Warum eine Neuauflage des juristischen Leitfadens: IT-Sicherheitsgesetz 2

von Richard Werner, Business Consultant bei Trend Micro

 

 

 

 

 

Das IT-Sicherheitsgesetz 2 befindet sich zwar erst in der Entwurfsphase, dennoch ist es vor allem für die Geschäftsführung wichtig, sich bereits jetzt verschiedene neue Regelungen anzusehen, und die Anforderungen, sofern es sich um Betreiber kritischer Infrastrukturen handelt, bereits in ihren Sicherheitsstrategien zu berücksichtigen, denn sie können je nach Blickwinkel weitreichende Auswirkungen haben. Trend Micro hat seinen juristischen Leitfaden zum sechsten Mal neu aufgelegt, und möchte damit Unternehmen dabei unterstützen, juristische Fallstricke beim Einsatz von IT Infrastrukturen zu erkennen und zu umgehen. Dazu zählen  rechtliche Verpflichtungen sowie zugehörige Konsequenzen bei Nichteinhaltung der Regelungen. In der aktuellen Neufassung werden bestehende Auflagen wie beispielsweise die DSGVO (Datenschutz Grundverordnung) aktualisiert sowie neue Entwicklungen wie etwa beim IT-Sicherheitsgesetz Version 2 oder im Bereich IoT und im Strafrecht diskutiert.

Das IT-Sicherheitsgesetz

Das ursprüngliche IT-Sicherheitsgesetz (IT-SG) trat am 25. Juli 2015 in Kraft und verpflichtet Betreiber sogenannter kritischer Infrastrukturen (Kritis) dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen in der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ist hierfür gleichsam Ansprechpartner im Fall von ernsten Vorkommnissen sowie Auditierungsstelle. Das IT-SG nimmt die Regelungen der späteren EU Direktive NIS (Network and Information System) weitgehend vorweg. Der Hintergrund beider Ansätze ist der IT-Schutz von kritischen Systemen, bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten können. Ähnliche Regelungen wurden im Laufe der letzten Jahre praktisch in allen Ländern, nicht nur innerhalb der EU, eingeführt.

IT-SG Version 2

Unter dem Titel „IT-Sicherheitsgesetz 2.0“ hat das Bundesinnenministerium am 27. März 2019 den Referentenentwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ vorgelegt. Die Autoren verweisen dabei auf die immer ausgefeilteren und damit gefährlicheren Angriffe, etwa durch Ransomware, und eine weitere Verschärfung der Bedrohungslage durch die zunehmende Verbreitung von IoT-Geräten. Die Neuerungen im IT-SG 2 sollen unter anderem folgendes beinhalten:

  • Einführung eines IT-Sicherheitskennzeichens für IT-Produkte,
  • Vertrauenswürdigkeitserklärung für KRITIS-Kernkomponenten,
  • Ausweitung der Meldepflichten und Mindeststandards,
  • Erhebliche Verschärfungen der Bußgeldvorschriften und des Cyberstrafrechts sowie neue Ermittlungsinstrumente für die Polizei und Staatsanwaltschaft.

Die Änderungen in der Neuregelung können je nach Blickwinkel weitreichende Auswirkungen haben. So ist unter anderem geplant, den Gültigkeitsbereich für das IT-SG auszuweiten. Das betrifft Infrastrukturen, die nicht unmittelbar kritische Infrastrukturen sind, aber im besondern öffentlichen Interesse stehen wie z.B. Firmen aus den Branchen Medien und Kultur sowie Rüstungsbetriebe und andere Unternehmen von erheblicher volkswirtschaftlicher Bedeutung. Zudem wurde die Abfallwirtschaft erstmalig zum kritischen Sektor erklärt.

Des Weiteren soll ein IT-Sicherheitskennzeichen für IT-Produkte beim Einsatz im KRITIS Bereich eingeführt werden. Für die Betreiber solcher Produkte ist dies einerseits eine gute Nachricht, denn hiermit wird klar geregelt, dass ein Hersteller Sorge dafür tragen muss, dass seine Systeme sicher sind und bleiben. Andererseits lässt sich dies kaum ohne ständige Wartungsmöglichkeiten durch den jeweiligen Hersteller bewerkstelligen. Der Betrieb einer solchen IT-Anlage im KRITIS-Bereich wird damit vermutlich zu einem Servicekonzept, welches eben auch die Zugriffe und vor allem IT-Sicherheit der Anlagen mit einschließt.

Wozu ein zweites IT-Sicherheitsgesetz?

Prinzipiell lässt sich feststellen, dass die Neuauflage des IT-SG 2 mehr Unternehmen betrifft und der Druck auf Lieferanten und Betreiber kritischer Bereiche größer wird. Hinzu kommt, dass das mögliche Strafmaß an das der DSGVO (4% vom weltweiten Vorjahresumsatz) angepasst werden soll. Ist dies aber notwendig, oder schießt die staatliche Fürsorge ein bisschen über das Ziel hinaus? Als Begründung gilt u.a. die höhere Gefährdungslage. Dies ist einerseits begründet, da bei Ransomware-Vorfällen in den letzten Jahren immer wieder massive Schwachstellen auch im Bereich kritischer Infrastrukturen dazu geführt haben, dass verschiedentlich Systeme ausgefallen sind. Da die Vorfälle meist regional begrenzt waren und Ausfälle schnell kompensiert werden konnten, wurde keiner dieser Angriffe als großes Problem in der Öffentlichkeit wahrgenommen. Die Angriffe waren nie gezielt und kritische Infrastrukturen wurden meist „zufällig“ Opfer.

Parallel wird allerdings auch immer offener darüber diskutiert, in welcher Form politisch motivierte Täter Cyberwaffen einsetzten. Die tatsächliche Schlagkraft dieser Waffen sowie deren mögliche Auswirkungen zeigten sich im Zusammenhang mit den Angriffen Wannacry und NotPetya. Beide Angriffe beruhten unter anderem auf der Schwachstelle „Eternal Blue“, die laut Aussage der amerikanischen NSA ihr selbst gestohlen wurde. Auch wenn Wannacry mehr Öffentlichkeit erhielt, so ist NotPetya, was das IT-SG betrifft, der eigentlich wichtigere Fall. Der Angriff traf ausschließlich Unternehmen, die in der Ukraine Steuern zahlten, und führte dazu, dass ganze Landesteile für einige Stunden schlicht nicht mehr funktionierten. Es trägt also nicht zur Beruhigung bei, wenn politische Kräfte in modernen Konflikten den offensiven Einsatz von Cyberwaffen zur Spionage und anderen Tätigkeiten anstreben. Leider lässt sich nicht ausschließen, dass kritische Infrastrukturen auch in der Bundesrepublik entweder als Ziel oder im Rahmen von Kollateralschäden betroffen sind. Die Annahme einer höheren Gefährdungslage ist deshalb berechtigt.

Wie können sich Unternehmen verteidigen?

Politisch motivierte Gegner sind leider im Vorteil, denn Angreifer können sich Art, Zeitpunkt und Ziel der Attacke aussuchen. Hinzu kommt, dass sie unter Umständen Werkzeuge einsetzen, die bislang nicht bekannt sind. Anders als Aufsehen erregende Ransomware-Angriffe gehen politisch motivierte Täter lange heimlich vor, bis sie weit genug im System verankert sind, um maximale Schäden anzurichten.

Die Verteidigung muss deshalb flexibel gestaltet sein und Möglichkeiten umfassen, schon kleinste Auffälligkeiten in der Infrastruktur zu entdecken — auch auf Systemen, die als Fehlerquelle häufig unterschätzt werden, wie I(I)oT Geräte. Beispiele hierfür sind Drucker, medizinische Geräte oder Fabrikanlagen. Stellt ein Sicherheitsteam eine solche Anomalie fest, muss es darum gehen, schnellstmöglich umfangreiche Erkenntnisse dazu zu gewinnen und Gegenmaßnahmen zu ergreifen. Zu den Techniken, die dies ermöglichen, gehören Lösungen aus dem Bereich „Detection & Response“, die in unterschiedlicher Form (z.B. Netzwerk, Endpoint, etc.) erhältlich sind. Die Nachforschung bei solchen Angriffen wird durch SOC-Teams gesteuert, die je nach Unternehmen intern oder als Dienstleistung eingesetzt werden. Sind kritische Infrastrukturen direkt oder indirekt betroffen, muss die Meldung unverzüglich an das BSI erfolgen. Für die Erstmeldung gilt dem BSI zufolge grundsätzlich Schnelligkeit vor Vollständigkeit.

Fazit

Auch wenn generell viel über die Gefährlichkeit der Angreifer zu hören ist, eine gut organisierte Verteidigung ist oft ebenbürtig und langfristig im Vorteil. Bereits kleinste Auffälligkeiten reichen aus, um einen Angriff in seiner Vollständigkeit zu entdecken. Eine solche Verteidigung muss aber davon ausgehen, dass Schutz nicht zu 100% funktioniert. Daher müssen eben auch nach innen Sensoren vorhanden sein, die solche Kleinigkeiten erkennen. Je mehr dieser Sensoren installiert sind und je unterschiedlicher der Einsatzzweck, desto eher besteht die Chance einen Gegner zu erkennen.

Sie können den kompletten Leitfaden kostenlos herunterladen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.