IT-Sicherheitsgesetz 2.0: KRITIS-Betreiber müssen digitale Angriffsfläche im Blick behalten

Kritische Infrastrukturen (KRITIS) sind immer stärker vernetzt und damit auch häufiger der Gefahr von Cyberattacken ausgesetzt. Das IT-Sicherheitsgesetz 2.0 fordert deshalb von den KRITIS-Betreibern mehr Maßnahmen zum Schutz ihrer IT. Eine kontinuierliche Überwachung der Angriffsfläche ist dabei ein wichtiger Schritt zu mehr Cyber-Resilienz.

Das neue IT-Sicherheitsgesetz 2.0 ist Ende Mai in Kraft getreten: Eine Verwendung von bestimmten IT-Komponenten durch Betreiber kritischer Infrastrukturen soll nunmehr untersagt werden können, wenn anzunehmen ist, dass der Einsatz dieser Komponenten die öffentliche Ordnung oder Sicherheit Deutschlands voraussichtlich beeinträchtigt. Foto: Cybersprint

27.07.2021 – „Ob Energie, Wasserversorgung, Gesundheitswesen oder der Finanzsektor – alle wichtigen Sektoren für das öffentliche Leben sind mit dem Internet verbunden und damit auch für IT-Kriminelle erreichbar“, sagt Pieter Jansen, Gründer und CEO des niederländischen IT-Sicherheitsanbieters Cybersprint. „Für KRITIS-Betreiber ist es deshalb wichtig, ihre digitale Angriffsfläche zu überwachen und Schwachstellen zu beheben, bevor andere darauf zugreifen können.“

Mehr Einstiegspunkte für Cyberkriminelle

Unter der digitalen Angriffsfläche, oder „Attack Surface“, versteht man die Summe der Angriffsvektoren, über die ein unautorisierter Nutzer versuchen kann, Daten zu entwenden oder einzubringen. Angriffsvektoren sind dabei alle IT-Assets, die über das Internet adressierbar sind. Unautorisierte Nutzer können Cyberkriminelle sein, ebenso wie Mitbewerber oder ausländische Geheimdienste, die diese Assets durchforsten, um eventuelle Schwachstellen zu finden: Eine veraltete Software, ein nicht gepatchter Server oder eine fehlerhafte Konfiguration können als Sprungbrett dienen, über das ein Angriff auf ein Unternehmen gestartet wird.

Digitale Angriffsfläche wächst

Mit der Digitalisierung und der damit einhergehenden Vernetzung sind immer mehr Assets über das Internet ansteuerbar: Unternehmen verlagern Services an externe Dienstleister und nutzen Cloud-Umgebungen. Bei Gas-, Wasser- und Stromversorgern beispielsweise kommen zunehmend intelligente Zähler zum Einsatz, die Daten empfangen und senden können und für diese Aufgabe in ein digitales Kommunikationsnetz eingebunden sind. Kunden können Stromtarife online buchen und haben Zugriff auf die von ihnen abgerufene Leistung sowie auf die Abrechnungen. Die digitale Transformation sichert die Wettbewerbsfähigkeit von Unternehmen in der Zukunft, doch sie sorgt auch dafür, dass Netzwerke zunehmend komplexer werden und die digitale Angriffsfläche von Unternehmen permanent wächst. Die Gefahr, Opfer einer Cyberattacke zu werden, ist damit auch im KRITIS-Sektor in den letzten Jahren signifikant gestiegen.

Das IT-Sicherheitsgesetz 2.0 fordert bessere Schutzmaßnahmen

Aufgrund dieser Entwicklungen fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verbesserte Schutzmaßnahmen für die IT von KRITIS-Betreibern. So steht im Gesetzestext: „Betreiber kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Ihrer informationstechnischen Systeme zu treffen – dies umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.“ Diese Systeme ermitteln anhand von Anomalien im Netzwerk, ob es von einer Cyberattacke betroffen ist.  „Systeme zur Angriffserkennung sind ein effektives Mittel, um Cyberattacken einzudämmen,“ sagt Pieter Jansen. „Noch wichtiger ist es aus unserer Sicht jedoch, einen Schritt weiter vorne anzusetzen und die digitale Angriffsfläche zu überwachen und einzugrenzen, damit es erst gar nicht zu einem Angriff kommt.“

Attack Surface Management – das Unternehmen aus Sicht eines Hackers

Mit diesem Ziel hat Cybersprint eine Plattform entwickelt, die eine kontinuierliche Überwachung der digitalen Infrastruktur ermöglicht. Darüber hinaus liefert sie Handlungsempfehlungen, um gefährliche Sicherheitslücken zeitnah schließen zu können.

Bei der Plattform handelt es sich um eine sogenannte „Zero-Scope-Lösung“: Bei ihr ist keine Vorgabe notwendig, in welchen Netzwerken nach potentiellen Risiken gesucht werden muss, denn eine solche Vorskizzierung des Suchbereichs würde die Qualität der Ergebnisse verringern. Deshalb braucht die Attack Surface Management Plattform von Cybersprint nur den Namen einer Organisation oder einer Marke, um unterschiedlichste Quellen zu scannen und anschließend die Angriffsfläche darzustellen. Damit ahmt Cybersprint die Herangehensweise nach, die auch Cyberkriminelle nutzen, um einen Angriff vorzubereiten. Weil auch sie die IT-Infrastruktur ihres Ziels nicht genau kennen, kommt bei ihrer Suche nach IT-Sicherheitslücken meist nur der Name einer Organisation zum Einsatz.

Die Cybersprint-Lösung analysiert und klassifiziert die Ergebnisse mit Hilfe von künstlicher Intelligenz sowie der Bewertung von Analysten. Unternehmen erhalten damit nicht nur eine Übersicht über die unterschiedlichen IT-Risiken, sondern gleich eine Einordnung ihres Bedrohungspotentials sowie Empfehlungen für die Behebung.

Mit dieser Herangehensweise ist die Attack Surface Management Plattform punktuellen Audits und Penetrationstests überlegen, denn sie bildet die Angriffsfläche kontinuierlich ab, anstatt nur eine Momentaufnahme darzustellen.

Nahtlose Integration

Cybersprint‘s Attack Surface Management Plattform ist cloudbasiert. Damit greift sie nicht in bestehende Abläufe und Prozesse ein wie eine Software, die fest installiert werden muss. Außerdem verfügt die Plattform über eine API-Schnittstelle und lässt sich deshalb nahtlos mit anderen Sicherheitssystemen integrieren. Das können beispielsweise die Systeme zur Angriffserkennung sein, die das BSI mit dem Sicherheitsgesetz 2.0 verpflichtend vorschreibt. Diese Schnittstelle bietet den Kunden gleichzeitig die Möglichkeit, weitere Datenquellen für die Suche anzubinden.

IT-Sicherheitsgesetz 2.0 verschärft die Anforderungen

Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 müssen sich mehr Unternehmen als bislang mit den Vorgaben auseinandersetzen. Neben den bereits bekannten KRITIS-Sektoren Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Ernährung, Energie sowie Finanz- und Versicherungswesen kommt nun der Bereich Siedlungsabfallentsorgung hinzu. Auch innerhalb der Sektoren gibt es Änderungen: So sinken im Bereich Stromerzeugung und -handel beispielsweise die Schwellenwerte, ab denen ein Unternehmen dem KRITS-Sektor zuzuordnen ist.

Das BSI erhält mehr Befugnisse und darf selbst nach Sicherheitslücken bei den Unternehmen suchen, um anschließend Empfehlungen zu erforderlichen technischen Maßnahmen geben zu können. Eine Attack Surface Management Plattform kann dafür sorgen, dass der KRITIS-Betreiber die IT-Schwachstelle selbst findet und schließt, bevor die Behörde bei ihm anklopft. Verstößt ein Unternehmen gegen die Vorschriften oder meldet es einen Vorfall zu spät, so drohen ihm mit Inkrafttreten des neuen IT-Sicherheitsgesetztes deutlich höhere Strafen als bislang.

Das neue IT-Sicherheitsgesetz bringt damit eine ganze Reihe von Neuerungen für KRITIS-Betreiber mit sich, die eine sorgfältige Planung und zeitnahe Umsetzung erfordern. Mit einem kontinuierlichen Angriffsflächenmanagement lässt sich die IT-Sicherheitsarchitektur nachhaltig stärken. (jr)

www.cybersprint.com

Share