Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Neuigkeiten aus der Zertifizierwelt

„Die Bedrohung ist real“: Kritische Infrastrukturen schützen

Wirtschaftsbereiche mit zentraler Bedeutung für das Gemeinwesen müssen besonders gut gegen Cyberattacken geschützt werden. TÜV SÜD-Experte Alexander Häußler erläutert die Hintergründe und gibt Tipps für betroffene Unternehmen. Die nächste Frist läuft im Juni 2019 ab.

Herr Häußler, was steckt eigentlich hinter der KRITIS-Verordnung?

Unser gesamtes Staats- und Gesellschaftsgefüge ist von digitalisierten und vernetzten Prozessen abhängig – und damit bei aller Effizienz auch anfällig für Manipulation und Sabotage. Dem trägt KRITIS Rechnung und verlangt einen besonderen Schutz für die Bereiche, ohne die das öffentliche Leben nicht funktioniert.

Ist die Bedrohung tatsächlich real?

Wir haben ja bereits erlebt, dass sowohl in der Bundesrepublik als auch im Ausland kritische Infrastrukturen zum Ziel von Angriffen aus dem Netz geworden sind. Denken Sie an die Hackerangriffe auf den Bundestag 2015 und 2016. Oder den Stuxnet-Angriff auf iranische Atom- und Industrieanlagen. Und es gibt viele andere Beispiele, von der Dunkelziffer mal ganz abgesehen. Die Bedrohung ist also real, und die Schutzmaßnahmen, die die KRITIS-Verordnung vorschreibt, sind wichtig und richtig.

Welche Branchen sind von KRITIS betroffen?

Wir sprechen zunächst einmal von 9 Sektoren, hinter denen derzeit 29 Branchen stehen. Die Sektoren sind Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Wasser. Zum Sektor Energie gehören dann beispielsweise die Branchen Elektrizität, Mineralöl und Gas. Ernährung umfasst die Ernährungswirtschaft und den Lebensmittelhandel.

Was können bzw. müssen Unternehmen tun?

Seit die KRITIS-Verordnung 2016 in Kraft getreten ist, müssen Betreiber aus den genannten Sektoren regelmäßig nachweisen, dass sie angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik ergriffen haben, um ihre Systeme zu schützen. Dazu gehört unter anderem die Umsetzung eines Informationssicherheits-Managementsystems, beispielsweise nach dem international anerkannten Standard ISO/IEC 27001.

Im Rahmen dieses Managementsystems müssen sich Unternehmen sorgfältig mit allen bestehenden Risiken auseinandersetzen, ihre wichtigen Assets und betriebskritischen Systeme definieren und entsprechende Schutzmaßnahmen ableiten. Letztlich geht es um den konsequenten Aufbau einer mehrstufigen Tiefenverteidigung mit möglichst vielen Schutzwällen. Wichtige Hilfestellungen liefert dabei insbesondere Anhang A der ISO 27001.

Gibt es Übergangsfristen, innerhalb derer die betroffenen Organisationen KRITIS umsetzen müssen?

Ja, die nächste Frist läuft im Juni 2019 ab. Bis dahin müssen Unternehmen aus den Sektoren Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen den Nachweis nach § 8a BSIG erbringen. Die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation mussten bereits im Januar beziehungsweise im Mai 2018 Vollzug melden.

Technische Maßnahmen sind das eine. Bleiben versteckte Risiken, auf die Unternehmen achten müssen?

Zu den beliebtesten Angriffspunkten gehören die eigenen Mitarbeiter, die Hackern ungewollt und unbewusst Zugang zum Unternehmensnetzwerk verschaffen. Ein einziger unbedachter Klick kann dramatische Folgen haben. Und die Phishingmails, mit denen Hacker arbeiten, also E-Mails, die falsche Tatsachen enthalten und so versuchen, den Empfänger zu manipulieren, werden immer professioneller. Deshalb ist es so wichtig, neben den vielen technischen Maßnahmen auch gezielt in die Aufklärung der Mitarbeiter zu investieren und dafür zu sorgen, dass die IT-Sicherheit Gesprächsstoff bleibt.

Apropos: Wo und wie kann man mit Ihnen sprechen?

In Kürze zum Beispiel auf der IT-Security-Messe it-sa vom 9. bis 11. Oktober in Nürnberg. Dort finden Sie zahlreiche Kollegen und auch mich am TÜV SÜD-Stand in Halle 9 Stand 9-458. Neben vielen anderen Themen wie Datenschutz, Penetrationstests und die Zertifizierung von Payment-Systemen geht es dort natürlich auch um KRITIS. Ich freue mich auf Gespräche mit den Lesern dieses Newsletters. Und wer nicht in Nürnberg ist, kann mir einfach eine E-Mail schreiben – oder über unser Formular Kontakt mit TÜV SÜD aufnehmen.

TÜV SÜD Ansprechpartner: Alexander Häußler, Product Compliance Manager bei TÜV SÜD Management Service GmbH

Wie können wir Ihnen helfen?

WORLDWIDE

Global

Americas

Asia

Europe

Middle East and Africa