365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Der KRITIS-Sektor befindet sich im Umbruch: Raffinierte Cyber-Angriffe machen den Unternehmen ebenso zu schaffen wie neue Regulierungen, etwa NIS2. Eine Diskussionsveranstaltung im Rahmen des IT Security Update – Special Edition „KRITIS“ lieferte dazu spannende Erkenntnisse.
In einer spannenden Diskussionsrunde konnten Teilnehmerinnen und Teilnehmer Fragen zur IT-Security im KRITIS-Sektor sowie den damit verbundenen Regulierungen stellen. Die Experten sahen sich mit sachkundigen Fragen eines versierten Fachpublikums konfrontiert. Dabei wurde deutlich, dass noch viele Unternehmen mit der anstehenden NIS2-Regulierung Schwierigkeiten haben.
Am Wochenende zuvor wurden Bezirkskliniken im mittelfränkischen Ansbach Opfer von Angriffen, am Montag die Caritas-Klinik Dominikus in Berlin. In beiden Fällen handelt es sich um Ransomware-Angriffe, bei denen sensible Daten verschlüsselt wurden. Laut einem Bericht des Bayrischen Rundfunks (BR) muss in Ansbach davon ausgegangen werden, dass auch personenbezogene und unternehmensinterne Dokumente von den Hackern erbeutet wurden. Ob auch bei dem Angriff in Berlin personenbezogene Daten abgegriffen werden konnten, ist aktuell noch unklar.
Die Attacken blieben nicht ohne Folgen für die Gesundheitsversorgung: Alle IT-Systeme seien aus Sicherheitsgründen vom Netz genommen worden, vermeldeten die Kliniken. In der Folge kam es in beiden Fällen zu massiven Einschränkungen bei der telefonischen Erreichbarkeit. Außerdem haben sich die Krankenhäuser von der Notfallversorgung abgemeldet. Allerdings konnte trotz der Angriffe die Versorgung der Patienten gesichert werden, denn die Kliniken hatten entsprechende Notfallpläne erstellt und waren daher auf derartige Ereignisse vorbereitet. Damit zeigt sich erneut: Notfallmanagement ist als elementarer Bestandteil des KRITIS-Bereichs unverzichtbar.
Trotz solcher Vorfälle klagen Fachkräfte im Sicherheitsbereich immer wieder über mangelndes Interesse ihres Top-Managements für IT-Security, wie das IT Security Update – Special Edition „KRITIS“ zeigte. Zwei Experten stellten sich darin den Fragen des Publikums: Neben Frank Sauber, der als Global Head of Sales and Business Enablement im Bereich Division Industry bei secunet tätig ist, auch Martin Latzenhofer, Senior Research Engineer beim Austrian Institute of Technology (AIT). Die Diskussion ergab verschiedene Möglichkeiten, um bei solchen Problemen erfolgreich Abhilfe zu schaffen. Frank Sauber verweist unter anderem darauf, dass beispielsweise ein Pentest helfen kann, vorhandene Sicherheitsdefizite sichtbar zu machen. Dadurch ließe sich verdeutlichen, wie teuer durch diese Probleme verursachte Vorfälle werden können. Die bestehenden Regulierungen sähen aber oftmals auch Geldbußen für versäumte Schutzmaßnahmen vor. Es könne hilfreich sein, dies dem Management zu verdeutlichen.
Bestehende sowie auch geplante Regulierungen wie NIS2 sorgen für zahlreiche Fragen und Unklarheiten. Für viele im KRITIS-Bereich tätige Menschen ist unklar, was sie tun sollen, wenn verschiedene Vorgaben anzuwenden sind, diese aber widersprüchlich sind oder unterschiedliche Anforderungen stellen. Was dann gilt beziehungsweise welche Anforderung dann Priorität hat, erschließt sich in vielen Fällen nicht. Die von der EU verabschiedete NIS2-Richtlinie muss in allen Mitgliedsländern spätestens im Herbst umgesetzt werden. Die Bundesregierung arbeitet derzeit an einem Umsetzungsgesetz. Vielen Unternehmen ist aber noch immer unklar, ob sie davon betroffen sein werden oder nicht. Das sei aber auch verständlich, sagt Martin Latzenhofer, denn die NIS2-Richtlinie habe einen sehr viel breiteren Fokus, als die NIS1-Richtlinie und damit geraten auch viele kleinere Unternehmen in den Fokus. Die sind häufig damit zunächst überfordert.
NIS2 sorgt jedoch nicht nur für Unruhe im KRITIS-Sektor. Viele Fragen stehen im Zusammenhang mit Sicherheitsvorschriften für die Lieferkette, also Zulieferer und Lieferanten. Auch sie müssen die Sicherheit ihrer IT nachweisen, sind von Regulierungen betroffen oder müssen sich sogar einer Sicherheitszertifizierung unterziehen. Insbesondere, wenn das Unternehmen an Betreiber kritischer Infrastruktur liefert.
Die Veranstaltung erreichte ein hohes Niveau; die Teilnehmerinnen und Teilnehmer mit hohem Sachverstand nutzen die Chance, nach Vorträgen von AIT, secunet und der Firma Contechnet gezielte Fragen an die Vertreter der erstgenannten zu stellen.
Autor: Uwe Sievers
Wie sicher sind unsere Kritischen Infrastrukturen? Welchen Cyber-Bedrohungen stehen KRITIS-Betreiber gegenüber? Wie sehen die Sicherheitsstandards aus und für welche Organisation gelten die Regulierungsanforderungen, die sich beispielsweise aus dem IT-Sicherheitsgesetz ergeben?
Umfassende Informationen und zahlreiche Aufzeichnungen der Vorträge von it-sa Expo&Congress sowie it-sa 365 finden Sie auf der Themenseite KRITIS.
