04/25/2024 | News release | Distributed by Public on 04/25/2024 08:15
Satelliten zählen natürlich zur kritischen Infrastruktur - nach dem Gesetz als "KRITIS" reguliert ist bisher jedoch nur ein kleiner Teil ihrer Bodenstationen.Die Veranstaltung eco meets DLR im April beleuchtete die künftigen rechtlichen Auswirkungen der NIS2 und des KRITIS Dachgesetzes und gab konkrete Beispiele, um sich auf Angriffe bestmöglich vorzubereiten.
Im Weltall gibt es keine Müllabfuhr. Die Abfälle, die sich auf der Internationalen Raumstation ISS ansammeln, verfrachten die Astronautinnen und Astronauten in eines der Versorgungsmodule, die regelmäßig an der Station andocken. Ist das Modul voll, lässt man es in der Erdatmosphäre verglühen.
Ebenso wie die Müllentsorgung muss auch die Informationstechnologie (IT) zuverlässig und kontrolliert funktionieren - das gilt auf der Erde genauso wie im All. Beides zählt zur kritischen Infrastruktur (KRITIS), die für die Daseinsvorsorge unserer Gesellschaft unentbehrlich ist. Diese Infrastruktur muss daher widerstandsfähig sein, das fordern EU und Bundesregierung auch ein: Das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) fordern mehr Resilienz und physische Sicherheit für kritische Infrastrukturen und eine Stärkung der Cybersicherheit.
Welcher Schutz kritischer Infrastrukturen ist angemessen?
Die Gesetzeslage ist aktuell sehr komplex, da mit KRITIS-DachG und NIS2UmsuCG zwei Gesetze für mehr Cybersecurity und Resilienz sorgen. Das NIS2UmsuCG soll im Herbst 2024 in Kraft treten. Es überführt die EU-weiten Cybersicherheitsanforderungen der EU-Richtlinie NIS2 in die deutsche Regulierung und wird zigtausende Unternehmen in Deutschland betreffen. Im Rahmen des Treffens der eco Kompetenzgruppe KRITIS am 9. April beim Deutschen Zentrum für Luft- und Raumfahrt (DLR) gab Dr. Daniel Lichte, Abteilungsleiter Resilienz- und Risikomethodik am DLR-Institut für den Schutz terrestrischer Infrastrukturen, einen Überblick über den Stand der Dinge beim KRITIS-Dachgesetz. "KRITIS-Betreiber sind in der aktuellen Situation gezwungen, auf den finalen Gesetzentwurf zu warten. Gleichzeitig sollten sie bereits jetzt ihre interne Kompetenz zum Thema Risikomanagement stärken. Wichtig ist auch, dass die KRITIS-Betreiber sich über ihre Branchenverbände an den Verfahren zur Gesetzgebung beteiligen und an Standards zur Resilienz mitarbeiten", sagt Daniel Lichte.
Fünf To-Dos für Betreiber kritischer Infrastrukturen
"Jetzt ist die Zeit, in der Betreiber kritischer Anlagen gut beraten sind, für mehr Cyber-Resilienz zu sorgen", sagte Ulrich Plate, nGENn GmbH und Leiter der eco Kompetenzgruppe KRITIS. Bis zur Umsetzung im Oktober 2024 sollten die in Deutschland unmittelbar betroffenen rund 29.000 Unternehmen und Einrichtungen tunlichst NIS2-ready sein. Weil künftig auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden, fällt das nicht allen leicht. Gleichzeitig werden die Anforderungen deutlich anspruchsvoller. "Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen", so Plate.
Neu ist aber auch: Das Gesetz gibt konkrete Vorgaben, wie sich Unternehmen verhalten müssen. Aus dem künftig verbindlichen Maßnahmenkatalog gibt Ulrich Plate fünf Tipps für die Cybersicherheits- Compliance:
Welches die häufigsten Geschäftsrisiken weltweit sind - angefangen bei Cyber-Vorfällen bis zu Feuer oder dem Klimawandel - und wie sich Organisationen mittels Business Continuity Management (BCM) davor wappnen, das berichtete Sandro Cumini von der Swiss IT Security Group. "Das Business Continuitiy Management ist ein strategischer Ansatz, um sicherzustellen, dass eine Institution in der Lage ist, essenzielle Geschäftsprozesse auch unter extremen Bedingungen aufrechtzuerhalten", so Cumini. Das verpflichte Betreiber kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen - etwa in Form eines BCM - zu treffen.
Pentesting macht Cybersicherheit realistisch bewertbar
Für mehr Resilienz sorgen zudem Pentests, das zeigten Benjamin Tiggemann und Daniel Bergers von der NetCologne IT Services. Sie erläuterten unterschiedliche Penetrationstests und warum diese ein kritischer Bestandteil der Cybersicherheitsstrategie eines Unternehmens sein sollten. "Pentests sind durch nichts zu ersetzen, da sie zeigen, ob Sicherheitsmaßnahmen greifen und transparent machen, wie angreifbar ich wirklich bin", sagt Benjamin Tiggemann. Denn die Trickkiste der Cyberangreifer, etwa im Bereich Social Engineering, ist groß. Hilfreich seien etwa Purple-Team-Übungen, um reale Angriffe zu simulieren. Ein rotes Team gibt sich dabei als Angreifer aus, während das blaue Team die IT-Infrastrukturen verteidigt.
Nach einer stärkenden Mittagspause bot das DLR einen Rundgang über den DLR-Campus an mit vielen interessanten Impressionen - unter anderem aus dem Trainingsbereich für künftige Astronaut:innen. In einem Nachbau des Columbus-Moduls der ISS können die Astronauten in Köln-Porz trainieren und erfahren, wie lebenswichtig kritische Infrastruktur im Weltraum und auf der Erde sind - ob es nun darum geht, den Müll zu entsorgen oder die IT-Komponenten optimal zu schützen.