Cybersecurity KRITIS

Wie schützt man Kritische Infrastrukturen (KRITIS) vor Cyberangriffen?

Kritische Infrastrukturen (KRITIS) sind in immer höherem Maße von einer funktionierenden IT abhängig – und werden so zu einem attraktiven Ziel für Cyberkriminelle. In diesem Artikel erfahren Sie, warum bei der Sicherheit und dem Schutz Kritischer Infrastrukturen die Führungsebene eine essentielle Rolle spielt und wie man die notwendige IT- und Informationssicherheit im Unternehmen implementieren kann.



Kritische Infrastrukturen sind besonders gefährdet

Kritische Infrastrukturen sind, wie der Name schon sagt, besonders relevant für das Gemeinwesen und die Versorgung mit grundlegenden Gütern wie Wasser, Strom, Lebensmitteln oder auch die medizinische Versorgung (eine genauere Übersicht über KRITIS-Unternehmen finden Sie in unserem Blogbeitrag „IT-Sicherheit in Kritischen Infrastrukturen (KRITIS)“). Wenn diese Kritischen Dienstleistungen ausfallen, können die Folgen für Staat, Wirtschaft und Bevölkerung verheerend sein.

Einige Studien zeigen, dass KRITIS verstärkt im Visier von Cyberkriminellen stehen. Laut dem aktuellen Lagebericht des BSI gab es im Jahr 2020 insgesamt mehr als 400 meldepflichtige IT-Sicherheitsvorfälle bei KRITIS-Betreibern – was ein Anstieg von über 60 Prozent im Vergleich zum Vorjahr ist; Tendenz steigend. Erfolgreiche Cyberangriffe richten dabei nicht nur Millionenschaden an, sondern haben bei KRITIS weitreichende Folgen und Auswirkungen auf Wirtschaft, Staat, Gesellschaft und die öffentliche Sicherheit.



IT- und Informationssicherheit in KRITIS – Besondere gesetzliche Anforderungen

Dieses hohe Risiko erfordert einen besonderen Schutz, weshalb Betreiber von Kritischen Infrastrukturen in der Verantwortung stehen, für eine ausreichende IT- und Informationssicherheit in ihrem Unternehmen zu sorgen. Weil die Thematik so relevant ist, hat der Gesetzgeber besondere Sicherheitsanforderungen in Richtlinien vorgegeben, die mit einer Nachweispflicht über ergriffene Maßnahmen verbunden sind.

Die zentralen Anforderungen sind im IT-Sicherheitsgesetz (IT-SiG) und der BSI-Kritis-Verordnung (BSI-KritisV) festgehalten. Die zentrale Norm für Betreiber Kritischer Infrastrukturen ist § 8a BSIG. Diese Regelungen legen fest, wie KRITIS-Betreiber angemessene organisatorische und technische Vorkehrungen zur Sicherheit ihrer IT und Prozesse ergreifen und umsetzen und darüber Nachweise erbringen. Auch die Meldepflicht für Sicherheitsvorfälle ist darin geregelt.

Die Einhaltung dieser Pflichten ist alle zwei Jahre durch Sicherheitsaudits, Zertifizierungen oder Prüfungen nachzuweisen.



Die Verantwortung des Einzelnen für die Sicherheit

Eine funktionierende IT- und Informationssicherheit betrifft dabei alle Bereiche einer Organisation und ist auf die Mitarbeit von allen Beteiligten angewiesen. Da auch Kritische Infrastrukturen im Zuge der Digitalisierung immer mehr vernetzt sind und viele Prozesse automatisiert ablaufen, gibt es heterogene Angriffspunkte für Cyberkriminelle.

Meist sind jedoch nicht die primär technischen Angriffe erfolgreich, sondern jene, die auf einen Fehler oder eine Unbedachtheit eines Mitarbeitenden zurückgehen. Und hiervon sind keinesfalls nur die IT-Fachkräfte betroffen, sondern alle Mitarbeitenden des Unternehmens – von der Logistik über das Gebäudemanagement und das Reinigungspersonal bis hin zur Buchhaltung. Der Fehler eines einzigen Mitarbeitenden kann ausreichen, damit Cyberkriminellen ein Einfallstor geöffnet wird. 

So sind die Mitarbeitenden zwar eine der größten Schwachstellen – aber auch das höchste Gut, wenn es um eine ganzheitliche Sicherheitsstrategie geht. Eine proaktive Koordination und Kooperation aller Mitarbeitenden, regelmäßige Schulungen, die das Wissen aktualisieren und sensibilisieren, sowie eine gelebte ganzheitliche Sicherheitsstrategie sind der beste Schutz für KRITIS.



Aufgaben der Führungsebene: Das Top-Down Prinzip

Diese „gelebte ganzheitliche Sicherheitsstrategie“ kann nur dann funktionieren, wenn die Führungsebene das Thema fördert und fordert – auch bei sich selbst. Damit das Sicherheitsbewusstsein im gesamten Unternehmen gefördert wird und eine funktionierende Sicherheitskultur entsteht, muss das Thema nach dem „Top-Down-Prinzip“ im Management verankert werden.

Dazu gehört dann die eigene Weiterbildung ebenso wie die Förderung der Schulung aller Mitarbeitenden. Das bedeutet: IT- und Informationssicherheit sind keine ausschließliche Aufgabe einer einzigen Abteilung. Nur wenn das Management und die Führungsebene IT- und Informationssicherheit zur Priorität erklärt und sich selbst zu dem Thema weiterbildet, dann funktioniert die Akzeptanz und Sensibilisierung für das Thema im gesamten Unternehmen.



Unser Schulungskonzept für Ihr Unternehmen

Um sich mit den entsprechenden Anforderungen vertraut zu machen und das Wissen und die Sensibilisierung zu dem Thema im gesamten Unternehmen zu fördern, haben wir ein neues Schulungskonzept für Sie entwickelt, das auf diese Herausforderungen abgestimmt ist. So haben wir drei Schulungen für Ihre ganzheitliche KRITIS Weiterbildung entwickelt:

  • KRITIS Management Keynote für Geschäftsführung und Management
  • KRITIS-Kompakt für Fach- und Führungskräfte
  • KRITIS Awareness Training für Mitarbeitende aller Abteilungen

 
Ziel dieses Schulungskonzepts ist, Wissen zu transferieren und Akzeptanz zu schaffen, über alle Unternehmensebenen und -abteilungen hinweg. Gerne stellen wir Ihnen Ihr individuelles Weiterbildungskonzept zusammen, abhängig von Ihrem KRITIS-Sektor und den individuellen Anforderungen Ihres Unternehmens. 
 
Ausführliche Informationen dazu finden Sie auf folgender Seite: IT-Sicherheit in Kritischen Infrastrukturen (KRITIS). Wir freuen uns auf Sie!



 
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security