Das IT-Sicherheitsgesetz für KRITIS-Betreiber

Das IT-Sicherheitsgesetz für KRITIS-Betreiber

In wenigen Tagen ist es soweit. Bis 13. Juni müssen KRITIS-Betreiber das neue IT-Sicherheitsgesetz erfüllt haben. Dass diese Maßnahmen lebensrettend sein können, zeigt die WannaCry-Attacke: Ziel des Angriffs waren unter anderem Krankenhäuser.

 

 

WannaCry – wie ein Trojaner Krankenhäuser lahmlegt

Es ist Freitag, der 12. Mai 2017, als der Krypto-Trojaner Wanna Decryptor 2.0 oder kurz WannaCry für internationales Aufsehen sorgt. Plötzlich können Behörden und Unternehmen aus 150 Ländern nicht mehr auf ihre Daten zugreifen. Stattdessen erscheint eine Nachricht, in der Angreifer Lösegelder in Bitcoins fordern. Unternehmen schalten daraufhin ihre Computer ab, einige Websites sind nicht mehr aufrufbar. Die Ransomware, die sich wie ein Wurm auch durch andere Computer eines Netzwerks frisst, nutzt eine Sicherheitslücke von Microsoft aus. Allerdings gab es für genau diese Lücke bereits im März einen Software-Patch – wer das System nicht aktualisiert hatte, wurde an diesem Freitag mit den Konsequenzen konfrontiert.

 

 

Auch KRITIS-Betreiber waren nicht ausreichend geschützt

WannaCry traf auch Betreiber von Kritischen Infrastrukturen (KRITIS) wie das russische Innenministerium, die spanischen und portugiesischen Telefonkonzerne Telefonica und Portugal Telecom sowie die Deutsche Bahn. Betroffen waren auch Einrichtungen des britischen National Health Services, die nicht mehr auf die Daten ihrer Patienten zugreifen konnten. Krankenhäuser mussten Operationen verschieben, Patienten in andere Kliniken bringen und Chemo-Patienten nach Hause schicken. Dass der Angriff (vorerst) gestoppt werden konnte, war eher ein glücklicher Zufall: Ein 22-jähriger IT-Forscher ersteigerte eine mit der Ransomware verbundene Domain und beendete so vorläufig dessen Ausbreitung.

 

 

Bundesweite Sicherheitsrichtlinien ab Juni 2017

Die Cyber-Attacke ist ein weiterer Weckruf für Unternehmen sowie insbesondere Behörden und Betreiber Kritischer Infrastrukturen. Gerade die KRITIS-Betreiber müssen ihre Systeme ständig aktualisieren und kontrollieren. Dazu hat der Gesetzgeber im Juli 2015 das IT-Sicherheitsgesetz entworfen, das Vorgaben für die Informationssicherheit der Unternehmen bündelt. Für die KRITIS-Betreiber ist das Gesetz bindend und muss bis 13. Juni 2017 umgesetzt werden. Zu den KRITIS-Betreibern gehören laut Bundesministerium des Innern (BMI) „Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Dazu zählen die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung, Finanzen, Transport und Verkehr sowie Gesundheit.

 

 

IT-Sicherheitsgesetz: Vorgaben

Mit dem IT-Sicherheitsgesetz will die Regierung mehr Transparenz über Vorfälle und Angriffe schaffen. Dadurch sollen IT-Infrastrukturen besser vor Bedrohungen geschützt werden. Die KRITIS-Betreiber müssen einen Informationssicherheitsbeauftragten stellen, der als Ansprechpartner für das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert. Eine eigene Meldestelle im Unternehmen soll das BSI zudem über Cyber-Angriffe zu informieren. Außerdem schreibt das Gesetz den Einsatz eines Informations-Sicherheits-Management-Systems (ISMS) wie Myra vor. Dieses soll Angriffe und Angriffsversuche identifizieren und dokumentieren.

 

 

IT-Sicherheitsgesetz: Umsetzung

Bis 13. Juni müssen KRITIS-Betreiber die Vorgaben des IT-Sicherheitsgesetzes in die Tat umsetzen. Eine Bilanz Ende 2016 zeigte jedoch, dass noch nicht einmal die Hälfte der Unternehmen die Anforderungen erfüllt hat. Viele Betreiber wollen nicht in vermeintlich teure Informationssicherheit investieren, da sie sich als genügend geschützt sehen. Zwar ist das Bewusstsein für eine verschärfte Bedrohungslage gestiegen – nur nicht für das eigene Unternehmen. Statistiken belegen wiederum, dass sich die Anzahl von Cyber-Verbrechen 2016 um 30% erhöht hat.

 

 

Weil Cyber-Attacken uns alle betreffen

Noch eine Woche haben die Betreiber Kritischer Infrastrukturen Zeit, die Vorlagen des IT-Sicherheitsgesetzes zu erfüllen. Der weltweite Angriff der Ransomware WannaCry zeigt einmal mehr, wie wichtig Informationsschutz für KRITIS-Betreiber ist. Und wie verheerend die Folgen von veralteten Systemen und fehlenden Sicherheitskontrollen für die Gesellschaft sein können. Sowohl KRITIS-Betreiber als auch privatwirtschaftliche Unternehmen müssen IT-Sicherheit ernster nehmen, damit sich ein Ereignis wie dieses nicht wiederholen kann.

Keine Kommentare möglich.