Cyber-Security KRITIS 2.0: Neue Vorgaben an die IT-Sicherheit

Von Helmut Semmelmayer

In Deutschland sind kritische Infrastrukturen wie Krankenhäuser und medizinische Labore seit 2016 dazu verpflichtet, sich gegen digitale Bedrohungen abzusichern. Mit der Novelle des IT-Sicherheitsgesetzes hat die deutsche Bundesregierung die Anforderungen an KRITIS-Betreiber nun weiter verschärft. Helmut Semmelmayer von tenfold verrät, was sich durch KRITIS 2.0 ändert.

Anbieter zum Thema

Durch die Änderung des IT-Sicherheitsgesetzes müssen sich kritische Infrastrukturen noch besser gegen digitale Bedrohungen absichern
Durch die Änderung des IT-Sicherheitsgesetzes müssen sich kritische Infrastrukturen noch besser gegen digitale Bedrohungen absichern
(Bild: © Michael Traitov-stock.adobe.com)

Der Siegeszug von Ransomware & Co. macht auch vor dem Gesundheitswesen nicht halt: Immer öfter werden Kliniken zum Ziel von Schadsoftware und Cyberangriffen. Der Ausfall des Informationsverbunds kann den normalen Krankenhausbetrieb dabei empfindlich stören, den Zugang zu Patientendaten erschweren und letztlich wichtige Behandlungen verzögern oder verhindern. Als wäre die Lage in medizinischen Zentren aufgrund der Corona-Pandemie nicht angespannt genug.

Angesichts der steigenden Bedrohungslage stößt der Schutz digitaler Systeme auch in der Politik auf reges Interesse. Um die grundlegende Versorgung der Bevölkerung gegen digitale Angriffe abzusichern, hat die deutsche Bundesregierung etwa durch die BSI-KRITIS-Verordnung 2016 erstmals Sektoren festgelegt, die ein bestimmtes Maß an IT-Sicherheit nachweisen müssen. Auch Krankenhäuser, Labore, sowie die Hersteller von Medikamenten und medizinischen Produkten zählen ab einer gewissen Größe zu diesen kritischen Infrastrukturen.

Durch die Novelle des IT-Sicherheitsgesetzes, die 2021 verabschiedet wurde, und die damit verknüpfte Anpassung der KRITIS-Verordnung (besser als KRITIS 2.0 bekannt) arbeitet der Gesetzgeber nun weiter an der Absicherung essentieller Bereiche der öffentlichen Versorgung. In diesem Überblick erklären wir, was sich für KRITIS-Betreiber jetzt verändert.

Ausweitung von KRITIS

Das erste Ziel von KRITIS 2.0 ist die Ausweitung der Verordnung: Neben der Abfallentsorgung als neuem KRITIS-Sektor entsteht etwa eine neue Kategorie für Unternehmen mit hoher inländischer Wertschöpfung oder solche, die mit Gefahrstoffen und Rüstungsgut arbeiten. Die Novelle passt zudem einige Schwellenwerte in bestehenden Sektoren an. Der Bereich Gesundheit ist von diesen Änderungen im Wesentlichen nicht betroffen. Die einzige Ausnahme bildet die Zusammenfassung der bisherigen KRITIS-Anlagen „Transport- bzw. Kommunikationssystem für Aufträge und Befunde“, die nun unter dem Titel „Laborinformationsverbund“ zusammengefasst werden.

Zusätzlich zur Erweiterung des KRITIS-Geltungsbereiches wird auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neuen Kompetenzen ausgestattet. Wie bislang sind KRITIS-Betreiber verpflichtet, erhebliche Störungen an die Behörde zu melden und zu diesem Zweck eine Kontaktstelle einzurichten. Das BSI kann nun aber auch eigenständig Informationen zur Behebung von Störungen einfordern, einschließlich personenbezogener Daten.

Als vorbeugende Maßnahme müssen Betreiber in Zukunft darüber hinaus „kritische Komponenten“ in ihrem Informationsverbund beim BSI registrieren. Darunter versteht die Verordnung IT-Produkte (Hardware und Software), deren Ausfall eine KRITIS-Anlage erheblich beeinträchtigen würde, oder die eine zuvor definierte kritische Funktion erfüllen. Diese Funktionen sind bislang allerdings nur für den Sektor der Telekommunikation definiert worden.

Für die Anmeldung von kritischen Komponenten ist außerdem eine Garantieerklärung des jeweiligen Herstellers nötig, der sich dadurch unter anderem verpflichtet, entdeckte Schwachstellen umgehend zu melden und mit dem BSI bezüglich von Sicherheitskontrollen zu kooperieren. Hat das Bundesamt Zweifel an der Sicherheit von Komponenten, kann es den Einsatz (rückwirkend) untersagen. Ob es in der Praxis zu derartigen Fällen kommen wird, muss sich erst zeigen. Jedenfalls ergibt sich für Betreiber durch die Anmeldung der Komponenten zusätzlicher Aufwand bei der Inventarisierung des eigenen Informationsverbundes.

Systeme zur Angriffserkennung

Auch auf technischer Ebene sieht die KRITIS-Novelle eine Änderung vor: Der Einsatz von automatischen Systemen zur Erkennung von Angriffen, die viele Sicherheitsstandards schon jetzt empfehlen, wird durch KRITIS 2.0 ausdrücklich vorgeschrieben – allerdings mit Übergangsfrist bis Mai 2023. Diese Vorgabe bezieht sich auf Software für das Security Information & Event Management (SIEM). Darunter versteht man Systeme, die laufend das eigene Netzwerk überwachen und automatisch auf verdächtige Aktivität hinweisen, etwa fehlgeschlagene Zugriffsversuche oder ein plötzlicher Traffic-Anstieg.

Obwohl sich diese Daten automatisch sammeln lassen, braucht es zur Auswertung eine menschliche Kontrollinstanz, da nur entsprechend geschultes Personal beurteilen kann, ob es sich bei einem Vorfall um einen harmlosen Fehlalarm oder eine echte Bedrohung handelt, und wann das BSI kontaktiert werden muss. Experten sprechen deshalb in einem Atemzug von SIEM und SOC: Automatische Angriffserkennung plus ein laufend besetztes Security Operation Center (SOC), das die Meldungen der Software verarbeitet. Dabei geht es nicht nur um die unmittelbare Reaktion auf Bedrohungen, sondern auch langfristige Erkenntnisse zur Verbesserung der Sicherheitsstrategie oder für die Planung neuer Tests und Kontrollmaßnahmen.

Baustelle Informationssicherheit

Um die neuen Vorgaben an die IT-Sicherheit zu erfüllen, genügt es also nicht, eine SIEM-Lösung zu installieren. Es muss auch der nötige organisatorische und personelle Rahmen geschaffen werden, um die laufende Auswertung zu ermöglichen. Neben der verstärkten Kommunikation mit dem BSI bildet der Auf- bzw. Ausbau des Security Teams die größte neue Hürde für KRITIS-Betriebe, da IT-Abteilungen in der Regel bereits ausgelastet und Fachkräfte nach wie vor schwer zu finden sind.

Helmut Semmelmayer
Helmut Semmelmayer
(© Jansenberger Fotografie)

Dieses Ressourcenproblem lässt sich mit der passenden Software lösen, indem Routineprozesse automatisiert und Fachkräfte somit für wichtigere Aufgaben freigespielt werden. Ansatzpunkte gibt es hier viele, vom automatischen Einspielen wichtiger Updates bis hin zu selbstständigen Backups. Zu den größten Zeitfressern für IT-Abteilungen zählt insbesondere das händische Anlegen neuer Benutzerkonten und die Konfiguration der Zugriffsrechte, die User für ihre Arbeit benötigen. Software-Lösungen für Identitäts- und Berechtigungsmanagement erleichtern die Verwaltung und verbessern gleichzeitig Sicherheit und Datenschutz, da überflüssige Rechte und alte Konten konsequent entfernt werden.

Bei der Verbesserung der IT-Sicherheit sind Krankenhäuser übrigens nicht auf sich allein gestellt. Kliniken, die unter die KRITIS-Verordnung fallen, haben bis 2024 Anspruch auf Fördermittel aus dem Krankenhausstrukturfonds II. Die Investition in Software-Lösungen fällt dabei unter den Fördertatbestand der „Verbesserung der IT-Sicherheit von Gesundheitseinrichtungen“. Nähere Informationen zur Förderung stellt das Bundesamt für Soziale Sicherung bereit.

* Helmut Semmelmayer ist Senior Manager Channel Sales und Mitglied der Geschäftsführung bei tenfold Software, Wien

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47971967)