5 Schritte zu mehr Sicherheit – Was KRITIS 2.0 für die Planung sicherer Netzwerke bedeutet

Die Bedrohung von IT-Systemen durch Malware, Cyberangriffe, Sicherheitslücken oder Datendiebstahl hat in den letzten Jahren spürbar zugenommen. Um sich effizient gegen diese Bedrohungen und ihre Folgen für die Integrität, Verfügbarkeit und Vertraulichkeit von Netzwerk und Co. zu schützen, müssen vor allem Organisationen der Kritischen Infrastruktur (KRITIS) aktiv werden und IT-Sicherheitsrelevante Vorkehrungen treffen. Auch der Gesetzgeber hat in Deutschland auf die steigende Anzahl von Attacken auf die KRITIS reagiert und mit der Novellierung des IT-Sicherheitsgesetzes 2.0 im Jahr 2021 das entsprechende Regelwerk zur IT-Sicherheit angepasst.

Doch was bedeutet das konkret für die Planung von Netzwerken in Organisationen, die in KRITIS-Sektoren wie Verkehr, Energie, Gesundheit, Wasserversorgung, IT, Telekommunikation, Rüstung, Abfallwirtschaft sowie im Finanz- und Versicherungswesen tätig sind? In diesem Blogartikel stellen wir fünf wichtige Schritte auf dem Weg zu einem sicheren Netzwerk vor, das die Neuregelungen von KRITIS 2.0 berücksichtigt.

KRITIS 2.0 – Was ist das eigentlich?

Mit der neuen KRITIS 2.0-Regelung aus 2021 will der Gesetzgeber den wachsenden Bedrohungen für KRITIS-Organisationen gerecht werden und hat das ursprüngliche IT-Sicherheitsgesetz (IT-SiG) aus 2015 angepasst. Mit der Novellierung wurde der Kreis der Kritischen Infrastrukturen erweitert, um auch neue Sektoren und Branchen einzubeziehen, die durch die fortschreitende Digitalisierung an Bedeutung gewonnen haben. Gleichzeitig erhöht KRITIS 2.0 die Sicherheitsanforderungen an betroffene Organisationen, sieht eine Meldepflicht bei IT-Störfällen vor und erweitert die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Gesetz zielt darauf ab, den Schutz der Kritischer Infrastruktur in einer zunehmend digitalisierten und vernetzten Welt weiter zu stärken und die Resilienz der Kritischen Infrastruktur zu erhöhen. Mit den neuen Regelungen der KRITIS 2.0, die in engem Zusammenhang mit der europäischen NIS-2-Richtlinie stehen, soll deshalb vor allem der Schutz und die Sicherstellung von kritischen Funktionen und Systemen gewährleistet werden. Das neue Gesetz schreibt allerdings nicht vor, dass jede Funktion einer KRITIS-Organisation automatisch als kritische Funktion einzustufen ist. Ein Beispiel: Für die Funktion eines Abwasserbetriebes ist die Einsatzfähigkeit der Pumpenanlagen wichtig und kritisch. Das Funktionieren des E-Mail-Systems muss in diesem Zusammenhang nicht notwendig kritisch sein, wenn es für die Funktionen im Bereich Abwasserreinigung nicht zwingend benötigt wird.

1. Schritt: Risikobewertung

Aus diesem Grund ist eine strukturierte Risikobewertung der Funktionen und Systeme, die für den sicheren Betrieb relevant sind, in einer KRITIS-Organisation besonders wichtig. Die Risikobewertung betrifft vor allem die IT-Netzwerkstruktur, dem zentralen Knotenpunkt der IT-Sicherheit. Netzwerke sollten aufgrund ihrer hohen Bedeutung zwingend daraufhin untersucht werden, ob ihre Funktionsfähigkeit oder ihr Ausfall die Bereitstellung der kritischen Dienste in KRITIS-Organisationen beeinträchtigt. Wichtig ist an dieser Stelle die Beurteilung, ob das interne oder externe Netzwerk ein Risiko für die Aufrechterhaltung des Betriebs darstellen kann. Doch wie geht man dabei am besten vor? Die strukturierte Risikobewertung umfasst eine Auflistung aller Dienste und Services, die im Netzwerk oder über das Internet erreichbar sind. Anschließend gilt es zu beurteilen, ob und wie lange die einzelnen Dienste und Services ausfallen dürfen und welche angrenzenden Systeme im Falle einer Störung ebenfalls betroffen sind. Wenn über eine externe Internetverbindung oder über interne Netze zum Beispiel Fernwartungs- oder Messdaten ausgetauscht werden und dieser Austausch eine entscheidende Rolle für die kritischen Dienste spielt, dann könnte die Netzwerkanbindung gegebenenfalls zur kritischen Funktionalität zählen.

2. Schritt: Auflistung der Maßnahmen

Nach der strukturierten Risikobewertung erfolgt im zweiten Schritt eine Auflistung der Maßnahmen, die zum Schutz der kritischen Funktionalität von IT-Netzwerken bereits umgesetzt wurden und noch geplant sind. Hilfreiche Unterstützung finden KRITIS-Organisationen hier bei ihren Dienstleistern und den dortigen IT-Verantwortlichen. In dieser Liste sollten insbesondere Aspekte wie der sogenannte Perimeter-Schutz – also dem Übergang vom Internet in das lokale Netzwerk – und die Redundanz berücksichtigt werden, die durch die Bereitstellung von vergleichbaren Ressourcen im Netzwerk bei Ausfall einen störungsfreien Betrieb gewährleistet. Jede Maßnahme sollte dabei einzeln beschrieben werden, mit Angaben zum Zeitplan der Umsetzung und zu den internen und externen Kosten. Wichtig ist es hierbei, das Kosten-Nutzen-Verhältnis für getroffene oder geplante Maßnahmen im Blick zu behalten. Zusätzlich sollte in der Auflistung festgehalten werden, inwieweit die jeweiligen Maßnahmen ein einzelnes Risiko oder mehrere der in der Bewertung ermittelten Risiken behebt oder abmildert.

3. Schritt: Die Entscheidung

Auf der Basis einer koordinierten Abwägung der Risiken, Maßnahmen, Kosten und des Nutzens sollten dann wegweisende Entscheidungen für die Sicherheit der IT-Netzwerke getroffen und vor allem dokumentiert werden. Insbesondere die Dokumentation ist für Organisationen der KRITIS von großer Bedeutung, da der Gesetzgeber im KRITIS 2.0 eine entsprechende Dokumentationspflicht vorschreibt. Der Vorteil: Kann im Falle einer auftretenden Störung nachgewiesen werden, dass man als KRITIS-Organisation alles Mögliche und Zumutbare für eine Verringerung der Störungswahrscheinlichkeit getan hat, dann verringert sich das Risiko einer Strafe mit Bußgeldzahlung erheblich.

4. Schritt: Die Umsetzung

Anschließend erfolgt die Umsetzung der getroffenen Entscheidungen in der jeweiligen KRITIS-Organisation, die die verbundenen Projektschritte mit Zeitplan, Verantwortlichkeiten und möglicher Hinzunahme externer Dienstleister plant. Wichtig ist hier auch wieder die Dokumentation: Die Projektplanung und die Umsetzung der Maßnahmen muss auf Grundlage des KRITIS 2.0-Gesetzes gut dokumentiert sein. Auf diese Weise lässt sich im Störungsfall transparent nachweisen, dass entsprechende Sicherheitsrisiken beim Betrieb der IT-Netzwerkinfrastruktur bedacht worden sind und bewusst gehandelt wurde.

5. Schritt: Regelmäßige Überprüfung

Mit einem einzigen Durchlauf in Form von Risikobewertung, Auflistung, Entscheidung und Umsetzung kann die Netzwerksicherheit in KRITIS-Organisationen nur kurzfristig und nicht dauerhaft gewährleistet werden. Deshalb müssen die vier Schritte zur Überprüfung von Risiken und der Umsetzung von Maßnahmen regelmäßig wiederholt werden. Auch wenn das KRITIS 2.0-Gesetz keine explizite Wiederholung der Sicherheitsbewertung fordert, ist ein jährlich stattfindender Regeltermin zur Überprüfung aktueller und eventuell neuer Risiken, der vorhandenen Maßnahmen und der getroffenen Entscheidungen empfehlenswert. In einigen besonderen Fällen empfiehlt sich ein kürzerer Turnus der regelmäßigen Überprüfung.

Fazit

Die zunehmende Bedrohung durch Cyberangriffe verpflichtet KRITIS-Organisationen, ihre Netzwerksicherheit systematisch zu bewerten und umfassend zu planen. Das KRITIS 2.0-Gesetz bietet hierfür einen wichtigen Rahmen, der die Sicherheitsanforderungen verschärft hat und eine Risikobewertung, Dokumentation und Überprüfung der IT-Infrastruktur vorschreibt. Die fünf beschriebenen Schritte dienen als praxisnaher Leitfaden, um den gesetzlichen Vorgaben gerecht zu werden und die Resilienz der Kritischen Infrastruktur zu erhöhen. Durch diesen strukturierten Ansatz können KRITIS-Organisationen ihre IT-Netzwerke nicht nur nachhaltig schützen, sondern durch die entsprechende Dokumentation auch nachweisen, dass sie proaktiv und verantwortungsvoll gehandelt haben.

Sie benötigen Unterstützung bei der Risikobewertung oder der Planung von Maßnahmen zur Erhöhung der Netzwerksicherheit in der Kritischen Infrastruktur? Unsere NETHINKS-Experten stehen Ihnen gerne persönlich zur Verfügung und unterstützen Sie mit Hilfestellungen für einen störungsfreien Netzwerkbetrieb.