IT-Sicherheit in KRITIS-Unternehmen: Unsichtbar ist unschützbar

Foto: eamesBot – shutterstock.com

Ihre essenzielle Bedeutung für Wirtschaft und Gesellschaft macht KRITIS-Unternehmen zunehmend interessant für Cyberkriminelle vor allem für diejenigen, die im Auftrag einer feindlich gesinnten Regierung agieren. Laut einer Bitkom-Studie verzeichneten 87 Prozent der KRITIS-Betriebe innerhalb der vergangenen zwölf Monate einen merklichen Anstieg der Angriffszahlen – ein Trend, der aktuell kein Ende zu finden scheint.

Das kann weitreichende Folgen haben. Denn bei einem Angriff auf diese Unternehmen steht weitaus mehr auf dem Spiel als das Abfließen sensibler und personenbezogener Daten, geschäftskritischer Informationen und geistigen Eigentums. Betriebsabläufe drohen zum Erliegen zu kommen, was sich verheerend auf unseren Alltag auswirken kann – zum Beispiel durch eine Unterbrechung der Energie-, Wasser-, Lebensmittel- oder Gesundheitsversorgung.

Lesetipp: Energiewende in Deutschland – Hacker zielen auf Solar- und Windkraftanlagen

Ein gefundenes Fressen für Cyberkriminelle

Wie viele andere Unternehmen sehen sich KRITIS-Unternehmen mit einer immer komplexer werdenden IT-Landschaft konfrontiert, in der sich immer mehr (oft nicht verwaltete) Geräte und Daten mittlerweile stark verteilen. Unter diesem Überblicksverlust leidet die Kontrolle und das Risiko steigt, dass ungewollte Dritte ins Netzwerk eindringen. Es entstehen blinde Flecken, die laut einer aktuellen Studie für 56 Prozent der befragten Sicherheitsexperten eine echte Herausforderung darstellen. Nur rund 50 Prozent wissen, wo sich in ihrem Netzwerk sensible Informationen befinden. 30 Prozent können verschlüsselte Daten einsehen und knapp der Hälfte (48 Prozent) bleibt der Einblick in den sogenannten Ost-West-Datenverkehr, der Übertragung von Datenpaketen zwischen den Servern in einem Data Center, verwehrt.

Für viele Betriebe stellt das Thema Sichtbarkeit demnach ein echtes Problem dar. Dies führt dazu, dass eine von drei Sicherheitsverletzungen für längere Zeit unentdeckt bleibt – nur 69 Prozent der Experten konnten Bedrohungen mithilfe ihrer Sicherheits- und Monitoring-Lösungen eindeutig identifizieren. Und wenn es zu einem Sicherheitsvorfall kommt, ist allein in der EMEA-Region eines von fünf Unternehmen (18 Prozent) nicht in der Lage, die Ursache festzustellen.

Kritische Infrastrukturen sind besonders schützenswert

Angesichts dieses hochriskanten Umfelds haben Bundesregierung und Europäische Kommission diverse Gesetze und Richtlinien für KRITIS-Unternehmen formuliert. Die darin enthaltenen Maßnahmen sollen nicht nur die IT-Sicherheit einzelner Unternehmen stärken, sondern auch insgesamt das Cybersicherheitsniveau in Deutschland und der EU erhöhen.

Der zweite Aufschlag des IT-Sicherheitsgesetzes (IT-SiG 2.0) von 2021 richtet sich aktuell an zehn Sektoren, in denen kritische Infrastrukturen besonders prominent sind. Es verpflichtet KRITIS-Betreiber explizit dazu, Prozesse und Tools zu implementieren, mit denen sie potenzielle Bedrohungen und Angriffe frühzeitig erkennen können.

Dieses Gesetz wird im September 2024 durch die NIS2-Richtlinien (Network and Information Security 2) ergänzt, wenn sie in nationales Recht umgesetzt werden. Spätestens dann müssen KRITIS-Betriebe weitreichende Sicherheitsmaßnahmen implementiert haben. Das Besondere: NIS2 umfasst weitere kritische Sektoren, die nicht unter das IT-SiG 2.0 fallen. Schätzungsweise wird das Gesetz dann 40.000 zusätzliche Unternehmen betreffen, die per SiG-Definition bisher nicht zu den KRITIS gezählt haben.

Lesetipp: Cybergesetze – Firmen in Zugzwang

Mit Netzwerksichtbarkeit das Verborgene offenbaren

Technische Ansätze wie Security Information and Event Management (SIEM), Endpoint/Extended Detection and Response (EDR/XDR) sowie Intrusion Detection zentralisieren, beobachten und analysieren entweder den gesamten Stack oder Teilbereiche, um Anomalien ausfindig zu machen. Dabei geht es vor allem darum, die “Mean Time to Detect” (MTTD) sowie die “Mean Time to Respond” (MTTR) zu verkürzen. Allerdings nutzen herkömmliche Sicherheitslösungen Agents, die lediglich ihre Umgebung beobachten. Für gewöhnlich wissen diese aber nicht, was auf Netzwerkebene passiert. Viele (Legacy-) Systeme lassen die Installation dieser Agents gar nicht zu. Jedoch muss die IT nicht nur wissen, wo genau sich (sensible) Informationen im Netzwerk befinden, sondern auch nachvollziehen können, wie sich Daten durch das Netzwerk bewegen, welche Geräte und Anwendungen Zugriff haben und wie die unterschiedlichen Instanzen miteinander kommunizieren. Hier kommt das Thema Netzwerksichtbarkeit ins Spiel.

Um im gesamten Netzwerk für Sicherheit sorgen zu können, braucht es Sichtbarkeit. Wie sich jedoch zeigt, haben viele Unternehmen Schwierigkeiten, den nötigen Sichtbarkeitsgrad zu erreichen. Für dieses Problem sollen Tools für die sogenannte Deep Observability Abhilfe schaffen. Sie ergänzen bestehende IT-Stacks, ermöglichen granulare Einblicke bis hinunter auf die Netzwerkebene und gehen dabei über traditionelles metrik-, event-, log- und tracebasiertes Monitoring hinaus. Von physischen über virtuellen bis hin zu Cloud-Netzwerken macht eine entsprechende Lösung den gesamten Traffic sichtbar.

Jedes einzelne Datenpaket, das über die Access Points ins Netzwerk gelangt, wird von der Technik erfasst. Außerdem werden alle relevanten Informationen zu den Sicherheits- und Monitoring-Lösungen gesendet, die ein Unternehmen bereits im Einsatz hat. Dabei berücksichtigt die Lösung selbst verschlüsselte Daten sowie Ost-West-Datenströme. Sicherheitsmitarbeiter können dadurch nicht nur verdächtige Aktivitäten und aktuelle Angriffe schneller erkennen sowie entsprechende Maßnahmen einleiten, sondern auch die Ursachen einfacher nachvollziehen – dadurch steigt das Sicherheitsniveau.

Fazit

Aufgrund von Remote Work und neuen Technologien hat die IT-Landschaft in KRITIS-Unternehmen mittlerweile ein sehr hohes Komplexitätslevel erreicht. Sicherheitsexperten fehlt vielerorts der ganzheitliche Überblick über ihre Netzwerke, Anwendungen, Geräte, Nutzer und Daten. Darunter leidet in erster Linie die Cybersicherheit – eine fatale Entwicklung, wenn man sich die aggressive Cyberbedrohungslandschaft vor Augen hält. Damit Sicherheitslösungen – vor allem vor dem Hintergrund gesetzlicher Vorgaben – effektiv ihren Dienst leisten können, müssen KRITIS-Betriebe für mehr Sichtbarkeit auf Netzwerkebene sorgen. Schließlich können sie nur die Bereiche schützen, von deren Existenz sie wirklich wissen. (jm)