IT-Sicherheitsgesetz 2.0: Herausforderungen und Lösungen für KRITIS-Unternehmen

Mit dem neuen IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) werden Unternehmen der Kritischen Infrastruktur stärker in die Pflicht genommen, um sich und ihre IT-Umgebungen besser gegen Cyberangriffe zu schützen. Für die betroffenen Betreiber bedeuten die intensiveren und weitreichenderen Sicherheitsvorkehrungen eine Aufgabe, die auf vielen Ebenen zur echten Herausforderung werden kann.

Wir zeigen Ihnen, wie Sie zu einer passgenauen Cybersecurity-Strategie finden.

Höhere Anforderungen durch das neue IT-Sicherheitsgesetz

Das IT-SiG 2.0 umfasst eine Reihe von Neuerungen und Veränderungen, die zum Beispiel die Befugnisse und Zuständigkeiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) betreffen. Für Unternehmen hingegen gilt es, ab Mai 2023 erweiterte Sicherheitsmaßnahmen umzusetzen.

Neue Vorgaben für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Die gesetzlichen Änderungen, die für KRITIS-Unternehmen selbst relevant sind, beziehen sich auf mehrere Bereiche.

Zu den angemessenen organisatorischen und technischen Vorkehrungen, mit denen „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ von IT-Systemen, Komponenten und Prozessen vermieden werden sollen, gehört mit der Gesetzesänderung auch der verpflichtende Einsatz von Systemen zur Angriffserkennung. In § 8a Abs. 1a (Sicherheit in der Informationstechnik Kritischer Infrastrukturen) heißt es im Gesetzestext dazu:

Die geforderten Maßnahmen umfassen sowohl die technischen Werkzeuge als auch unterstützende Prozesse. Bereits 2022 hat das BSI eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (OH SzA) für die konkrete Umsetzung bereitgestellt.

Weitere Neuerungen im IT-SiG 2.0

Auf neue Pflichten müssen sich KRITIS-Betreiber außerdem in mehreren anderen Bereichen einstellen. Dazu gehören:

Insgesamt wurden die Rahmenbedingungen und Mindestanforderungen für die IT-Sicherheit in KRITIS-Unternehmen durch die Gesetzesnovelle konkretisiert beziehungsweise angehoben. Das Ziel ist dabei unter anderem, diese Betriebe besser bei der Gefahrenabwehr gegen fortschrittliche Angriffstechniken wie Ransomware aufzustellen.

Wo liegen die besonderen Herausforderungen des neuen IT-Sig 2.0 für Unternehmen?

Die Anforderungen der neuen IT-Sicherheitsgesetzgebung bedeuten für die betroffenen Unternehmen in vielerlei Hinsicht eine große Aufgabe. Die Herausforderungen liegen dabei nicht allein in der Verpflichtung zu umfangreicheren Cybersecurity-Maßnahmen, sondern auch in deren Umsetzung.

Notwendige Investitionen in Hardware, Software und Fachpersonal

Denn der konkrete Aufbau der erforderlichen Systeme zur Angriffserkennung ist mit erheblichem Aufwand verbunden – finanziell, personell und organisatorisch:

  • Die verpflichtenden Maßnahmen erfordern bei einer innerbetrieblichen Umsetzung umfangreiche Investitionen in geeignete Hard- und Software.
  • Für Monitoring, Gefahrenerkennung und -analyse sowie wirksame Reaktionen müssen die richtigen Prozesse im Unternehmen geschaffen werden.
  • Mit dem Aufbau und Unterhalt der Sicherheitssysteme und der Durchführung der beschriebenen Aufgaben korrekt durchgeführt werden und tatsächlich zu einer verbesserten IT-Sicherheit beitragen, braucht es entsprechend qualifizierte Fachkräfte.

    In diesem Zusammenhang wird der Fachkräftemangel in der Branche problematisch für die Unternehmen: Denn die dringend benötigten Sicherheitsexperten für IT-Umgebungen sind am Arbeitsmarkt entweder gar nicht verfügbar oder nur mit hohen Ausgaben für die Gehälter zu bekommen.

Aufbau, Integration und Betrieb von effizienten Systemen zur Angriffserkennung beanspruchen daher finanzielle und personelle Ressourcen in großem Umfang. Dabei geht es zunächst nur um die Einhaltung der gesetzlich vorgeschriebenen Mindeststandards.

Ein höheres Maß an Sicherheit – etwa durch ein umfassendes Security Operations Center (SOC) – lässt sich nur durch den Einsatz weiterer Mittel erreichen. Ungeachtet der Dringlichkeit der Aufgabe, muss deshalb auch die Frage der Wirtschaftlichkeit bedacht werden, damit KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse (UBI) geeignete Lösungen finden.

Was ist der „Stand der Technik“?

Obwohl das IT-SiG 2.0 eine Reihe neuer Begriffe einführt und genauer definiert (z. B. Protokollierungsdaten, kritische Komponenten, IT-Produkte, Systeme zur Angriffserkennung etc.), bleibt in einem wesentlichen Punkt eine gewisse Unsicherheit zurück: Denn das BSI fordert von den KRITIS- und UBI-Unternehmen, für die ausreichende Cybersicherheit nur Systeme zu verwenden, die dem „Stand der Technik“ entsprechen.

Was genau der Begriff meint, wird im IT-SiG 2.0 nicht weiter präzisiert. Die Beschreibung und Veröffentlichung der sicherheitstechnischen Anforderungen an IT-Produkte fällt aber in den Aufgabenbereich des BSI. Das Bundesministerium ist ebenfalls dafür zuständig, Hinweise zu angemessenen organisatorischen und technischen Vorkehrungen zu geben, damit die Technik up-to-date ist.

Vor allem für Unternehmen im besonderen öffentlichen Interesse ist das ein wichtiger Aspekt. Denn für sie gilt, dass sie mindestens alle zwei Jahre im Rahmen einer Selbsterklärung zur IT-Sicherheit gegenüber dem BSI nachweisen müssen, ob der Stand der Technik beim Schutz von schützenswerten IT-Systemen, Komponenten und Prozessen eingehalten wird.

Die kontinuierliche Anpassung der IT-Sicherheitsniveaus der Unternehmen an die Bedrohungslage, die das BSI anmahnt, wird also von Empfehlungen von Seiten des Bundesministeriums begleitet.

Mehr Prüfungen, Nachweise und Audits

Nicht nur die technischen Aspekte, die das IT-SiG 2.0 den betroffenen Unternehmen vorgibt, sind eine Herausforderung. Gleiches gilt für die Nachweise, die KRITIS-Betreiber und UBI bezüglich der getroffenen Maßnahmen regelmäßig erbringen müssen.

Dabei werden die Anforderungen gemäß der OH SzA und der „Reifegrad“ der Umsetzung beurteilt. Die Orientierungshilfe umfasst mehrere Bereiche, nämlich:

Das überarbeitete Gesetz zur IT-Sicherheit verpflichtet dazu, den aktuellen Stand der Sicherheitsvorkehrungen ab dem 1. Mai 2023 nachzuweisen. Genau wie die Umsetzung bedeutet auch die Prüfung einen erheblichen organisatorischen Aufwand. Unabhängig davon, ob eine Zertifizierung nach ISO 27001/27002, CE:2020 oder BSI KRITIS-Prüfungen erfolgt, sind Vorbereitungen, Self-Assessment und die Zusammenarbeit von unterschiedlichen Abteilungen zu koordinieren.

Vor allem bei der ersten Implementierung von Systemen zur Angriffserkennung ist es für die Unternehmen unter Umständen mühsamer Weg, die notwendigen Prozesse zu etablieren und abzustimmen. Da der Umfang von MUSS- und SOLL-Anforderungen an die Cybersecurity in Zukunft weiter anwächst, wird auch der Aufwand für die interne Selbstkontrolle und die gesetzlich geforderten Prüfungen nicht kleiner.

Welche Lösung passt am besten zum Unternehmen?

Eine zentrale Frage, die sich KRITIS-Betreiber und UBI im Hinblick auf ihre Cybersecurity-Vorkehrungen stellen müssen, lautet:

Wie lassen sich die Anforderungen an die IT-Sicherheit am effizientesten und wirksamsten realisieren?

Diese Frage ist deshalb so wichtig, weil sie mehrere Ebenen umfasst:

  • zum einen die Entscheidung zwischen dem Erfüllen der Mindeststandards oder einer weitreichenderen Sicherheitslösung;
  • zum anderen die Entscheidung zwischen einer eigenen Umsetzung der IT-Sicherheitsanforderungen oder einer Kooperation mit einem externen Anbieter.

Eine Antwort zu finden, wird nicht zuletzt dadurch erschwert, dass es für die technischen Komponenten einerseits nur Empfehlungen (ohne konkrete Vorgaben), andererseits aber ein großes Angebot gibt. Ohne die notwendige fachliche Qualifikation wird es unter solchen Voraussetzungen schwierig, eine geeignete Lösung zu finden.

SOC statt SIEM? Die Vorteile des Security Operations Center

Die Anforderungen des IT-SiG 2.0 zielen in erster Linie darauf ab, dass KRITIS-Unternehmen mögliche Bedrohungen umgehend erkennen. Das bedeutet, dass ein Security Information and Event Management-System (SIEM) die gesetzlichen Mindeststandards bereits erfüllt. Das SIEM

  • verbindet die Verwaltung von Sicherheitsinformationen mit der von Sicherheitsereignissen;
  • ermöglicht es, eine Echtzeitüberwachung und -analyse von Ereignissen durchzuführen;
  • kann Sicherheitsdaten für Compliance- und Prüfungszwecke verfolgen und protokollieren.

Mit einem SIEM sind KRITIS-Betreiber und UBI in der Lage, im Einklang mit den geforderten Vorgaben, Sicherheitsbedrohungen und Schwachstellen frühzeitig zu erkennen – und damit den sicheren Betrieb zu gewährleisten.

Die Möglichkeiten der Cybersecurity-Vorkehrungen sind damit aber keinesfalls ausgeschöpft. Ein Security Operations Center (SOC) ist in dieser Hinsicht sinnvoll, selbst wenn es laut IT-SiG 2.0 nicht erforderlich ist. Gegenüber einem SIEM bietet es eine Reihe von Vorteilen, denn:

  • Das SOC deckt alle Aufgaben des SIEM ab – und bietet somit Echtzeitüberwachung für die gesamte IT-Infrastruktur inklusive der Erkennung und Analyse von Bedrohungsdaten und Sicherheitsereignissen.
  • Daneben übernimmt das SOC weitere Funktionen, wie die Auswahl, den Betrieb und die Pflege der Sicherheitsmaßnahmen im Unternehmen. Ein Ziel – neben der Gefahrenerkennung – ist die stetige Verbesserung der Sicherheitsstandards.
  • Ein SOC erlaubt es außerdem, alle Tools und Prozesse für die Cybersicherheit zu vereinheitlichen und zu koordinieren. Durch diese Bündelung lassen sich alle relevanten Sicherheitsbereiche – Gefahrenerkennung, Sicherheitsrichtlinien und Prävention – verbessern.

Der wesentliche Unterschied zwischen einem SOC und dem SIEM besteht aber darin, dass der Operations Center im Fall eines Cyberangriffs eine wirksame Reaktion ermöglicht. Attacken werden somit frühzeitig erkannt und können umgehend bekämpft werden – ein erheblicher Zugewinn für die Cybersecurity für KRITIS-Betreiber und UBI.

Passgenaue Cybersecurity-Lösungen für KRITIS-Unternehmen

Grundsätzlich können sich Unternehmen – und zwar nicht nur aus dem Bereich der kritischen Infrastruktur – zwischen verschiedenen Wegen entscheiden, auf denen sie ihre IT-Sicherheit gewährleisten wollen: Entweder durch eine interne Umsetzung inklusive der technischen Ausstattung und des entsprechend geschulten Personals. Oder durch die Zusammenarbeit mit externen Spezialisten, die neben ihrer Expertise auch die technischen Grundlagen liefern.

Personeller Aufwand, Fachkräftemangel und Zeitdruck

Wenn die IT-Sicherheitsstruktur von Grund auf aufgebaut werden muss, um den Anforderungen des IT-SiG 2.0 zu genügen, ist das eine große und komplexe Aufgabe. Das gilt umso mehr, wenn die Sicherheitsvorkehrungen mehr können sollen, als Cyberangriffe bloß zu erkennen.

Noch schwieriger wird die vollumfängliche Umsetzung eines solchen Projekts mit Blick auf die Begleitumstände:

  • Die ablaufenden Fristen, bis zu denen die gesetzlichen Vorgaben nachweislich erfüllt sein müssen, erhöhen den Zeitdruck.
  • Umfang und Bedeutung der Aufgabe machen es erforderlich, geeignetes Fachpersonal zu finden – was angesichts des Fachkräftemangels eine zusätzliche Herausforderung bedeutet.

Alle diese Faktoren erschweren den Aufbau eines betriebsinternen SOC, das effizient, fristgerecht und konform mit den gesetzlichen Vorgaben für Schutz sorgen soll.

Managed SOC: Cybersicherheit von den Experten

Unter solchen Bedingungen kann es sinnvoller sein, das SOC an einen Dienstleister auszulagern. Auf diese Weise werden im Unternehmen keine personellen Kapazitäten gebunden, die Suche nach Fachkräften entfällt, genauso wie Aufbau und Organisation einer entsprechenden Abteilung für IT-Sicherheit. Dadurch lässt sich der Verwaltungsaufwand deutlich reduzieren.

Kostengünstige, skalierbare Rund-um-Lösung

Ein Managed SOC ist daher erheblich kostengünstiger als der Aufbau eines eigenen SOC und kann noch dazu schneller umgesetzt werden – damit ist es auch unter wirtschaftlichen Gesichtspunkten eine sinnvolle Lösung.

Trotzdem können die betroffenen Unternehmen auf Erfahrung und Expertise zurückgreifen – und zwar in allen Belangen. Die IT-Security-Lösungen von IT-HAUS sind ganzheitlich konzipiert: Mit Beratung, umfassenden Cyber Security Checks, technischer Implementierung, kontinuierlicher Überwachung der IT-Sicherheit im Unternehmen als Managed Service und vielen weiteren Leistungen decken wir alle wichtigen Bereiche ab und stehen unseren Kunden langfristig als zuverlässiger Partner zur Seite.

So sind Ihre Datacenter genauso effektiv abgesichert wie die von Ihnen genutzten Netzwerke, Cloud-Umgebungen und mobilen Endgeräte.

Kooperationen mit BSI-zertifizierten Partnern

Die Managed Security Angebote von IT-HAUS bedeuten eine wirkungsvolle Lösung aus einer Hand und ein durchgängiges Konzept für Hardware, Software und Services. Um einen optimalen Schutz und sofortige Hilfe bei Cyberangriffen gewährleisten zu können, kooperieren die Experten von IT-Haus mit anderen fachkundigen Dienstleistern.

Das Ergebnis einer solchen Zusammenarbeit ist die Managed Detection and Response (MDR), die wir gemeinsam mit Sophos anbieten. Damit sind Sie rund um die Uhr geschützt, denn das Sophos MDR spürt nicht nur potenzielle Bedrohungen auf, sondern leitet bei einem Angriff umgehend Gegenmaßnahmen ein.

Mit einer MDR-Lösung erhalten Unternehmen letztlich ein Managed SOC, das die gesetzlichen Anforderungen an die Gefahrenerkennung vollständig erfüllt – und in seinem Funktionsumfang sogar darüber hinausgeht. Mit den Möglichkeiten zur Gefahrenabwehr bieten Managed SOC und MDR daher ein Maß an IT-Sicherheit, das die Mindeststandards des IT-SiG 2.0 übertrifft.

Transparente Unterstützung für mehr IT-Sicherheit

Ein ausgelagertes SOC, bei dem externe Fachleute die vielfältigen und komplexen Aufgaben der IT-Sicherheit übernehmen, bedeutet jedoch keineswegs einen Verlust der Kontrolle. Im Gegenteil: IT-HAUS begleitet Sie mit persönlicher Betreuung und kontinuierlichem Reporting.

So behalten Sie jederzeit die volle Kontrolle über Ihre IT-Sicherheit – alles andere übernehmen wir für Sie.

Bild 1: Adobe Stock © putilov_denis
Bild 2: Adobe Stock © Pixel-Shot
Bild 3: Adobe Stock © svetlaborovko

Teilen Sie diese Seite oder kontaktieren Sie uns //