Kritische Infrastrukturen (KRITIS) sind in den letzten Jahren zu Goldgruben für Hacker geworden. Die Kriminellen wissen um ihre Bedeutung für das alltägliche Leben und gelangen über Angriffe auf wichtige Versorgungsunternehmen zu Geld und Aufmerksamkeit. Die lukrativste und derzeit meistverbreitete Angriffsmethode sind Ransomware-Angriffe, über die Hacker die Daten ihrer Opfer verschlüsseln und erst gegen Lösegeld wieder freigeben. Ein weiterer illegaler Geschäftszweig und gleichzeitig ein Hebel der Erpresser ist der Verkauf der sensiblen Informationen im Darknet. Die Hacker spekulieren auf die Gefügigkeit der Betroffenen, denn sie wissen um den Wert der Daten für den Tagesbetrieb und um die Wichtigkeit von KRITIS-Betreibern für die Zivilgesellschaft. Der zeitweise Ausfall systemkritischer Dienstleister und Versorger zieht nicht nur weite Kreise in den Medien, sondern schürt auch Verunsicherung in der Bevölkerung – das gehört zur Strategie der Hacker.

Die rapide ansteigende Zahl von Cyber-Angriffen auf KRITIS-Betreiber und Unternehmen jeder Größe und Branche ist nicht nur in Deutschland, sondern in ganz Europa zu einer flächendeckenden Bedrohung geworden. Mit dem Ziel, ein einheitliches IT-Sicherheitsniveau für KRITIS in den Mitgliedsstaaten zu etablieren, verabschiedete die Europäische Union (EU) daher im Jahr 2016 die NIS-Richtlinie. Auf dieser Grundlage entwarf der deutsche Gesetzgeber das IT-Sicherheitsgesetz 2.0. Mit der Einführung der NIS2-Richtlinie werden die KRITIS-Betreiber auf den aktuellen Stand gebracht. Die NIS2-Richtlinie wurde im Dezember 2022 vom Europäischen Parlament und dem Europarat verabschiedet und muss bis zum 17. Oktober 2024 in den EU-Mitgliedsstaaten umgesetzt werden. Ein Referenten-Entwurf zur Umsetzung der NIS2-Richtlinie in nationales Recht verdeutlicht die neuen Rahmenbedingungen, die auf die KRITIS-Betreiber zukommen.

NIS2: Es gibt insgesamt 18 ­definierte Sektoren, die in elf Sektoren hoher Kritikalität und sieben sonstige kritische Sektoren unterteilt sind

Sektoren mit hoher Kritikalität:

• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (Business-to-Business)
• Energie
• Finanzmarkt-Infrastrukturen
• Trinkwasser
• Abwasser
• Verkehr
• Bankwesen
• Öffentliche Verwaltung
• Gesundheitswesen
• Weltraum

Sonstige kritische Sektoren:

• Anbieter digitaler Dienste
• Post- und Kurierdienste
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe/Herstellung von Waren
• Forschung
• Abfallbewirtschaftung

Anwendungsbereich von NIS2 wird um KMU erweitert

Im Vergleich zur vorherigen Richtlinie wurde der Anwendungsbereich von NIS2 erweitert. Dabei sind zwei Faktoren bei der Einstufung einer Organisation oder eines Unternehmens entscheidend: die Sektor-Zugehörigkeit und die Unternehmensgröße. Es gibt insgesamt 18 definierte Sektoren, die in elf Sektoren hoher Kritikalität und sieben sonstige kritische Sektoren unterteilt sind (siehe Tabelle).

NIS2 bezieht nun auch KMU (kleine und mittlere Unternehmen) in ihren Geltungsbereich ein. Mittlere Unternehmen beschäftigen zwischen 50 und 250 Mitarbeitern und verzeichnen entweder einen Jahresumsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von maximal 43 Millionen Euro. Kleine Unternehmen hingegen beschäftigen weniger als 50 Personen und erzielen einen Jahresumsatz oder eine Bilanzsumme von höchstens 10 Millionen Euro.

Die Zuordnung einer Organisation erfolgt auf der Grundlage der Sektor-Kategorie und der genannten Kennzahlen. Organisationen lassen sich leicht in die Kategorien einordnen: Ein Unternehmen wird als wesentlicher (englisch: „essential“) KRITIS-Betreiber betrachtet, wenn es zu den Sektoren hoher Kritikalität gehört und die Kriterien für mittlere Unternehmen erfüllt oder übertrifft. Als wichtig gelten sämtliche Betreiber aus Sektoren hoher Kritikalität, die kleiner als mittlere Unternehmen sind, sowie Einrichtungen aus den sonstigen kritischen Sektoren. Allerdings gibt es Ausnahmen: Die NIS2-Richtlinie gilt auch für Einrichtungen, die aufgrund ihrer Monopolstellung oder speziellen Tätigkeit den wesentlichen Sektoren zugeordnet werden können, unabhängig von ihrer Unternehmensgröße.

Zeitgemäße Technologie für die Abwehr Cyber-Krimineller

Bereits in der ersten Version der EU-Richtlinie lag der Schwerpunkt auf der Verbesserung der IT-Sicherheit von Unternehmen durch „Risikomanagementmaßnahmen“. Die rasante Entwicklung der IT-Branche sorgt jedoch dafür, dass der Standard für solche Maßnahmen stets im Wandel ist. Die Pandemie hat den Innovationsdruck, der auf den Anbietern lastet, enorm verstärkt, denn allein das Homeoffice brachte neue Herausforderungen für Unternehmen mit sich. Mitarbeiter arbeiteten nicht mehr ausschließlich im sicheren Firmennetzwerk. VPN-Lösungen, einst als sicher angesehen, wurden zu potentiellen Einfallstoren für Malware, insbesondere wenn Mitarbeiter von unsicheren Privatgeräten auf das Firmennetzwerk zugreifen wollten. Aufgrund der verstärkten Abhängigkeit von digitaler Kommunikation erhöhte sich so die Angriffsfläche für private und öffentliche Einrichtungen sowie für die Bürger.

Um die Widerstandsfähigkeit der EU-Mitgliedsstaaten zu verbessern, listet NIS2 zehn Maßnahmen auf, die den IT-Standard widerspiegeln. Darunter fallen Technologien für Disaster Recovery und Business Continuity, die Unternehmen ermöglichen, Daten aus Sicherungskopien wiederherzustellen und die Arbeit nach einem Zwischenfall schnell fortsetzen zu können. Zu den vorgeschriebenen Maßnahmen gehört auch die Einführung sogenannter Systeme zur Angriffserkennung, die IT-Zwischenfällen sowohl vorbeugen als auch diese erkennen und daraufhin Alarm schlagen, außerdem regelmäßige Schulungen der Belegschaft zur Steigerung des Sicherheitsbewusstseins sowie die Implementierung einer MFA (Multi-Faktor-Authentifizierung) für Systemzugriffe. Auch Konzepte und Vorgänge zur Bewertung der Wirksamkeit des Risikomanagements in der IT-Sicherheit werden von der NIS2-Richtlinie vorgeschrieben. Das bedeutet, dass KRITIS-Betreiber regelmäßig prüfen müssen, ob die von ihnen getroffenen Maßnahmen wirksam sind und den derzeitigen IT-Bedrohungen gerecht werden.

Wann IT-Zwischenfälle meldepflichtig sind

Das öffentliche Leben wird in hohem Maße von Kritischen Infrastrukturen zusammengehalten. Sie verteilen (lebens-)wichtige Ressourcen wie Trinkwasser, Strom, Nahrungsmittel und Informationen, erledigen Transportdienstleistungen oder verhindern über die Abfallentsorgung und Wasseraufbereitung, dass Gefahren durch Hygienemängel entstehen. Sie schaffen die Rahmenbedingungen für das gesellschaftliche Zusammenleben. Bei einem Stromausfall oder einer Verunreinigung des Trinkwassers müssen Behörden und die Öffentlichkeit schnellstmöglich informiert werden. Betriebsstörungen, finanzielle Verluste und schwerwiegende Schäden für juristische oder natürliche Personen gehören zu den meldepflichtigen Sicherheitsvorfällen. KRITIS-Betreiber, bei denen Notfälle dieser Art auftreten, müssen das Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden benachrichtigen und innerhalb von 72 Stunden eine erste Bewertung mit einer Einschätzung des Schweregrads vorlegen. Obendrein müssen sie dem BSI spätestens einen Monat nach dem Zwischenfall einen Abschlussbericht zusenden.

Lieferketten absichern, Domino-Effekte vermeiden

Lückenlose IT-Sicherheit ist für jedes Unternehmen unerreichbar, solange seine Zulieferer sich nicht ebenfalls an hohe Sicherheitsstandards halten. Jedes einzelne Unternehmen in der Wertschöpfungskette kann zum Ziel eines sogenannten Lieferkettenangriffs (Supply-Chain-Attack) werden. Bei dieser Art von Angriff versuchen die Kriminellen, eine Schwachstelle auszunutzen oder Malware in die Lieferkette eines Unternehmens oder einer Organisation einzuschleusen, um Zugriff auf deren Netzwerke zu erlangen. Das gefährdet sensible Daten und Informationen über sämtliche Prozesse sowie beteiligte Rohstofflieferanten und Logistikunternehmen, die zur Herstellung und Bereitstellung eines Produkts oder einer Dienstleistung beitragen. Deshalb ist die Liste der möglichen Opfer so lang wie die Lieferkette selbst.

Mehr denn je gilt bei Wertschöpfungsketten bezüglich der IT-Sicherheit, dass jede Kette nur so stark ist wie ihr schwächstes Glied. Die Europäische Union hat erkannt, dass derartige Lieferkettenangriffe einen verheerenden Domino-Effekt haben können. Daher verpflichtet NIS2 wesentliche und wichtige Einrichtungen dazu, ihre Lieferketten zu prüfen. Die Ausführungen zu diesem Punkt sind jedoch recht allgemein gehalten, sodass die KRITIS-Betreiber die Angemessenheit der von ihnen ergriffenen Maßnahmen selbst bewerten müssen. Die Richtlinie weist darauf hin, dass auch die Beziehungen zwischen den Einrichtungen in Betracht gezogen werden sollten und die Gesamtsicherheit in Bezug auf die IT ebenso bewertet werden muss wie der Entwicklungsprozess.

Neuer Referenten-Entwurf als Anleitung

Mittlerweile liegt ein Referenten-Entwurf zur Überführung der NIS2-Richtlinie in nationales Recht vor. Die Vorgaben der Richtlinie sollen Im Rahmen des NIS-2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetzes (NIS2UmsuCG) in die deutsche Gesetzgebung integriert werden. Zwar handelt es sich hierbei lediglich um einen Entwurf, trotzdem kann davon ausgegangen werden, dass sich die Anforderungen an die KRITIS-Betreiber und Einrichtungen durch dieses Gesetz ändern werden. Das bisherige BSI-Gesetz (BSIG) wird durch das NIS2UmsuCG neu strukturiert und um Aspekte von NIS2 ergänzt. Die bestehenden Forderungen werden teilweise schärfer formuliert und präzisiert.

Der neue Entwurf betont besonders das Risikomanagement für besonders wichtige und wichtige Einrichtungen. Der genaue Wortlaut besagt, dass KRITIS-Betreiber „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ ergreifen müssten, um „Störungen ... zu vermeiden und Auswirkungen ... zu verhindern oder möglichst gering zu halten.“ (§ 30 (1)). Besagte Maßnahmen sollen dem aktuellen technologischen Standard entsprechen und gleichzeitig die „einschlägigen europäischen und internationalen Normen“ berücksichtigen (§ 30 (2)). Laut dem Entwurf sollen besonders wichtige Betreiber verpflichtet werden, gegenüber dem BSI die Umsetzung dieser Maßnahmen nachzuweisen. Dies soll alle zwei Jahre in Form von Sicherheits-Audits, Prüfungen oder Zertifizierungen erfolgen.

Strafen vermeiden und bei Audits brillieren

KRITIS-Betreiber, die sich frühzeitig mit der Überführung der NIS2-Richtlinie auseinandersetzen, haben die Zeit auf ihrer Seite. Der Referenten-Entwurf verdeutlicht die Dringlichkeit der Umsetzung. Wer sich rechtzeitig damit beschäftigt, ist nicht nur auf dem ohnehin unverzichtbaren aktuellen Stand der IT-Sicherheit, sondern erspart sich auch empfindliche Strafen, die bei einer nachlässigen Implementierung drohen. Vieles deutet darauf hin, dass der Bundestag mit der Umsetzung der Richtlinie in nationales Recht eine dritte Version des IT-Sicherheitsgesetzes verabschieden wird. Diese könnte auch die Verpflichtung zu Sicherheits-Audits, Prüfungen oder Zertifizierungen umfassen.

KRITIS-Betreiber sollten diese vorerst noch freiwilligen Audits bereits als Gelegenheit ansehen, um ihre eigenen IT-Sicherheitsmaßnahmen von unabhängigen Experten prüfen und zertifizieren zu lassen. Auf diese Weise können sie die Maßnahmen leichter an aktuelle Standards und zukünftige gesetzliche Anforderungen anpassen. Wer dies möglichst früh angeht, der hat auch noch ausreichend Zeit für möglicherweise nötige Nachbesserungen.