Beim Schutz von Kritischen Infrastrukturen (KRITIS) hat die Bundesregierung nachjustiert Mit dem IT-Sicherheitsgesetz 2.0 sollen nicht nur die Betreiber, sondern nun auch die Hersteller von kritischen Komponenten stärker in die Pflicht genommen werden. Dieser Schritt ist auch dringend notwendig, denn die Angriffe auf Kritische Infrastrukturen, wie Energie- und Wassersysteme haben wieder zugenommen.
In Florida kam es vergangene Woche zu einem schwerwiegenden Hackingangriff auf das öffentliche Wasserversorgungsnetz der Kleinstadt Oldsmar. Dabei wurde die Chemikalienzufuhr in einer Wasserversorgungsanlage manipuliert, was zu einer flächendeckenden Vergiftung der Trinkwasserversorgung geführt hätte. Den örtlichen Behörden gelang es gerade noch rechtzeitig den Angriff abzuwehren, weil am Freitag ein IT-Mitarbeiter des betroffenen Wasserwerks bemerkte, dass sein Cursor im System der Aufbereitungstechnik nicht mehr funktionierte: Offenbar hatte sich ein Hacker aus der Ferne Zugriff zu dem Kontrollsystem der Wasseraufbereitungsanlage verschafft und dieses manipuliert.
Die Sicherheitslage hat sich verschärft
Dies ist kein Einzelfall: Laut »Lagebericht der IT-Sicherheit in Deutschland 2020« des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Angriffe auf den Energie- und Wassersektor deutlich zugenommen. So gab es zwischen Juni 2019 und Mai 2020 insgesamt 73 Meldungen, bei denen Störungen der Steuerungskomponenten vorlagen, die teilweise nur mit erheblichen Aufwand, mitunter über einen Monat hinweg behoben werden konnten. Allein im Energiesektor stieg die Anzahl von Vorfällen in den letzten drei Jahren von 4 auf 26. Das BSI verortet diese Probleme vor allem im Bereich Netztrennung, Notfallmanagement und physische Sicherheit.
Bundesregierung hat das Problem erkannt: IT-Sicherheitsgesetz 2.0
Mit dem IT-Sicherheitsgesetz 2.0 sollen nun bei den KRITIS-Unternehmen nachgebessert werden. So müssen nun auch die Hersteller von kritischen Komponenten deren Vertrauenswürdigkeit nachweisen. In dieser verpflichtenden Garantieerklärung muss nun dargelegt werden, dass kritische Komponente über keine technischen Eigenschaften verfügen, die eine missbräuchliche Verwendung in Form von Sabotage, Spionage oder Terrorismus ermöglichen. Für Innenminister Horst Seehofer (CSU) sei dieser Gesetzentwurf ein Durchbruch für Deutschlands Cybersecurity, kritische Stimmen sehen jedoch Verbesserungsbedarf. Eine Techconsult Umfrage aus dem Jahr 2020 im Auftrag von Microsoft zeigte, dass mehr als die Hälfte der befragten Betreiber von KRITIS Fehlverhalten von Mitarbeitenden als größtes Sicherheitsrisiko einstuften. Auch der Vorfall aus Florida hat dies deutlich aufgezeigt. Ohne das geschärfte Gefahrenbewusstsein des IT-Mitarbeiters und dessen schneller Reaktion hätte der Angriff wesentlich schlimmere Schäden anrichten können.
Gefahr erkannt? – Jetzt aktiv werden!
Geschulte Mitarbeiter und Mitarbeiterinnen bleiben deshalb ein Schlüsselfaktor beim Schutz Kritischer Infrastrukturen wie im Energie- und Wassersektor. Auch im Lernlabor Cybersicherheit finden Sie Seminare und technische Intensivkurse, die deren Inhalte auf die Besonderheiten der Energie- und Wasserversorgung ausgerichtet sind. Gemeinsam mit unseren Fachexperten aus dem Fraunhofer IOSB-AST werden verschiedene Angriffsszenarien analysiert sowie gezielte Sicherheitsvorkehrungen besprochen und praktisch erprobt, die zum Schutz der Kritischen Infrastrukturen notwendig sind. Seminare wie »IT-Sicherheit in der Energie und Wasserversorgung« können nicht nur dabei helfen, Unternehmen in ihrer Sicherheitsstruktur zu stärken, sondern auch zum allgemeinen Schutz aller beitragen.
Hier können Sie sich für den Kurs „IT-Sicherheit in der Energie- und Wasserversorgung“ anmelden.
von Pamela Tumba / 2021
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.