Aktuell
zurück

Top Thema

Top Thema: KRITIS

KRITIS - Haben Sie alle Nachweise?

Unsere vergangene Infoveranstaltung für Betreiber kritischer Infrastrukturen war ein voller Erfolg. Die aktuellen Termine finden Sie unter KritisForum.de

Fakt ist: Sie müssen aktiv werden!

Mit Inkrafttreten des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Juli 2015 und der Veröffentlichung des IT-Sicherheitskatalogs durch die Bundesnetzagentur haben der Gesetzgeber und die Regulierungsbehörden die Eckpunkte der Sicherheitsanforderungen an kritische Infrastrukturen festgelegt.

Transport- und Verkehrsinfrastruktur sind durch ihre, im allgemeinen öffentlich zugängliche, Lage einem erhöhten Angriffspotential ausgesetzt.

Die öffentlichen zugänglichen Netzwerke sind allzu anfällig für Hacking-Angriffe. Bereits Ende letzten Jahres wurde über diverse unangenehme Sicherheitslücken in Eisenbahnsystemen, Signalanlagen und Zügen berichtet. „Es ist für Hacker wirklich ein Leichtes“, einige der gefundenen Schwachstellen auch auszunutzen, betonte ein Sicherheitsforscher. Die Ergebnisse einer monatelangen Analyse, bei der Eisenbahnsysteme und Züge in verschiedensten Ländern untersucht wurden ergaben, dass etablierte Sicherheitsvorgaben bei industriellen Steuerungsanlagen nicht ausreichend berücksichtigt werden.

Was ist, wenn Hackerangriffe Teile der Verkehrsinfrastruktur zum Erliegen bringen und damit enorme Einschränkungen in der Mobilität entstehen?

Was ist, wenn regionale Hubs durch Cybersabotage lahmgelegt werden und es zu schwerwiegenden Engpässen bei der Versorgung von Nahrungsmitteln kommt?

Nachhaltig wirkende Versorgungs- oder Verkehrsengpässe können zu erheblichen Störungen der öffentlichen Sicherheit führen oder andere dramatische Folgen nach sich ziehen. Die Vergangenheit zeigt, dass die Anzahl der Cyberdelikte rasant wächst und jeder zum Opfer werden kann. Das Transport- und Verkehrswesen ganzer Regionen könnte in Zukunft Zielscheibe gezielter Attacken werden.

Somit besteht erhöhter Handlungsbedarf, um solche Risiken zu minimieren. Aus diesem Grund sind Unternehmen laut des neuen IT-Sicherheitsgesetzes verpflichtet, umfassende Vorkehrungen in Form von kritischen Versorgungsaufgaben zu treffen: Betreiber kritischer Infrastrukturen müssen für ihre IT-Systeme, -Komponenten und -Prozesse, die zur Abwicklung der Geschäftsprozesse notwendig sind (z.B. für Frachtzentren, Logistikanwendungen etc.), „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ treffen. Die Erfüllung dieser Anforderungen ist unter Berücksichtigung des Standes der aktuellen Technik mindestens alle zwei Jahre auf geeignete Weise nachzuweisen.

Die für Sie relevanten Maßnahmen für mehr IT-Sicherheit werden im Gesetz formuliert.

Sie müssen innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes Ihre prozess-relevante Informations- und Kommunikationstechnik in ein Informationssicherheitsmanagementsystem (ISMS) einbinden und nach einem gängigen Standard (z.B. ISO 27001) zertifizieren lassen.
Sie als Betreiber kritischer Infrastrukturen müssen innerhalb von sechs Monaten nach Inkrafttreten des Gesetzes eine Kontaktstelle einrichten, die für das BSI - Bundesamt für Sicherheit in der Informationstechnik in Bonn „jederzeit erreichbar“ ist.

Durch die geforderten Maßnahmen sollen die Telekommunikationssysteme und elektronischen Datenverarbeitungssysteme, die der Geschäftsprozesssteuerung und -überwachung dienen, künftig besser gegen Angriffe aus dem globalen Netz, gegenüber Innentätern sowie gegen Sabotage oder Spionage geschützt werden.

Sie als Betreiber kritischer Infrastrukturen sind von der Regelung betroffen.

Alle Eisenbahnverkehrsunternehmen sind grundsätzlich Betreiber einer kritischen Infrastruktur i.S. §2 Abs. 10 Nr.1 BSIG sind und damit zur Umsetzung dieses Gesetzes verpflichtet.

Sie als Betreiber kritischer Infrastrukturen werden darüber hinaus verpflichtet sein, dem BSI alle Vorfälle in anonymisierter Form zu melden, die die Sicherheit dieser Strukturen gefährden. Sie müssen dabei jederzeit mit einer Prüfung durch das BSI rechnen. Die Behörde kann verlangen, dass die identifizierten Schwachstellen innerhalb einer bestimmten Frist beseitigt werden.

Die für Sie notwendige Verbesserungen bedürfen sorgfältiger Planung.

Die größten Probleme für die Sicherheit der Bahnnetzwerke die zunehmende Automatisierung und Fernsteuerung der gesamten Infrastruktur. Veraltete Leit- oder Logistiksysteme, die zum Teil auf Systemen beruhen, die bereits seit Jahren im Einsatz sind, werden zunehmend auf IP-basierte Technologien umgestellt und zum Internet geöffnet. Die relevanten Sicherheitsaspekte sind aufgrund des bisher isolierten Betriebsszenarios oftmals nicht hinreichend berücksichtigt worden. Die nun notwendig werdende Verbesserung der Sicherheit solcher Systeme wird deutlich aufwendiger sein, denn durch die Integration von Leit- oder Logistiksystemen in IP-basierte Netzwerke sind die Systeme inzwischen sehr eng miteinander verflochten.

Um Schwachstellen in den Systemen zu identifizieren und zum Aufbau eines effizienten Managementsystems, sollten Sie als Betreiber kritischer Infrastrukturen bereits jetzt die Initiative ergreifen und alle notwendigen Vorbereitungen für die Zertifizierung treffen. Der Erfüllungsaufwand für die Anforderungen aus dem Gesetz sollte nicht unterschätzt werden.

Wir unterstützen Sie dabei.

Die ICS AG ermittelt gemeinsam mit Ihnen, inwieweit die Regelungen zur Informationssicherheit bereits erfüllt werden und ob diese für ein ausreichendes ISMS verwendet werden können. Wir begleiten Sie über den gesamten Weg von der Ermittlung Ihrer Ausgangssituation bis zur Erfüllung der gesetzlichen Anforderungen durch die vom Gesetzgeber geforderte Erbringung des Nachweises.

Sprechen Sie uns an, wir freuen uns auf Ihre Fragen!