Angriffserkennung für KRITIS, Fachartikel in kes, 12/2022
KRITIS-Betreiber sind ab Mai 2023 gesetzlich verpflichtet, ihre IT/OT-Umbegung mit einer wirksamen Angriffserkennung gegen Cyberkriminalität zu schützen. Die Zeit drängt und somit die Frage, welche Maßnahmen geschäftskritische Systeme effektiv und zulässig schützen.
Die Zahl der Angriffe steigt so rasant wie sich die Art der Methoden verändert: 553.000 neue Schadprogramm-Varianten an einem einzigen Tag - dieser im vergangenen Jahr gemessene Wert war der bis dato höchste. Nicht zuletzt angesichts der geopolitischen Konflikte, wird das Gefahrenpotenzial weiter zunehmen. Um die IT-Sicherheit in Deutschland signifikant zu verbessern, verschärfte die Bundesregierung bei der Neufassung des IT-Sicherheitsgesetzes (IT-SiG 2.0) die Spielregeln: Zum einen erweiterte sie den Kreis der Adressaten um die Branchen Abfallwirtschaft und Rüstungsindustrie sowie um zusätzlich um Betriebe, die allein durch ihre Größe volkswirtschaftlich relevant sind, und deren wichtige Zulieferer. Außerdem wurden Schwellenwerte gesenkt, sodass beispielsweise für die Einstufung als Stromerzeugungsanlagen 36 Megawatt ausreichen anstelle der bisherigen 420 Megawatt. Zum anderen sind alle betroffenen Unternehmen verpflichtet, ab dem 1. Mai 2023 Systeme zur Angriffserkennung, die dem "geltenden Stand der Technik" entsprechen, ordnungsgemäß einzusetzen und gegenüber dem BSI nachzuweisen.
Die Zahl der Angriffe steigt so rasant wie sich die Art der Methoden verändert: 553.000 neue Schadprogramm-Varianten an einem einzigen Tag - dieser im vergangenen Jahr gemessene Wert war der bis dato höchste. Nicht zuletzt angesichts der geopolitischen Konflikte, wird das Gefahrenpotenzial weiter zunehmen. Um die IT-Sicherheit in Deutschland signifikant zu verbessern, verschärfte die Bundesregierung bei der Neufassung des IT-Sicherheitsgesetzes (IT-SiG 2.0) die Spielregeln: Zum einen erweiterte sie den Kreis der Adressaten um die Branchen Abfallwirtschaft und Rüstungsindustrie sowie um zusätzlich um Betriebe, die allein durch ihre Größe volkswirtschaftlich relevant sind, und deren wichtige Zulieferer. Außerdem wurden Schwellenwerte gesenkt, sodass beispielsweise für die Einstufung als Stromerzeugungsanlagen 36 Megawatt ausreichen anstelle der bisherigen 420 Megawatt. Zum anderen sind alle betroffenen Unternehmen verpflichtet, ab dem 1. Mai 2023 Systeme zur Angriffserkennung, die dem "geltenden Stand der Technik" entsprechen, ordnungsgemäß einzusetzen und gegenüber dem BSI nachzuweisen.
