12. Januar 2022

KRITIS Unternehmen in der Pandemie: Steigende Risiken im Bereich Cybersecurity für Kritische Infrastrukturen

Kritische Infrastrukturen sind elementar für die Sicherheit und Versorgung einer Gesellschaft – in einer angespannten Lage wie einer Pandemie umso mehr. Zusammen mit der steigenden Zahl von Cyberangriffen, bei denen auch KRITIS Sektoren im Visier stehen, ergibt sich eine prekäre Sicherheitslage.

Cybercrime profitiert von der Pandemie

Die durch Cybercrime verursachten Schäden nehmen weltweit stetig zu. Die angespannte Lage durch die Pandemie hat diesen Trend nochmal verstärkt und zusätzlich neue Angriffsmöglichkeiten geschaffen. Cyberkriminelle nutzen die Verunsicherung der Menschen aus und gelangen mit Phishing-Attacken oder Betrugsversuchen um öffentliche Förder- und Hilfsprogramme an sensible Daten und Zugänge, die wiederum Türen zu Systemen und Informationen von Unternehmen öffnen.

Auch volkswirtschaftlich sensible und hochgehandelte Informationen sind sehr gefährdet, wie z.B. in der Impfstoffentwicklung bei dem Angriff auf das IT-System der europäischen Arzneimittelbehörde EMA im Dezember 2020 deutlich wurde, bei dem einige Dokumente im Zusammenhang dem Zulassungsantrag von Biontech und Pfizer gestohlen werden konnten.

Hinzu kommt, dass nicht nur die Anzahl, sondern auch die Qualität der Angriffe gestiegen ist, wie der aktuelle Bundeslagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) zeigt. In dem Bericht wird zudem deutlich, dass aktuell insbesondere Cyber-Erpressungen zur größten Bedrohung geworden sind und vor allem Unternehmen, die KRITIS zugeordnet sind, hier im Fadenkreuz stehen.

KRITIS Unternehmen im Fadenkreuz Cyberkrimineller

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ – So lautet die Definition von KRITIS vom BSI.

Kritische Infrastrukturen betreffen also Bereiche, die für die Gesellschaft elementar sind und in einer unsicheren Sonderlage wie einer Pandemie noch einmal viel präsenter werden – allen voran die medizinische Versorgung, aber auch zum Beispiel Lebensmittelversorgung und Wasser- oder Stromversorgung. Aus dem Lagebericht des BSI geht hervor, dass es im Jahr 2020 mehr als 400 meldepflichtige IT-Sicherheitsvorfälle bei KRITIS-Betreibern gab. Im Vergleich zum Vorjahr ist dies ein Anstieg von über 60 Prozent.

Die meisten Cyberangriffe auf diese Kritischen Infrastrukturen werden mit Ransomware durchgeführt. Dabei sorgt die eingeschleuste Software dafür, dass Daten und Zugriffe eines Systems verschlüsselt und damit unzugänglich gemacht und nur gegen Zahlung eines Lösegelds wieder freigegeben werden. Insbesondere bei KRITIS Unternehmen, also zum Beispiel Krankenhäusern oder Energieversorgern, ist die durchgehende Versorgung von so essentieller Relevanz, dass hohe Lösegelder verlangt werden können und KRITIS Sektoren für Cyberkriminelle somit äußerst lukrative Ziele darstellen.

Ganzheitliche Sicherheitskonzepte sind vonnöten

Die Grundanforderungen für die Sicherheit von Kritischen Infrastrukturen sind deshalb im IT-Sicherheitsgesetz (IT-SiG) und der BSI-Kritis-Verordnung (BSI-KritisV) festgehalten. Die Anforderungen sind im Kern in drei Punkten zusammenzufassen:

  1. Angemessene Cyber Security: KRITIS Unternehmen sind in der Pflicht, angemessene organisatorische und technische Vorkehrungen zur Sicherheit ihrer IT umzusetzen.
  2. Umgang mit KRITIS Risiken: Der Umgang mit Sicherheitsmängeln, deren Behebung und die Nachweispflicht darüber sowie die Meldung von IT-Sicherheitsvorfällen muss klar geregelt sein.
  3. Stand der Technik: Alle Maßnahmen müssen nach dem aktuellen Stand der Technik implementiert und stetig aktualisiert werden.

Neben der organisatorischen Umsetzung von konkreten Maßnahmen sollte Cybersicherheit in KRITIS Unternehmen immer als langfristige Strategie angegangen werden. Dabei spielt auch die Verantwortung des Einzelnen für die Sicherheit eine wichtige Rolle.

Faktor Mensch: Menschliche Fehler eine der Hauptursachen für Sicherheitslücken

Nach wie vor ist der Mensch einer der wichtigsten Faktoren in der Sicherung von Systemen und Daten. Ganz besonders die allgemeine Unsicherheit und Überforderung durch die Pandemie, Zeitdruck und die mediale Präsenz des Themas werden von Cyberkriminellen gezielt ausgenutzt. Phishing-Attacken, Angriffe auf Videokonferenzen, Nutzung privater Geräte im beruflichen Kontext, schlecht abgesicherte VPNs usw. können zu Sicherheitsvorfällen führen und Cyberkriminellen Tür und Tor öffnen.

Der Fakt, dass der Mensch eine der größten Rollen in der Cybersicherheit spielt, wird in verschiedenen Studien immer wieder herausgestellt. Auch das BSI hält diesen Punkt im Bundeslagebericht fest. Eine aktuelle Studie von Techconsult im Auftrag von Microsoft Deutschland zu der Sicherheit in KRITIS-Unternehmen kommt zu demselben Ergebnis: Von den dort befragten KRITIS Entscheider:innen sehen 57,5 Prozent das Fehlverhalten von Mitarbeitenden als eines der größten Sicherheitsrisiken an.

Das Top-Down-Prinzip und der Stellenwert von Awareness-Schulungen

Folglich liegt aber auch in der Förderung der Sicherheit durch die Mitarbeiter:innen das größte Potenzial für eine bessere Sicherung von KRITIS Unternehmen. Dies betrifft alle Menschen in einem Unternehmen: Vom Management über die Führungskräfte bis hin zu den Mitarbeitenden in allen Bereichen. Nur wenn Unternehmensverantwortliche die Thematik selbst wahrnehmen und fördern, kann eine Sensibilisierung für die Sicherheit des Unternehmens bis in alle Bereiche hinein funktionieren.

Der Stellenwert von Awareness-Schulungen zeigt sich auch in der Techconsult Studie, bei der 60,8 Prozent der Befragten regelmäßige Schulungen und Workshops als wichtiges Mittel zur Sensibilisierung ihrer Mitarbeitenden für Sicherheit und Datenschutz ansehen – gefolgt von Trainingsprogrammen mit Zertifizierungen (50,3 Prozent), fest etablierten Notfallplänen (37,2 Prozent) und ausschließlich anlassbezogenen Schulungen (31,7 Prozent).

Eigenes Schulungskonzept für ganzheitliche Sicherheit

Auf ebendiese Herausforderungen ist unser Schulungskonzept für KRITIS-Betreiber ausgerichtet. Ziel dieses Schulungskonzepts ist, Wissen zu transferieren und Akzeptanz zu schaffen, über alle Unternehmensebenen und -abteilungen hinweg. Deshalb haben wir 3 Schulungen entwickelt:

  • KRITIS Management Keynote für Geschäftsführung und Management
  • KRITIS-Kompakt für Fach- und Führungskräfte
  • KRITIS Awareness Training für Mitarbeitende aller Abteilungen

Unter www.is-its.org/it-sicherheit-in-kritis stellen wir Ihnen das Schulungskonzept ausführlicher vor und Sie können weiterführende Informationen anfordern. Gerne stellen wir Ihnen auch Ihr individuelles Weiterbildungskonzept zusammen, abhängig von Ihrem KRITIS-Sektor und den individuellen Anforderungen Ihres Unternehmens.

Alle Informationen dazu finden Sie auf folgender Seite: IT-Sicherheit in Kritischen Infrastrukturen (KRITIS). Wir freuen uns auf Sie!

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.