Kennen Sie den Begriff KRITIS? Der Begriff steht für „kritische Infrastruktur“. Wenn von KRITIS die Rede ist, geht es in erster Linie um den Schutz der Bevölkerung, bzw. um das Funktionieren der Gesellschaft.
Was zur kritischen Infrastruktur gehört, welche Sicherheitsrisiken es gibt und warum sie einen besonderen Schutz benötigen, erfahren Sie bei uns.
Unser Beitrag über KRITIS im Überblick:
Was ist KRITIS?
Zu KRITIS, so sagt es das BSI (Bundesamt für Sicherheit in der Informationstechnik) gehören „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen.“ Wenn kritische Infrastrukturen ausfallen hat das Auswirkungen auf die Bevölkerung – und zwar in erheblichem Maße: Es käme zu nachhaltig wirkendenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatische Folgen.
Das bedeutet: Zur kritischen Infrastruktur gehören laut IT-Sicherheitsgesetz Unternehmen, die für die Versorgung der Bevölkerung wichtig sind. Das Messkriterium liegt bei einem Wert von 500.000. Ist also bei einer Störung, beispielsweise durch einen Cyberangriff, die Versorgung von einer halben Million Menschen gefährdet, gehört dieser Betrieb zur kritischen Infrastruktur.
Laut BSI-KRITIS-Verordnung gehören Betrieben aus den Bereichen Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr dazu. Hinzu kommen als Schwellenwerte die Produktionsmenge, das Transportvolumen und die produzierte Energie.
Ob Energie, Ernährung oder Wasserversorgung – das und noch viel mehr gehört zur kritischen Infrastruktur. Bild: tuastockphoto/stock.adobe.com
Digitales Netzwerk und IT-Sicherheit
Jedes Unternehmen kann also in die kritischen Infrastrukturen reinwachsen – wenn er eine IT hat, die am Umschlag der Waren beteiligt ist. Arbeitet aber beispielsweise ein Stromversorger nur mit Stift und Papier und nutzt er keinerlei IT, dann gehört er nicht zu KRITIS, egal wie groß er ist.
Allerdings sind heutzutage nahezu alle Systeme, die wir im täglichen Leben nutzen, digital miteinander verbunden. Die Folge: Hat ein Angreifer Zugriff auf ein Element der kritischen Infrastruktur, ist es für ihn ein Leichtes, den größtmöglichen Schaden anzudrohen, um die eigenen Forderungen erfüllt zu bekommen. Denn auch hier geht es in erster Linie ums Geld.
Während noch vor wenigen Jahren die Vorstellung, dass eine Kleinstadt durch eine Attacke von Cyberkriminellen lahm gelegt wird, nur Stoff für Katastrophenfilme war, sieht es heutzutage ganz anders aus. Hacker können in sensible Systeme eindringen und beispielsweise die Wasserversorgung kapern, Krankenhäuser lahmlegen oder Stadtverwaltungen übernehmen.
Der Grund dafür ist häufig mangelhafte IT-Sicherheit zusammen mit völlig veralteter IT. Ein Beispiel dafür ist, dass in Behörden zum Teil immer noch Windows 7 verwendet wird. Dabei hat Microsoft den Support für Windows 7 bereits im Januar 2020 eingestellt.
Gehört Ihr Betrieb zur KRITIS? Hinweise!
Damit die Bevölkerung vor den Auswirkungen solcher Cyberattacken bestmöglich geschützt ist, gibt es die KRITIS-Verordnung vom BSI und das IT-Sicherheitsgesetz. Aber wissen Sie, ob Ihr Unternehmen zur kritischen Infrastruktur gehört? Zwar kann nur eine Einzelfallprüfung klären, ob ein Unternehmen zur kritischen Infrastruktur gehört, aber drei Faktoren bieten einen ersten Hinweis:
- Eine Dienstleistung gilt immer dann als kritisch, wenn sie in einem regulierten Sektor erbracht wird und die Menge den festgelegten Schwellenwert überschreitet. Allerdings ist eine Beurteilung nicht immer so einfach zu treffen, wie beispielsweise im Bereich der Krankenhäuser. Hier ist der Schwellenwert auf Basis der „vollstationären Fälle“ eindeutig definiert. In der Logistik aber ist es komplizierter.
- Wie werden Dienstleistungen und Waren gezählt? Was ist der Schwellenwert? Das Beispiels Logistik zeigt die Problematik: Sie rechnet international in Twenty-foot Equivalent Units (TEU). Das bedeutet: Zwanzig-Fuß-Standardcontainer. Was die Ladung in den jeweiligen Containern wiegt, weiß der Logistiker nicht unbedingt, ihn interessiert nur die Menge an Containern. Der Gesetzgeber hingegen rechnet in Tonnen, also in Gewicht.
- Wie vernetzt oder autark ist ein Unternehmen an einzelnen Standorten? Hat ein Unternehmen zwar viele Standorte, hat jeder Standort aber eine eigenständige IT-Infrastruktur, gehört der Betrieb möglicherweise nicht zur KRITIS. Betreibt ein Unternehmen die IT aber zentral als „gemeinsame Anlage“, sieht es anders aus.
Werden Schwellenwerte erreicht oder überschritten, gelten für KRITIS-Betreiber die gesetzlichen Melde- und Nachweispflichten. Sie sind gegenüber dem BSI zu erfüllen.
Datenschutz, sichere Passwörter und beschränkte Zugriffsrechte sind ein Grundsäule für mehr Datensicherheit in Unternehmen. Bild: Dilok/stock.adobe.com
Pflichten von KRITIS-Betreibern
Wenn ein Betrieb oder ein Unternehmen zur KRITIS, also der kritischen Infrastruktur gehört, hat dieser Betrieb Pflichten:
- Wenn ein Unternehmen feststellt, dass es zur kritischen Infrastruktur zählt, muss es sich beim BSI registrieren und zudem jährlich auf Basis der Vorjahreszahlen die Prüfung des Schwellenwertes durchführen.
- Das BSI benötigt eine feste Kontaktstelle in Ihrem Betrieb, die 24/7 erreichbar ist und als Schnittstelle zwischen Betreiber und Behörde funktionieren soll. Hierüber bekommt der Betrieb Infos zu Bedrohungen und zum Lagebild vom BSI und meldet eigene Sicherheitsvorfälle.
- KRITIS-Betriebe müssen Prozesse einführen, um Sicherheitsvorfälle zuverlässig zu erkennen. Außerdem müssen definierte Meldewege dokumentiert und den beteiligten Mitarbeitern bekannt sein.
- Ein Betrieb, der zur kritischen Infrastruktur gehört, muss eine IT-Sicherheit nach neuestem Stand und Vorgaben des BSI haben. Die sollte grundsätzlich zwar jede Firma haben, aber bei KRISTIS-Betreibern ist es Pflicht. Zudem müssen sie alle zwei Jahre nachweisen, dass Ihr Unternehmen IT-Sicherheit nach neuestem Stand umsetzt.
Lassen Sie sich von Experten für IT-Sicherheit wie Ihrem PC-SPEZIALIST vor Ort beraten, wie es um Ihre IT-Sicherheit bestellt ist. Am einfachsten geht das mit der Infrastrukturanalyse und anschließender ausführlicher Dokumentation.
Betriebe im Visier von Kriminellen
Warum ist es überhaupt wichtig, dass Betriebe, die zur kritischen Infrastruktur gehören, so sehr auf die IT-Sicherheit achtgeben müssen? Weil von Cyberangriffen auf sie das Funktionieren der Gesellschaft abhängt. Was passiert beispielweise, wenn ein Trinkwasserunternehmen von Kriminellen blockiert wird, die IT eines Krankhauses oder einer Stadtverwaltung von Hackern lahmgelegt wird? Stromversorger keinen Strom mehr liefern können oder Lebensmittelkonzerne keinen Zugriff mehr auf Bestellungen der Supermärkte haben? Das gesellschaftliche Leben gerät aus den Fugen und die Folgen können dramatisch sein.
Doch wie können sich Betriebe aller Art und besonders die, die zu KRITIS gehören, am besten vor Cyberbedrohungen schützen? Eins sollte jedem klar sein: Jeder Betrieb ist nur so sicher, wie sein schwächstes Glied. Das kann veraltete Hard-und Software sein, für die es keinen Sicherheitsupdates mehr gibt, so dass Schwachstellen zur Gefahr werden. Hier spielen auch Altsysteme eine Rolle, die eventuell in Vergessenheit geraten sind, aber immer noch an die IT-angekoppelt sind.
Ob Büroangestellter oder Chef – Cyberkriminelle versuchen über Mitarbeiter an geschützte Daten zu kommen. Bild: DC Studio/stock.adobe.com
Schwachstelle Mensch als Angriffsziel
Genauso ist es die Schwachstelle Mensch, die immer wieder dazu führt, dass Firmen zum Opfer von Hackergruppen werden. Beispiele dafür sind der BEC-Betrug und CEO-Fraud, aber auch das Tailgaiting. Und auch Führungskräfte sind immer mehr von Cyberangriffen betroffen. Die Schwachstelle Mensch ist also nicht auf Mitarbeiter allein zu reduzieren, wie Sie auch im Blogbeitrag Whaling nachlesen können. Und bei Betrieben, die mit Zulieferern arbeiten, sind natürlich auch die Lieferanten möglichen Angriffen ausgesetzt.
Cyberkriminelle suchen sich also nicht immer den direktesten Weg, um einen Angriff starten zu können. Vielmehr halten sie Ausschau nach vergessenen Systemen, Mitarbeitern oder Zulieferern mit Schwachstellen im System. Dazu gehören veraltete und nicht gepatchte Software, Fehlkonfigurationen oder schwache Authentifizierungsmethoden. Das sind die idealen Einfallstore für Cyberkriminelle, um auf Systeme zuzugreifen und sie ohne weitere Schwierigkeiten zu überwinden.
Beispiel REvil und Kaseya
Ein Beispiel für den Erfolg von Cyberkriminellen dank nicht gepatchter Sicherheitslücken bietet der Angriff der Hackergruppe REvil auf den IT-Dienstleister Kaseya. Zwar hatte Kaseya ein Programm zur Offenlegung von Schwachstellen installiert. Und dieses Programm hatte auch sieben Schwachstellen gemeldet. Doch nur vier davon hatten die Verantwortlichen bis zum Angriff durch REvil patchen können.
Die Folge: Zahllose weitere Unternehmen sind Opfer dieser Attacke geworden. Insgesamt hatte der Angriff auf Kaseya zur Folge, dass weltweit 2000 Unternehmen in Mitleidenschaft gezogen worden waren. REvil selbst gab an, dass es mit der aktuellen Erpresserwelle Millionen an Systemen verschlüsselt hat. Die Ursache lag dabei nicht bei den Betroffenen selbst, sondern beim Dienstleister Kaseya. Dieses Beispiel zeigt, dass Unternehmen zwar über Cybersecurity-Programme verfügen, aber dennoch Opfer eines Angriffs aufgrund einer Schwachstelle in einem fremden Netzwerk werden können.
Findet verdächtige Aktivitäten statt, müssen sie frühzeitig erkannt werden, um Schaden zu verhindern. Bild: Nomad_Soul/stock.adobe.com
Angriffe auf KRITIS erkennen
Für alle Unternehmen, aber besonders für die, die zur kritischen Infrastruktur zählen, ist das frühzeitige Erkennen eines Angriffs elementar. Nur so können Sie weitreichende Folgen verhindern.
Ein Beispiel dafür ist der Hack des Houstoner Hafens. Er ereignete sich im September 2021. Allerdings verhinderte das frühzeitige Erkennen ungewöhnlicher Aktivitäten in dem angegriffenen Netzwerk Schlimmeres. Das Sicherheitsteam reagierte rechtzeitig und schaltete die Systeme ab, noch bevor das Netzwerk beeinträchtigt wurde oder Daten gestohlen werden konnten. Von Bedeutung war hier die kurze Reaktionszeit. Prävention ist das einzige Mittel, das wirklich Schutz vor Cyberangriffen bietet.
Mittlerweile gibt es sogenannte ethischer Hacker, also Hacker, die im Auftrag einer Firma, die IT-Sicherheit überprüfen und so mögliche Schwachstellen aufdecken. Betriebe profitieren vom Feedback dieser Sicherheitsspezialisten, durch die sie Gegenmaßnahmen schneller ergreifen können. Und Sicherheitsteams, die kritische Infrastrukturen verwalten, können gefährliche Aktivitäten schnell erkennen und Cyberkriminelle an ihren Aktivitäten hindern, noch bevor sie Schaden anrichten können.
Transparenz schafft Vertrauen
Jeder Betrieb, egal ob Big Player und KRITIS-Betreiber oder der Handwerksbetrieb von nebenan: Wer sensible Daten digital speichert, muss eine funktionieren IT haben. Hacker verschlüsseln, klauen und veröffentlichen nämlich nicht nur Ihre Daten. Sie sorgen auch dafür, dass die Firma einen schlechten Ruf bekommt. Denn wer möchte schon, dass seine Kundendaten im Darknet wiederzufinden sind? Firmen, die Opfer einer schwerwiegenden Hackerattacke werden, müssen als Folge vielleicht um ihre Existenz kämpfen.
Hier hilft nur Offenheit und Transparenz. Denn nur durch die Weitergabe von Wissen, kann anderen geholfen werden, nicht auf dieselbe Masche hereinzufallen. Zudem schaffen Firmen durch den offenen Umgang mit Datenpannen Vertrauen.
Ein guter Passwortschutz ist das Mindeste, was zu tun ist. Für KRITIS-Betreiber steht mehr auf dem Programm. Bild: Miha Creative/stock.adobe.com
Mehr Sicherheit dank IT-Basisschutz
Letztlich gibt es nur einen Weg, wie vor allem KRITIS-Betreiber den wachsenden Cyber-Bedrohungen effektiv begegnen können: Durch die Zusammenarbeit von Industrie, staatlichen Stellen und der Öffentlichkeit, indem sie Kräfte bündeln, aus früheren Erfahrungen lernen und Vertrauen aufbauen.
Auch wenn Sie kein KRITIS-Betreiber sind, sondern nur eine kleine Firma haben – auch Ihnen droht die Gefahr eines Cyberangriffs, wenn Ihre IT nicht auf dem neuesten Stand ist. Lassen Sie sich von PC-SPEZIALIST beraten, welche Möglichkeiten Sie für mehr Sicherheit haben.
Fragen Sie zudem nach dem IT-Basisschutz. Er hat nicht nur Ihre Sicherheit im Blick, sondern ist auch DSGVO-konform – und das alles nicht einmalig, sondern regelmäßig wiederkehrend. Sie haben Fragen? Nehmen Sie Kontakt zu uns auf.
_______________________________________________
Andere Stimmen zum Thema: it-daily, bsi.bund, bski, fides-online
Schreiben Sie einen Kommentar