicherheitsvorfällen: KRITIS-Betreiber sind auch verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich an das BSI zu melden. Die Meldepflicht betrifft alle Vorfälle, die die Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Systemen beeinträchtigen und potenziell zu einer Gefährdung der KRITIS führen könnten.
– Zusammenarbeit mit dem BSI: KRITIS-Betreiber müssen eng mit dem BSI zusammenarbeiten. Dies beinhaltet den Austausch von Informationen über Bedrohungen und Sicherheitslücken sowie die Teilnahme an Sicherheitsübungen, die vom BSI organisiert werden.
Außerdem sind KRITIS-Organisationen angewiesen, Notfallpläne zu erstellen und zu gewährleisten, dass ihre Mitarbeiter regelmäßig geschult werden und sich der Bedeutung der IT-Sicherheit bewusst sind. Alle getroffenen Maßnahmen und durchgeführten Prüfungen müssen detailliert dokumentiert werden. Diese Dokumentation ist dem BSI auf Anfrage vorzulegen.
Anforderungen an Firewalls in der KRITIS – Netzwerksegmentierung, Gefahrenerkennung & redundante Infrastrukturen
Um Bedrohungen aus dem Cyberspace zu minimieren, zählt auch die Firewall-Infrastruktur zum Schutzbereich der BSI-KritisV. Die spezifischen Anforderungen an Firewalls sollen sicherstellen, dass die Firewall-Infrastruktur nicht nur als Barriere gegen Bedrohungen dient, sondern auch flexibel und robust genug ist, um im Falle eines Angriffs oder Ausfalls weiterhin den Betrieb kritischer Systeme zu gewährleisten.
Das Wichtigste vorab: Der Gesetzgeber schreibt die Verwendung von Firewalls in Organisationen, die unter die KRITIS-Vorgaben fallen, zwingend vor. Zu den notwendigen Sicherheitsmaßnahmen in Firewall-Systemen zählt die Segmentierung der Netzwerkstruktur in verschiedene Netzwerke, z.B. in interne, externe und DMZ-Bereiche („Demilitarisierte Zone“). Dies verhindert, dass sich potentielle Angreifer lateral durch das Netzwerk bewegen können. Die Implementierung von Regeln zur Zugriffskontrolle beschränkt daneben den Zugang zu kritischen Systemen und Daten. Dies kann durch Maßnahmen wie die Filterung von eingehendem und ausgehendem Datenverkehr erfolgen, basierend auf IP-Adressen, Ports, und Protokollen. Zudem müssen Firewalls in der Lage sein, sämtliche Aktivitäten zu protokollieren, insbesondere Zugriffsversuche und Konfigurationsänderungen. Diese Logs sollten regelmäßig überwacht und analysiert werden, damit verdächtige Aktivitäten und Anomalien schnell erkannt werden können – hierzu empfiehlt sich der Einsatz von SIEM Systemen, die dies weitgehend automatisieren können. Der Einsatz von Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) auf Firewalls bietet bei der frühzeitigen Erkennung und Verhinderung von schädlichen Cyber-Angriffen zusätzliche Unterstützung.
Damit die Firewall-Infrastruktur bei einem Ausfall weiterhin funktionsfähig bleibt, ist die Konzeption von redundanten Firewall-Architekturen vorgeschrieben. Auch muss die Firewall-Infrastruktur regelmäßig getestet werden, um ihre Funktionsfähigkeit und Wirksamkeit sicherzustellen, insbesondere in Bezug auf Backup- und Failover-Szenarien. Zudem sind regelmäßige Updates und Patches der Firewall-Software für die Schließung von Sicherheitslücken erforderlich. Und damit nicht genug: Alle Firewall-Regeln und -Konfigurationen müssen regelmäßig überprüft und detailliert dokumentiert werden.
Fazit
Die Bedrohungslage für Organisationen KRITIS hat durch die steigende Anzahl an Cyber-Angriffen und an globalen Konflikte erheblich zugenommen. Das IT-Sicherheitsgesetz 2.0 verpflichtet KRITIS-Betreiber deshalb zur Implementierung umfassender technischer und organisatorischer Schutzmaßnahmen, einschließlich robuster Firewall-Infrastrukturen, damit die Integrität und die Verfügbarkeit ihrer Systeme gewährleistet werden können. Die gesetzliche Vorgaben betreffen vor allem diejenigen Organisationen, die bestimmte Schwellenwerte überschreiten. Doch auch solche KRITIS-Betreiber, die formal nicht unter BSI-KritisV fallen, sollten aktiv werden und Teile der Vorgaben freiwillig umsetzen. Denn viele der Anforderungen sind auch für kleinere Unternehmen im Mittelstand sinnvoll und hilfreich, um die IT-Sicherheit nachhaltig zu verbessern und resilienter gegen Bedrohungen zu schützen.
Ihre Organisation zählt zur KRITIS und Sie möchten Ihre IT-Infrastruktur durch eine sichere Firewall effizient gegen Angriffe schützen? Unsere NETHINKS-Experten beraten Sie gerne und prüfen Ihre IT-Systeme transparent und effizient. Wir unterstützen Sie mit unseren Produkten und Dienstleistungen wie dem NT/SecEdge als Managed Service, um Ihre Firewall-Struktur mit wenig Personalaufwand und niedrigen Kosten sicher aufzustellen.
Sie haben noch Fragen? Wir haben die Antworten
So erreichen Sie uns auch gerne direkt:
Noch Fragen zu den Themen Network oder VoIP?
NT/DSL
Schnelles DSL für Ihr Unternehmen
NT/Voice
Maßgeschneiderte Telefonie-Lösungen
NT/
CONNECT
Die Lösung für alle Anforderungen
TK-Anlage/
Asterisk
Moderne Telefonie auf Open-Source-Basis