DER SICHERHEITSDIENST

IT-SICHERHEIT 33 DSD 2 | 2022 Sicherheit, vor allem zur Detektion von Cyberattacken und zum Informationsaustausch über Schwachstellen und Schadsoftware, umsetzen. Von einer schweren Hackerattacke auf den Rüstungskonzern und Automobilzulieferer Rheinmetall berichtete die FAZ am 28. September 2019. Die regulären betrieblichen Prozesse waren danach an mehreren Standorten erheblich gestört. Im Februar 2020 wies silicon.de auf eine neue Ransomware (EKANS) hin, die auf industrielle Steuerungssysteme ziele und Kritische Infrastrukturen bedrohe. Die Tagesschau meldete am 31. Januar 2020, das Chemieunternehmen Lanxess sei Opfer eines Hackerangriffs geworden. Hinter der Attacke stecke eine Gruppe mit dem Namen „Winnti“. Das BfV ging davon aus, dass es weitere unbekannte „Winnti“- Opfer in der Chemiebranche gab. Im Jahresbericht für den Zeitraum Juni 2019 bis Mai 2020 registrierte das BSI einen Anstieg der Hackerangriffe auf Kritische Infrastrukturen im Zweijahresrhythmus von 145 auf 419, davon 73 auf die Stromversorgung und 65 auf den Bereich Finanzen und Versicherungen. Angriffe auf die Lieferkette Gehäuft haben sich 2021 vor allem Angriffe auf die „Supply Chain“. So wurden durch einen Angriff auf das IT-Netzwerk der deutschen Lebensmittelkette Tegut vor allem die Warenwirtschaftsprogramme, die die Logistik steuern, lahmgelegt. Und auch große IT-Unternehmen waren mehrfach Ziel von Hackerangriffen. Durch eine Ransomwareattacke auf die Plattform des IT-Hauses Kaseya wurden Lieferketten von Geschäftspartnern und Kunden, auch in Deutschland, unterbrochen. Für eine Entschlüsselung verlangten die Hacker die Rekordsumme von 70 Mio. Dollar. Eine Schwachstelle im Exchange-Server von Microsoft führte im März 2021 zur Angreifbarkeit einer Vielzahl von Servern, sodass das BSI die Lage als „extrem kritisch“ einstufte. Im Dezember 2021 veranlasste eine entdeckte Schwachstelle in der Java-Bibliothek Log4) das BSI zur Ausrufung der höchsten Warnstufe rot, weil damit Auswirkungen auf unzählige weitere Produkte verbunden waren. Allein bis zum 13. Dezember hat Checkpoint 830.000 Angriffe auf die Schwachstelle registriert. In einer Bewertung des Einflusses von COVID-19 auf Cybercrime kommt Interpol zu dem Ergebnis, dass ein Zielwechsel der Angriffe von kleineren auf größere Unternehmen und auf Kritische Infrastrukturen signifikant sei. Schwachstellen vermeiden Eine der wirksamsten Präventionsziele zur Reduzierung von Cyberangriffen Kritischer Infrastrukturen ist die Vermeidung von Schwachstellen. Das BSI hat im Lagebericht zur IT-Sicherheit in Deutschland 2021 im Rahmen der Prüfung turnusmäßiger Nachweise zum Umsetzungsstatus der Sicherheitsanforderungen in den Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Wasser und Energie insgesamt 1.805 Sicherheitsmängel gefunden und analysiert (in Prozenten aller jeweiligen Mängel) – siehe Tabelle. KRITIS-Betreiber sind nach § 8a/b IT-­ Sicherheitsgesetz 2.0 verpflichtet, Vorkehrungen zur Prävention und zur Bewältigung von IT-Sicherheitsvorfällen zu treffen und sie dem BSI zu melden. S i c h e r h e i t s a n ­ forderungen an die Telekommunikation sind im Sicherheitskatalog von § 109 Abs. 6 TKG geregelt. Die Betreiber sind verpflichtet, kritische Netzkomponenten einer Sicherheitszertifizierung zu unterziehen. Basis für den Aufbau sicherer 5G-/6GNetze ist der Katalog an Sicherheitsanforderungen, den die Bundesnetzagentur zusammen mit dem BSI und dem BfDI auf der Grundlage von § 109 TKG aktualisiert hat. Derzeit erarbeitet das BSI eine Zertifizierungsstrategie für 5G. Die IT-Sicherheit in der Energiewirtschaft soll durch die Verwendung intelligenter Messsysteme (Smart Meter Gateways) über eine sichere Kommunikationsstruktur erhöht werden. Ähnlich den Betreibern Kritischer Infrastrukturen unterliegen „Unternehmen im besonderen öffentlichen Interesse“ im Sinne von § 2 Abs. 14 Nrn. 1–3 IT-Sicherheitsgesetz 2.0, insbesondere Unternehmen mit einer hohen inländischen Wertschöpfung und erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland, nach § 8f dieses Gesetzes bestimmten Selbsterklärungs- und Meldepflichten. Eine Plattform für die operative und konzeptionelle sicherheitsrelevante Zusammenarbeit von KRITIS-Betreibern bildet der „Umsetzungsplan Kritische Infrastrukturen – UP KRITIS“. 750 Unternehmen und sonstige Organisationen sind bis Mai 2021 Teilnehmer dieser Plattform unter der Moderation des BSI geworden. Unter diesem Dach arbeiten die Betreiber zusammen mit Fachverbänden und den zuständigen Sicherheitsbehörden in Themen- und Branchenarbeitskreisen. IT & Telekommunikation Finanz & Versicherung Wasser Energie Per. u. org. Sicherheit 18 9 6 5 Informationssicherheitsmangement 6 11 30 23 IT-Sicherheit 20 22 10 8 baulich/physische Sicherheit 10 9 5 7 Überprüfung im Betrieb 13 14 1 3 sonstige Mängel 33 25 48 54

RkJQdWJsaXNoZXIy Mjc4MQ==