Neue KRITIS-Verordnung: Die IT-Sicherheit “boostern”
Christian Stüble, Rohde & Schwarz CybersecurityRohde & Schwarz
Kritische Infrastrukturen – zu denen auch Banken und Versicherungen zählen – sind ein gefragtes Angriffsziel bei Cyberkriminellen. Das ist an sich nichts Neues. Neu ist: Das BSI hat zum 1. Januar 2022 die Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS) angepasst. Wer die verbindlichen IT-Sicherheitsmaßnahmen missachtet, dem drohen nicht nur Daten- und Imageverlust, sondern nun auch horrende Strafzahlungen.
von Christian Stüble, Chief Technology Officer, Rohde & Schwarz Cybersecurity
Kein anderes Ziel ist für Cyberkriminelle lukrativer als Banken und Versicherungen. Der Grund liegt auf der Hand: Es gibt viele Daten und viel Geld zu erbeuten – also genau das, worauf Angreifer am meisten aus sind. Im Worst-Case-Szenario steht also nicht nur das Vertrauen der Kunden auf dem Spiel, wenn sensible Daten in die falschen Hände geraten, sondern noch schlimmer: Auch die Stabilität des gesamten Finanzsystems ist erheblich gefährdet. Aus diesem Grund zählen Banken zu den Kritischen Infrastrukturen. Diese müssen besonders hohe IT-Sicherheitsmaßnahmen umsetzen.
Infokasten: Hacker isolieren
Der wichtigste Schutz ist die Absicherung des Internetzugangs. Denn das Internet ist für Angreifer das Einfallstor Nummer Eins. Möglich ist das mit einem virtuellen Browser. Wichtig: Betriebssystem und Browser sowie Internet und lokales Netzwerk müssen komplett voneinander getrennt sein. Nur dann bleibt eindringende Schadsoftware in der virtuellen Umgebung eingeschlossen und kann sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten. Ein direkter Zugriff für Malware auf das Internet ist so ebenfalls proaktiv unterbunden und das Datenabgreifen wird verhindert. Der IT-Sicherheitsspezialist Rohde & Schwarz Cybersecurity hat mit dem „R&S®Browser in the Box“ einen solchen virtuellen Browser mit Netzwerktrennung im Auftrag des BSI entwickelt. Das Produkt erfüllt ebenso wie vom BSI zugelassene Lösungen besonders strenge Vorgaben und hohe Sicherheitsstandards. Sie erhöhen die IT-Sicherheit in KRITIS also signifikant.
Trotz hoher Standards hat das Finanz- und Versicherungswesen einen massiven Nachholbedarf bei der IT-Sicherheit. Die häufigste Ursache für Angriffe sind menschliche Fehler: Sieben von zehn Finanzunternehmen wurden Opfer von Cyberkriminalität durch die falsche Handhabung von E-Mail-Anhängen. Zu diesem Ergebnis kommt eine Studie des Research- und Analysten-Hauses techconsult. Auffällig im Vergleich zu anderen KRITIS-Sektoren:
Viele Unternehmen im Finanzsektor setzen weder technische noch organisatorische Maßnahmen zum Schutz vor E-Mail-basierten Bedrohungen ein.”
Neue KRITIS-Betreiber
Dass die IT-Sicherheit bei vielen systemrelevanten Unternehmen und Organisationen teils löchrig ist wie ein Schweizer Käse, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt. Aus diesem Grund hat die Behörde ihre Verordnung zur Bestimmung von KRITIS umfassend angepasst. Die neue Fassung gilt seit dem 1. Januar 2022 und soll KRITIS, also auch Banken und Versicherungen, besser vor Cyberbedrohungen schützen. KRITIS müssen besondere IT-Sicherheitsvorkehrungen treffen, die im IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) als strenge Schutzmaßnahmen und Meldepflichten definiert sind.
Mit der neuen Verordnung wurde der Kreis der als KRITIS eingestuften Unternehmen erweitert. Dafür bestimmte das BSI neue Schwellenwerte und Anlagen, die für die KRITIS-Einordnung maßgeblich sind. Im Finanzwesen gibt es nur marginale Veränderungen. Bei der Bargeldversorgung, dem kartengestützten und dem konventionellen Zahlungsverkehr bleiben die Schwellenwerte gleich. Beim Wertpapierhandel kommen hingegen drei neue Anlagen hinzu:
Handelsplätze mit 850.000 Transaktionen jährlich
Systeme zur Annahme und Weiterleitung von Kundenaufträgen mit einem Schwellenwert von 6,75 Millionen Transaktionen jährlich (Offizielle Bezeichnung: Erzeugen von Aufträgen zum Handel)
Systeme zur Prüfung von Depotbeständen mit einem Schwellenwert von 6,75 Millionen Transaktionen jährlich (Offizielle Bezeichnung: Sonstige Depotführung)
RSCS Desktop SecurityRohde und Schwarz
Für das Versicherungswesen hat das BSI einige Vereinfachungen vorgenommen. Waren in der bisherigen Verordnung die Anlagen „Vertragsverwaltungssystem“, „Leistungssystem“ und „Auszahlungssystem“ für Lebensversicherungen und private Krankenversicherungen doppelt aufgelistet, werden diese drei Anlagen nun zusammengefasst. Die Schwellenwerte bleiben dabei unverändert und liegen bei 500.000 Leistungsfällen (Lebensversicherung) und zwei Millionen Leistungsfällen (Private Krankenversicherung).
Strenge Meldepflichten
Doch was sind die Folgen dieser Anpassungen für als KRITIS eingestufte Banken und Versicherungen? Betreiber müssen zunächst eigenverantwortlich ihre KRITIS-Anlagen identifizieren. Das heißt:
Sie sind verpflichtet, jährlich bis zum 31. März zu prüfen, ob ihre Anlagen im zurückliegenden Kalenderjahr die geltenden Schwellenwerte überschritten haben.”
Ist dies der Fall, gilt die Anlage ab 1. April als kritische Dienstleistung und muss umgehend – ebenso wie der Betreiber selbst – beim BSI registriert werden. Im Zuge dieser Registrierung verlangt das BSI von KRITIS zudem, eine Kontaktstelle einzurichten, die rund um die Uhr erreichbar ist, um sich über Vorfälle und mögliche Gefährdungen austauschen zu können. Im zweiten Schritt ist es nötig, den sogenannten Geltungsbereich zu definieren. Damit sind Prozesse und Technologien gemeint, die für einen reibungslosen Betrieb der KRITIS-Anlagen und damit auch für die Versorgungssicherheit notwendig sind.
Autor Christian Stüble, Rohde & Schwarz
Christian Stüble ist Chief Technology Officer von Rohde & Schwarz Cybersecurity (Webseite). Zuvor war Stüble seit 2005 Technikvorstand der Sirrix AG. Hinsichtlich Kryptografie und IT-Sicherheit blickt Stüble auf eine fast 20-jährige Karriere, mit wissenschaftlichen Stationen in Dortmund, Saarbrücken und Bochum, zurück. Stüble ist Autor zahlreicher wissenschaftlicher und technischer Publikationen und regelmäßig Referent auf renommierten nationalen und internationalen Konferenzen.
Darüber hinaus schreibt das BSI vor, IT-Störungen, Angriffe und sonstige Vorfälle unverzüglich zu melden. Dies geschieht streng vertraulich über das Melde- und Informationsportal des BSI. Dabei werden Angaben zum Vorfall, möglichen Ursachen und betroffenen Anlagen oder Dienstleistungen in Online-Formularen abgefragt. Paragraf 8a Absatz 1 BSIG verlangt, dass KRITIS angemessene organisatorische und technische Vorkehrungen treffen, um die IT-Systeme abzusichern und Cyberattacken vorzubeugen. Übrigens verpflichtet das IT-SiG 2.0 neuerdings auch Zulieferer und Hersteller von kritischen Komponenten zu mehr IT-Sicherheit. Dazu gehören IT-Produkte, die in KRITIS eingesetzt werden, und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder einer erheblicher Beeinträchtigung der Funktionsfähigkeit oder sogar Gefährdungen für die öffentliche Sicherheit führen können.
Strafzahlungen massiv angehoben
KRITIS-Betreiber sind zudem dafür verantwortlich, alle zwei Jahre ihre IT-Sicherheitsmaßnahmen für die entsprechenden Anlagen nachzuweisen – ausgenommen sind Kleinstunternehmen. Diese Prüfungen müssen Betreiber selbst planen und beauftragen. Vom BSI anerkannte Prüfer untersuchen dann auf Basis von Branchenstandards oder BSI-Kriterien den zuvor festgelegten KRITIS-Geltungsbereich, das Risikomanagement und die Wirksamkeit der IT-Sicherheitsmaßnahmen. Das BSI sichtet im Nachgang Prüfbericht sowie Nachweisdokumente und kann bei Sicherheitsmängeln Verbesserungen einfordern.
Halten sich KRITIS-Betreiber nicht an die geltenden Pflichten, drohen empfindliche Strafen. Dazu wurden die Geldbußen im IT-SiG 2.0 drastisch erhöht. Lag die maximal mögliche Summe bislang bei 100.000 Euro, können Verstöße nun mit bis zu zwei Millionen Euro geahndet werden. Mit Verweis auf Paragraf 30 Absatz 2 Ordnungswidrigkeitengesetz (OWiG) kann der Gesetzgeber sogar Sanktionen von maximal 20 Millionen oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängen – beispielsweise wenn sich Unternehmen den Anordnungen des BSI widersetzen.
Effektive Vorbeugung
Rohde und Schwarz Cybersecurity Product: Browser in the BoxRohde und Schwarz
Doch was können Finanzunternehmen tun, um sich besser zu schützen? Ein Virenscanner allein reicht heute längst nicht mehr aus, um hochprofessionell organisierten Cyberkriminellen die Stirn zu bieten. Seit Mitte 2021 versendet etwa das Hackernetzwerk „Hive“ massiv Phishing-E-Mails an Unternehmen, um Ransomware-Attacken zu lancieren und Schadsoftware auf Computern einzuschleusen. Mit „Hive“ erreichen Erpresserangriffe eine neue Stufe:
Die Hacker verschlüsseln nicht nur Daten, sondern ziehen sie auch von den Servern der Opfer ab. Dann drohen sie damit, sensible Daten online zu veröffentlichen.”
Die Strategie eines Daten-Backups geht nicht mehr auf. Das macht diese Angriffe so gefährlich. Ransomware war zuletzt auch deshalb auf dem Vormarsch, weil der Trojaner Emotet, „die gefährlichste Software der Welt“, wieder auftauchte.
Mit herkömmlichen Security-Strategien ist ein Schutz vor Ransomware nicht möglich. Deshalb braucht es völlig neue Cybersicherheitskonzepte, die die Angreifer isolieren (siehe Infokasten). Eine andere Option sind „Zero-Trust-Lösungen“. Denn eine Gefahr geht heute auch vom Inneren der Systeme aus: Wird das Betriebssystem angegriffen, legen Angreifer womöglich auch das IT-Sicherheitssystem lahm. IT-Sicherheitsprodukte müssen daher nicht nur in der Lage sein, Bedrohungen von außen abzuwehren. Um wirkliche Sicherheit zu erlangen, brauchen Unternehmen auch einen Schutz vor potenziell unsicheren Komponenten im Betriebssystem. Spezielle vom BSI zugelassene „Zero-Trust-Produkte“ arbeiten unabhängig vom Windows-Betriebssystem.
Nur wenn das Finanz- und Versicherungswesen auf solche äußerst zuverlässige Hightech-IT-Sicherheitslösungen zurückgreift, gelingt es ihm, Cyberkriminelle abzuwehren und die strengen Vorgaben des BSI zu erfüllen.”
Banken schützen sich dadurch vor drastischen finanziellen Strafen und einem Vertrauensverlust der Kunden.Christian Stüble, Rohde & Schwarz
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/137348
Christian Stüble ist Chief Technology Officer von Rohde & Schwarz Cybersecurity (Webseite). Zuvor war Stüble seit 2005 Technikvorstand der Sirrix AG. Hinsichtlich Kryptografie und IT-Sicherheit blickt Stüble auf eine fast 20-jährige Karriere, mit wissenschaftlichen Stationen in Dortmund, Saarbrücken und Bochum, zurück. Stüble ist Autor zahlreicher wissenschaftlicher und technischer Publikationen und regelmäßig Referent auf renommierten nationalen und internationalen Konferenzen.
Schreiben Sie einen Kommentar