< Zurück
News

HiSolutions KRITIS-News April 2024

Security Consulting , Cybersecurity News

Die Themen: Referentenentwurf zum NIS2UmsuCG vom 22.12.2023 frei verfügbar | NIS2-Kompass von HiSolutions | 4. Referentenentwurf des KRITIS-Dachgesetzes | Bundesregierung entwickelt neue Hafenstrategie | Sicherheitsvorfall bei Südwestfalen-IT kostet Hochsauerlandkreis bisher rund 1,5 Mio. Euro | Bargeld oder Karte? | „Foresight Cybersecurity Threats For 2030  - Update 2024“ | Putins Bären, CyberCyber, Geheimdienste und wie sie KRITIS zerstören wollen 

KRITIS-News jetzt abonnieren

 

Liebe Leserin, lieber Leser,

in dieser Ausgabe unseres KRITIS-Newsletters gehen wir auf einige Neuigkeiten in der Gesetzgebung im Zusammenhang mit Kritischen Infrastrukturen ein und freuen uns, den neuen HiSolutions-NIS2-Kompass vorzustellen, mit dem Sie schnell und kostenfrei einen ersten Überblick erhalten können, ob und wie Sie von NIS2 betroffen sind. Wenn dem so ist, werden Sie schnell feststellen, dass auch weiterhin eine defensive Sicherheitsstrategie mit einem Informationssicherheitsmanagementsystem (ISMS) und einem Business Continuity Management (BCM) die Lösung bleibt, so wie es vom Gesetzgeber und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei den KRITIS-Prüfungen nach § 8a BSI-Gesetz als Stand der Technik gefordert wird. Und weiterhin gilt, dass Sicherheit ein Prozess und kein Zustand ist.

 

News aus dem Paragraphendschungel

Mit dem NIS2-Kompass von HiSolutions aus dem Paragrafendschungel herausnavigieren

Die europäische NIS2-Richtlinie soll die Informations- und Netzwerksicherheit in allen Mitgliedsstaaten einheitlich regulieren. Die Details der Umsetzung in deutsches Recht werden aktuell im NIS2UmsuCG ausgearbeitet,– und mit dem stark erweiterten Geltungsbereich werden ca. 29.000 Unternehmen und Organisationen davon betroffen sein.

Ob Sie ebenfalls betroffen sind, können Sie schnell und kostenfrei mit unserem NIS2-Kompass prüfen. Gerne hilft Ihnen unser Team von Expertinnen und Experten aber auch im Detail bei der Betroffenheitsanalyse und der praktischen Umsetzung von NIS2.

https://www.hisolutions.com/security-consulting/cybersecurity/nis2

 

Referentenentwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vom 22.12.2023 frei verfügbar

Die AG KRITIS hat den Referentenentwurf des NIS2UmsuCG öffentlich gemacht, sodass nun öffentliche Diskussionen und Debatten entstehen können. Es wurde wieder viel geändert und reichlich Anpassungen vorgenommen. Schauen Sie in die Details des Entwurfs: https://ag.kritis.info/2024/03/07/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/

Trotzdem wird das NIS2UmsuCG „late to the party“ kommen, denn eine Verabschiedung in dieser Legislaturperiode rückt aktuell in weite Ferne. Die Spatzen pfeifen es schon von den Dächern, dass es sich um 1,5 Jahre verzögern könnte. Die Anforderungen zur Absicherung aus der EU-Richtlinie NIS2, die darin dann umgesetzt werden, sind aber schon heute wichtig und richtig umzusetzen. Aufschub im Gesetz bedeutet daher keineswegs entspanntes Zurücklehnen. Kluge Köpfe kümmern sich bereits jetzt um die Maßnahmen und setzen diese um – im Rahmen eines ISMS und BCM – Profis halt!

 

4. Referentenentwurf des KRITIS-Dachgesetzes

Er ist da – oder auch nicht: Der Entwurf zu physischer Resilienz von Kritischen Infrastrukturen liegt leider (noch?) nicht öffentlich vor. Wir sind gespannt, was sich geändert hat. Gemäß der EU-Vorgabe wird das KRITIS-DachG in Deutschland im Oktober 2024 verbindlich.

 

Bundesregierung entwickelt eine neue Hafenstrategie

Das Bundeskabinett hatte am 20.03.2024 eine Nationale Hafenstrategie in die Wege geleitet, um das nationale Hafenkonzept zu ersetzen, welches noch bis 2025 gültig ist. Wie die nationale Hafenstrategie allerdings im Einklang mit der EU NIS2 und dem KRITIS-Dachgesetz stehen wird, ist derzeit noch ein wenig unklar. Denn ohne diese zu erwähnen, wird darauf eingegangen, dass „Häfen – ebenso wie die Hinterland-Infrastruktur – vor physischen und Cyberangriffen geschützt“ werden müssen.

https://bmdv.bund.de/DE/Themen/Mobilitaet/Wasser/Hafenstrategie/hafenstrategie.html

 

Attacken

Der Sicherheitsvorfall bei Südwestfalen-IT (SIT) kostet Hochsauerlandkreis bisher rund 1,5 Millionen Euro

Interessanterweise rechnet allein die Bußgeldstelle des Hochsauerlandkreises mit einem Verlust von 800.000 Euro. Insgesamt sind von dem Sicherheitsvorfall beim Zweckverband SIT 126 Stadt-, Kreis- oder Gemeindeverwaltungen in Nordrhein-Westfalen und Niedersachsen betroffen. Insofern täte es den Kommunen und Landkreisen gut, doch in den KRITIS-Sektor „Staat und Verwaltung“ aufgenommen zu werden und die Cybersicherheit in der Supplychain einzufordern.

https://www.radiosauerland.de/artikel/cyberattacke-kostet-hsk-bisher-rund-15-millionen-euro-1953364.html

Zum Vergleich: Der Cyberangriff im Landkreis Anhalt-Bitterfeld vom Sommer 2021 hat bisher schon 2,5 Millionen Euro gekostet.

https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/anhalt/cyberangriff-kreis-kosten-teurer-als-gedacht-102.html


Dazu gibt es auch einen mehrteiligen Podcast mit dem provokanten Namen „You are fucked" vom MDR, den ich Ihnen ans Herz legen kann: https://www.mdr.de/nachrichten/sachsen-anhalt/faq-podcast-you-are-fucked-cyberangriff-anhalt-bitterfeld-100.html

 

Bargeld oder Karte? Bei Karte ist alles immer so viel Krypto …

Aufgrund einer Großstörung Anfang April war die Kartenzahlung in Deutschland zeitweise nicht mehr möglich. Betroffen waren „EC- und Maestro-Karten“, genauer: Girocard – denn EC gibt es schon lange nicht mehr in Deutschland. (https://www.girocard.eu/girocard-karten-was-ist-was/)

Wir können aber beruhigen, es war kein Krypto aufgrund eines erfolgreichen Ransomware-Angriffs: Hintergrund waren Störungen beim Einsatz eines internen Verschlüsselungsverfahren. Gegen Störungen dieser Art helfen in der Regel redundante und ausfallsichere Hardware Security Module (HSM). https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

HSM sollten zudem noch in passenden ISMS- und BCM-Prozessen integriert und im Notfallmanagement geeignete Gegenmaßnahmen ergriffen sein, damit solche Vorfälle nur Theorie bleiben.
https://www.ksta.de/wirtschaft/grosse-stoerung-bei-kartenzahlung-in-deutschland-visa-sparkasse-maestro-ec-commerzbank-769532

 

Nahrung für den Kopf

Paper „Foresight Cybersecurity Threats For 2030 - Update 2024“ veröffentlicht

Die aktuelle Top Ten der Cyber-Risiken liest sich insgesamt sehr spannend:

  1. Supply Chain Compromise of Software Dependencies
  2. Skill Shortage
  3. Human Error and Exploited Legacy Systems within Cyber-Physical Ecosystems
  4. Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Cross-sector Tech Ecosystem [New in Top Ten]
  5. Rise of Digital Surveillance Authoritarianism/Loss of Privacy
  6. Cross-border ICT Service Providers as a Single Point of Failure
  7. Advanced Disinformation/Influence Operations (IO) Campaigns
  8. Rise of Advanced Hybrid Threats
  9. Abuse of AI
  10. Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure [New in Top Ten]

Wer jetzt immer noch meint, auf die Gesetzgebung und Regulierungen wie NIS2 oder KRITIS-DachG zu warten, ist auf dem Holzweg.

https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-soar-to-high-ranking-2030-cyber-threats

 

Putins Bären, CyberCyber, Geheimdienste und wie sie KRITIS zerstören wollen

In der ARD gibt es einen tollen Beitrag über die „Geheimdienst-Pest” und darüber, dass Raketen wirksamer als Cyberangriffe sind, um KRITIS zu (zer-)stören.

https://www.ardmediathek.de/video/putins-baeren/putins-baeren-die-gefaehrlichsten-hacker-der-welt/swr/Y3JpZDovL3N3ci5kZS9hZXgvbzIwMDQ0NjI

 

Soviel für dieses Mal – bleiben Sie auch 2024 wie immer safe and secure!

Herzliche Grüße
Ihr Manuel „HonkHase" Atug

Unser nächster KRITIS-Newsletter erscheint Ende Juli 2024.

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen KRITIS-News.

Jetzt teilen: