IT-Security Regulatory Update | August 2024

Fokus: Update KRITIS Zahlen, veröffentlichung des Entscheidungsbaums der NIS-2-Betroffenheitsprüfung 

Highlight aus dem August 2024

Am 01. August 2024 veröffentlichte das BSI das neue Update zu den KRITIS Zahlen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Aktualisierung der Webseite „KRITIS in Zahlen“, die wichtige Kennzahlen zu kritischen Infrastrukturen (KRITIS) bereitstellt. Diese Daten basieren auf Auswertungen bis zum 30. Juni 2024 und bieten Sicherheitsfachleuten einen umfassenden Überblick über die bei BSI registrierten Betreiber und Anlagen in verschiedenen KRITIS-Sektoren.

David Koller

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

UPDATE KRITIS IN ZAHLEN

Am 1. August 2024 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Aktualisierung der Webseite „KRITIS in Zahlen“, die wichtige Kennzahlen zu Kritischen Infrastrukturen (KRITIS) bereitstellt. Diese Daten basieren auf Auswertungen bis zum 30. Juni 2024 und bieten Sicherheitsfachleuten einen umfassenden Überblick über die bei BSI registrierten Betreiber und Anlagen in verschiedenen KRITIS-Sektoren.

Ein zentrales Ergebnis der Auswertung ist die Darstellung von Störungen, die im zweiten Quartal 2024 von KRITIS-Betreibern beim Nationalen IT-Lagezentrum gemeldet wurden. Diese Statistiken sind entscheidend, um Trends und Muster in der IT-Sicherheit innerhalb kritischer Infrastrukturen zu identifizieren. Besonders veranschaulichend sind die Zahlen zu den Reifegraden der Managementsysteme für Informationssicherheit (ISMS) sowie Geschäftskontinuität (BCMS), die zeigen, wie gut Betreiber auf IT-Sicherheitsvorfälle vorbereitet sind und welche Maßnahmen zur Aufrechterhaltung des Betriebs implementiert wurden.

Folgendes Diagramm zeigt die Daten zu den Reifegraden der implementierten ISMS und BCMS im Sektor Finanz und Versicherungswesen:

Ashkan Morady

Die Reifegrade wurden folgendermaßen definiert:

  • Reifegrad 1: Ein ISMS/BCMS ist zwar geplant, aber bisher nicht etabliert.
  • Reifegrad 2: Ein ISMS/BCMS ist weitestgehend etabliert.
  • Reifegrad 3: Ein ISMS/BCMS ist etabliert und dokumentiert.
  • Reifegrad 4: Zusätzlich zum Reifegrad 3 wurde das ISMS/BCMS regelmäßig auf Effektivität überprüft.
  • Reifegrad 5: Zusätzlich zum Reifegrad 4 wurde das ISMS/BCMS regelmäßig verbessert.

Durch die geforderten Nachweise, die Betreiber alle zwei Jahre erbringen müssen, liefert die KRITIS-Datenbank zusätzlich Informationen über den Umsetzungsgrad von Angriffserkennungssystemen (SzA) in verschiedenen Sektoren. Diese Informationen sind immens wichtig für Security-Professionals, um zu verstehen, wo Schwächen in den Sicherheitsarchitekturen liegen könnten und wo Verbesserungen notwendig sind.

Das folgende Diagramm zeigt die Anzahl der Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Finanz- und Versicherungswesen:

Anzahl der Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Finanz- und Versicherungswesen

Die Umsetzungsgrade wurden folgendermaßen definiert:

  • Umsetzungsgrad 0: Es sind bisher keine Maßnahmen zur Erfüllung der Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Maßnahmen.
  • Umsetzungsgrad 1: Es bestehen Planungen zur Umsetzung von Maßnahmen zur Erfüllung der Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
  • Umsetzungsgrad 2: In allen Bereichen wurde mit der Umsetzung von Maßnahmen zur Erfüllung der Anforderungen begonnen. Es sind noch nicht alle MUSS-Anforderungen erfüllt worden.
  • Umsetzungsgrad 3: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Idealerweise wurden SOLLTE-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.
  • Umsetzungsgrad 4: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen wurden erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
  • Umsetzungsgrad 5: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen und KANN-Anforderungen wurden für alle Bereiche erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.

Ein weiterer wichtiger Punkt ist die Einhaltung von Mindeststandards, die durch die steigende Zahl von Cyberangriffen, insbesondere Ransomware, unter Druck steht. Sicherheitsprofis sollten diese Kennzahlen nutzen, um aktuelle Bedrohungen besser einzuschätzen und ihre eigenen Sicherheitsstrategien entsprechend anzupassen. Insgesamt stellt die BSI-Initiative einen bedeutenden Schritt dar, um sowohl Transparenz als auch Zusammenarbeit in der Sicherheitslandschaft Deutschlands zu fördern und die Resilienz kritischer Infrastrukturen zu stärken.

Hier eine abschließende Übersicht der gemeldeten Störungen nach Sektoren im zweiten Quartal 2024:

Übersicht der gemeldeten Störungen nach Sektoren im zweiten Quartal 2024

Insgesamt lassen sich aus der aktuellen BSI-Datenlage aktuelle Herausforderungen und Mängel in der Informationssicherheit ableiten, die Sicherheitsverantwortliche dringend angehen müssen, um die IT-Sicherheit kritischer Infrastrukturen nachhaltig zu verbessern.

zur Mitteilung des BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Whitepapier_KI-Systeme_240805.html

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/

Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI

Der Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt ein zentrales Instrument dar, um nationale und europäische Vorgaben zur Cybersicherheit zu implementieren. Diese Richtlinie fordert eine grundlegende Erhöhung der Sicherheitsstandards für Unternehmen, die kritische Infrastrukturen betreiben und nach neuen Normen der Netz- und Informationssicherheit (NIS-2) reguliert werden.

Wesentliche Ergebnisse und Herausforderungen für Sicherheitsexperten:

  1. Erweiterter Geltungsbereich: Unter NIS-2 sind jetzt mehr Unternehmen betroffen, insbesondere solche mit einem erheblichen Einfluss auf die Gesellschaft und Wirtschaft. Für Sicherheitsexperten bedeutet dies, dass sie sich mit einer größeren Anzahl potenzieller Sicherheitsaudits und Compliance-Anforderungen auseinandersetzen müssen.
  1. Einführung strenger Sicherheitsanforderungen: Unternehmen müssen sich an höhere Sicherheitsanforderungen halten, die regelmäßige Risikobewertungen und die Implementierung technischer Sicherheitsmaßnahmen umfassen. Dies umfasst unter anderem robuste Incident-Response-Pläne, die das schnelle Reagieren auf Sicherheitsvorfälle garantieren.
  1. Berichtspflichten: Die NIS-2-Richtlinie führt detaillierte Berichtspflichten über Sicherheitsvorfälle ein. Fachleute müssen Systeme implementieren, die es ermöglichen, sicherheitsrelevante Vorfälle innerhalb einer festgelegten Frist zu melden. Dies erfordert eine enge Zusammenarbeit zwischen IT-Sicherheitsteams und rechtlichen Abteilungen.
  1. Kollaboration zwischen den Behörden und den Unternehmen: Die NIS-2-Richtlinie fördert eine engere Zusammenarbeit zwischen Behörden und betroffenen Unternehmen, um Bedrohungen proaktiv zu begegnen. Sicherheitsprofis müssen Netzwerke und Kommunikationskanäle aufbauen, die den Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle erleichtern.
  1. Cyber-Risiken durch neue Technologien: Die Diversifizierung von Technologien, die von Unternehmen implementiert werden (wie IoT und Cloud-Dienste), bringt neue Risiken mit sich. Sicherheitsexperten müssen kontinuierlich neue Bedrohungen verstehen und geeignete Sicherheitsvorkehrungen etablieren.

Insgesamt zeigt der Entscheidungsbaum der NIS-2-Betroffenheitsprüfung die Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie, um den Anforderungen der neuen Richtlinie gerecht zu werden. Sicherheitsexperten sollten bereit sein, ihre Ansätze anzupassen, um die Sicherheit von kritischen Infrastrukturen zu gewährleisten und den steigenden regulatorischen Anforderungen gerecht zu werden.

Zum Entscheidungsbaum des BSI: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.html

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/

Wir von ADWEKO behalten die nationale, europäische und internationale Regulatorik für Sie im Blick und unterstützen Sie bei deren Umsetzung.

sprechen sie mit
David Koller!

Sprechen Sie mit David Koller! Jetzt E-Mail schreiben.