< Zurück
News

HiSolutions KRITIS-News Juli 2023

Security Consulting , Cybersecurity News

Die Themen: Entwurf des KRITIS-Dachg­esetzes zur Umsetzung der EU-CER-Richt­linie | Aktueller Entwurf des Umsetzungs­gesetzes zur NIS2-Richt­linie | Entwurf der KRITIS-Verordnung für den Sektor Siedlungs­abfall­entsorgung | § 8a Absatz 5 BSIG – Grundsätzliche Anforderungen im Nachweis­verfahren | PSD3 und PSR für Zahlungs­dienstleister | Ransomware-Vorfall bei Japans größtem Hafen

KRITIS-News jetzt abonnieren

HiSolutions KRITIS-News Juli 2023

 

Liebe Leserin, lieber Leser,

diese hochsommerliche Ausgabe unseres KRITIS-Newsletters adressiert Angriffe und Gesetzgebungen, aber auch ein empfehlenswertes Whitepaper zum Thema Industrial Control System (ICS) - Industriesteuerungen für die Prozessautomatisierung. 

Das Thema Kritische Infrastrukturen (KRITIS) treibt alle an und wird auch zukünftig nicht langweilig. Vieles ist im Umbruch – nicht nur auf Seiten der IT-Security, sondern auch bei der Cybersecurity in der Operational Technology (OT). Die Umsetzung der immer komplexer werdenden (gesetzlichen) Anforderungen erfordert viel Know-how und eine ebenso kontinuierliche Erweiterung des Wissens: GAP Analyse, Pentest in Industrieanlangen oder Etablierung eines Information Security Management System (ISMS) mit Business Continuity Management (BCM), welches die Cybersicherheit von OT und nicht nur IT adressiert, oder im schlimmsten Fall die Incident Response nach einem erfolgreichen Cybervorfall.

 

HiSolutions erhält für die Vorfallbehandlung weiteres BSI-Zertifikat als IT-Sicherheitsdienstleister

Seit Juli 2023 ist HiSolutions „BSI-zertifizierter Sicherheitsdienstleister für die Vorfallbehandlung“. Der neue Geltungsbereich ergänzt die bisherigen Zertifikate des Beratungshauses für die Bereiche "Penetrationstest" und "IS-Revision und -Beratung".

https://www.hisolutions.com/detail/17025-vorfallsbehandlung

 

News aus dem Paragraphendschungel

Erster Entwurf des KRITIS-Dachgesetzes zur Umsetzung der EU-CER-Richtlinie

Der erste Entwurf des neuen Gesetzes zum physischen Schutz und zur Steigerung der Resilienz von Kritischen Infrastrukturen („KRITIS-Dachgesetz“) lässt noch viele Fragen unbeantwortet, gibt aber einen ersten Einblick in das Vorhaben.

2.000 KRITIS-Betreiber sollen zukünftig darlegen, mit welchen Schutzmaßnahmen sie physische Ausfälle verhindern oder bei solchen Ausfällen reagieren wollen.

Kritische Einrichtungen im Sinne dieses Entwurfs kommen dabei aus den Bereichen Energie, Transport und Verkehr, Abwasser, Trinkwasser, Finanz- und Versicherungswesen, Gesundheit, Informations- und Telekommunikationstechnik, Verwaltung von Informations- und Kommunikationsdiensten (ITK) für Business-to-Business-Kunden oder Weltraum. Gegenüber der KRITIS -Definition im BSI-Gesetz fallen hier also Medien und Kultur weg, dafür kommt der Bereich Weltraum hinzu.

Des Weiteren sollen die Bereiche Logistik, Entsorgung, Produktion, Chemie, Ernährung und verarbeitendes Gewerbe, digitale Dienste und Forschung ebenfalls unter das KRITIS-Dachgesetz fallen.

Wie schon im BSI-Gesetzt ist auch hier als Schwellwert, ab dem Unternehmen vom Gesetz erfasst werden, die Versorgung von mindestens 500.000 Menschen vorgesehen.

KRITIS-Betreiber sollen zukünftig alle vier Jahre Risikoanalysen und -bewertungen durchführen und alle zwei Jahre dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) einen Resilienzplan vorlegen.

Betreiber sollen zukünftig „geeignete und verhältnismäßige, technische, sicherheitsbezogene und organisatorische Maßnahmen“ treffen und sollen – nicht müssen – den Stand der Technik dabei berücksichtigen. Verhältnismäßigkeit wird dabei als so beschrieben, dass der Aufwand im Verhältnis zu den Folgen betrachtet werden soll.

Vorgaben für den Einsatz kritischer Komponenten bei den Betreibern kritischer Infrastrukturen sollen im § 13 beschreiben werden, der allerdings derzeit im Entwurf leer ist. Offenbar laufen da noch die Abstimmungen.

Die Registrierung und auch das Melden von Vorfällen, welche die kritischen Dienstleistungen erheblich stören könnten, sollen zukünftig gemeinsam an das BSI und das BBK erfolgen. Gefordert wird eine erste Meldung innerhalb von 24 Stunden. Spätestens einen Monat danach soll ein ausführlicher Bericht übermittelt werden.

Der Referentenentwurf des KRITIS-Dachgesetzes ist hier veröffentlicht: https://ag.kritis.info/2023/07/18/referentenentwurf-des-bmi-kritis-dachgesetz-kritis-dachg/

Eine erste öffentliche Einschätzung liefert Heise: https://www.heise.de/hintergrund/KRITIS-Dachgesetz-Schutzvorhaben-mit-eklatanten-Luecken-9219019.html

 

Aktueller Entwurf des Umsetzungsgesetzes zur NIS2-Richtlinie

Der aktualisierte und 145 Seiten starke Entwurf des „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ vom Juli 2023 ist öffentlich geworden. Er fordert umfassende Mehraufwände in geschätzter Höhe von initial 1,37 Millionen Euro und dann jährlich 1,65 Millionen Euro zur Cybersicherheit für ca. 29.000 „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Bundesbehörden. Für das BSI sind erheblich verschärfte Sanktionsmaßnahmen und umfassende Eingriffsbefugnisse enthalten.

Vorgesehen sind für besonders schwere Verstöße dabei „mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens". Das BSI soll auch bei „besonders wichtigen Einrichtungen“ Maßnahmen anordnen, verbindliche Anweisungen erlassen und bei Nichtbefolgung sogar einer Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen können.

Die Bundesländer und Kommunen sind dabei in der Gesetzgebung außen vor geblieben.

Der NIS2-Referentenentwurf ist hier veröffentlicht: https://ag.kritis.info/2023/07/19/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/

Eine erste öffentliche Einschätzung liefert Heise: https://www.heise.de/news/Bundesamt-fuer-Sicherheit-in-der-Informationstechnik-soll-CEOs-entmachten-koennen-9221469.html

 

Entwurf der KRITIS-Verordnung für den KRITIS-Sektor Siedlungsabfallentsorgung 

Der Entwurf ist noch nicht die finale Version, aber durchaus ein guter Indikator, was auf die Abfallentsorgungsbranche zukommen wird. Hier die wichtigsten Daten:

Es gibt zwei Anlagenkategorien:

  • Sammlung und Beförderung
  • Verwertung und Beseitigung

Die Schwellwerte für die Einordnung als KRITIS beziehen sich im Entwurf auf die Abfallmenge in Megagramm (entspricht Gewichtstonnen):

  • Restmüll 80.000 Megagramm
  • Biomüll 32.000 Megagramm
  • Verpackungen (Gelber Sack) 18.000 Megagramm
  • Altpapier 33.000 Megagramm
  • Glas 12.500 Megagramm

Insgesamt fallen voraussichtlich über 300 Betriebe und Anlagen unter diese Kategorien, davon ca. 150 Behandlungsanlagen und ca. 100 Sammlungsbetriebe. Die Umsetzungsfrist wird, wie üblich, zwei Jahre ab Verabschiedung sein.

Der in Arbeit befindliche „Branchenspezifische Sicherheitsstandard“ (B3S) nach BSI-Gesetz § 8a Absatz 2 wird laut dem Verband kommunaler Unternehmen e. V. (VKU) voraussichtlich erst 2024 fertiggestellt. Mehr vom VKU dazu findet sich in folgendem Artikel: https://www.vku.de/themen/infrastruktur-und-dienstleistungen/artikel/it-sicherheit/

 

Anforderungen nach § 8a Absatz 5 BSIG – Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)

Das BSI hat „Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)“ gemäß § 8a Absatz 5 BSI-Gesetz veröffentlicht, die bei den Prüfungen von Kritischen Infrastrukturen zu berücksichtigen sind. Wer nicht genau einordnen kann, was das für Auswirkungen auf die alle zwei Jahre durchzuführende Nachweiserbringung durch die KRITIS-Prüfung hat, kann sehr gerne auf uns zukommen.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/anforderungen_gain.html

 

Zahlungsdienstleister (insbesondere Banken und Zahlungsinstitute) erwartet einiges in der kommenden PSD3 und der flankierenden Verordnung PSR

Die Zahlungsdienster-Richtlinie Payment Services Directive 3 (PSD3) soll eine bessere Harmonisierung von regulierten Zahlungsdiensten in den Mitgliedsstaaten bewirken, da es immer noch Unstimmigkeiten und Ausnahmen gibt. Die Payment Services Regulation (PSR) widmet sich den aufsichtsrechtlichen Pflichten von Zahlungsinstituten, und die bisherige E-Geld-Richtlinie soll durch die beiden neuen Regelungen ersetzt werden. 

Eine gute Übersicht zur dritten Zahlungsdienster-Richtlinie als Rundumblick wurde in folgendem Artikel veröffentlicht. Reinschauen und Prüfen hilft bei der Bewertung, was auf betroffene Institutionen zukommen kann.

https://www.it-finanzmagazin.de/psd3-leaks-krypto-gefaehrdungshaftung-neue-freiheiten-154721/

 

Attacken

Ransomware Vorfall bei Japans größtem Hafen Nagoya Port

Nagoya Port ist der größte Hafen Japans. Jährlich werden ca. 200 Millionen Tonnen Fracht umgeschlagen. Anfang Juli wurde er durch Ransomware erfolgreich angegriffen. Dadurch wurde der Umschlag von Gütern aller Art, vor allem von Autos und Autoteilen, Haushaltsgeräten und Lebensmitteln stark beeinträchtigt, und am Hafen bildeten sich lange LKW-Schlangen. 

Die Zahl der gemeldeten Ransomware Angriffe steigt auch in Japan stetig. Im Jahr 2022 wurden bereits 230 Angriffe gemeldet. Wie viele noch als Dunkelziffer dazu kommen, kann nicht mit Gewissheit gesagt werden. Betroffen sind immer wieder auch Kritische Infrastrukturen wie Krankenhäuser, aber auch Universitäten und Unternehmen, besonders aus der Autoindustrie.

Letztes Jahr wurde sogar das Osaka General Medical Center Ziel eines Ransomware-Angriffs. Dabei wurden die elektronischen Krankenakten und die Abrechnungssoftware lahmgelegt – die ambulante Behandlung musste ebenfalls eingestellt werden.

https://sumikai.com/nachrichten-aus-japan/hafen-von-nagoya-durch-ransomware-lahmgelegt-331762/

 

Krankenhaus im US-Bundesstaat Illinois schließt als Folge eines Ransomware-Vorfalls

Erfolgreiche Cyberangriffe haben immer häufiger fatale Auswirkungen auf die Existenz von betroffenen Kritischen Infrastrukturen und Unternehmen, die in der Folge Insolvenz anmelden und die Tore schließen müssen. Das amerikanische Krankenhaus St. Margaret‘s Health wurde bereits 2021 durch einen Ransomware-Vorfall lahmgelegt und kam daraufhin über Monate in finanzielle Schwierigkeiten, da die Beantragung der Gelder von Versicherungen und staatlichen Stellen verhindert wurde. Jetzt musste es für immer schließen.

https://www.heise.de/news/US-Krankenhaus-schliesst-erstmals-wegen-eines-Ransomware-Angriffs-9186812.html

 

Nahrung für den Kopf

Absolut lesenswert …

…ist dieses frei verfügbare Whitepaper-Schmuckstück „Industrial Control Systems: Engineering Foundations and Cyber-Physical Attack Lifecycle“ von Dr.-Ing. Marina Krotofil. Derzeit prüft  die Autorin sogar, ob und wie das freie Werk ins Deutsche übersetzt werden kann.

https://www.cyberphysicalsecurity.info/

 

Schulung „KRITIS-Anforderungen in der Praxis umsetzen 

Die Kritischen Infrastrukturen (KRITIS) unterliegen einem besonderen Sicherheitsanspruch. In der zweitägigen Online-Schulung „KRITIS-Anforderungen in der Praxis umsetzen“ lernen Sie, wie Sie die gesetzlichen Vorgaben von § 8a BSIG – Sicherheit in der Informationstechnik Kritischer Infrastrukturen – sicher in Ihrer Organisation realisieren können. In diesem Workshop geht es vor allem um die praktische Anwendung und die konkreten ersten Schritte bei der Umsetzung im eigenen Unternehmensumfeld. Dazu gehören zum Beispiel eine Gap-Analyse, ein Informationssicherheitsmanagementsystem (ISMS) sowie eine Inventur der eigenen Assets.

29./30.08.2023 - HiSolutions, remote

https://www.hisolutions.com/security-consulting/academy#c11485

 

So viel für dieses Mal – stay safe and secure!

Herzliche Grüße
Ihr Manuel Atug

Unser nächster KRITIS-Newsletter erscheint Ende Oktober 2023.

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen KRITIS-News.

Jetzt teilen: