Das Fehlen einheitlicher, verbindlicher Vorschriften hat zu großen Unterschieden in der Cybersicherheit verschiedener Industriesektoren geführt. Besonders sichtbar wird diese Diskrepanz in Branchen, die mit kritischen Infrastrukturen zu tun haben. Enige Unternehmen sind bei den Sicherheitspraktiken für Betriebstechnik (OT) und industrielle Kontrollsysteme (ICS) gut aufgestellt sind, während andere hinterherhinken. Dieses Ungleichgewicht birgt Risiken für den gesamten Sektor.
Transparenz und Compliance stärken
Unter den nationalen Regierungen und Regulierungsbehörden in Europa zeichnet sich derweil ein Konsens dahingehend ab, dass die Mindestanforderungen an die Cybersicherheit erweitert werden müssen, um Unstimmigkeiten zu beseitigen. Überhaupt hat weltweit eine Phase intensiver Entwicklungen im Bereich der OT/ICS-Sicherheit begonnen, da wichtige Rahmenwerke aktualisiert und Standards sowohl in Deutschland als auch in Europa und auf anderen Märkten weltweit eingeführt werden, um den Schutz der nationalen kritischen Infrastruktur zu stärken.
Die Bereitstellung detaillierter Informationen über Vorfälle, ihre Auswirkungen und Notfall-Strategien ist für ein sicheres und widerstandsfähiges digitales Umfeld entscheidend. Darum hat der Gesetzgeber einige Schritte unternommen, um die Transparenz, die Rechenschaftspflicht und die Bereitschaft im Zusammenhang mit und zur Abwehr von Cyber-Bedrohungen zu verbessern. Das hierzulande derzeit gültige IT-Sicherheitsgesetz 2.0 sieht umfassende Meldepflichten vor und verlangt von den Betreibern kritischer Infrastrukturen (KRITIS) Nachweise, dass bestimmte Sicherheitsanforderungen erfüllt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) agiert dabei als zentrale Melde- und Informationsstelle. Hier müssen KRITIS-Betreiber nachweisen, dass sie die Mindestanforderungen erfüllen. Dazu zählen sowohl angemessene technische als auch organisatorische Maßnahmen zur Verhinderung von IT-Sicherheitsvorfällen. Außerdem müssen Unternehmen in regelmäßigen Abständen Sicherheitsaudits, Prüfungen oder Zertifizierungen durchführen, um die Einhaltung der Sicherheitsanforderungen zu demonstrieren. Das BSI kann auch Informationen und Dokumente anfordern, die zur Bewertung der IT-Sicherheitslage und zur Abwehr von IT-Sicherheitsrisiken notwendig sind. Alle Vorschriften zielen darauf ab, die Resilienz und Sicherheit von wichtigen IT- und OT-Systemen zu erhöhen und damit die Funktionsfähigkeit kritischer Infrastrukturen in Deutschland zu sichern. So weit bekannt.
Die nun für die gesamte Europäische Union geltende Richtlinie über Netz- und Informationssysteme (NIS2), die bis 17. Oktober 2024 in nationales Recht überführt werden muss, erweitert die Richtlinien auf Unternehmen in einer Vielzahl von Sektoren – darunter Chemie, Energie, Lebensmittel, Fertigung, Raumfahrt und Abwasserwirtschaft. Die Direktive wird in Deutschland in Form des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt und soll nicht nur die Kompetenzen des BSI weiter ausbauen, sondern auch die Zusammenarbeit zwischen Staat und Industrie stärken. Das bedeutet auch, dass sehr viel mehr Unternehmen ab diesem Zeitpunkt zum Kreis der kritischen Infrastruktur gehören werden, abhängig von Größe und Umsatz. Künftig gibt es 18 Sektoren, die in elf Sektoren hoher Kritikalität und sieben sonstige kritische unterteilt werden. Auf diese Weise wird NIS2 auch KMU (kleine und mittlere Unternehmen) erfassen, wobei mittlere Unternehmen in der Definition 50 bis 250 Mitarbeiter beschäftigen und einen jährlichen Umsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro vorweisen. Kleine Unternehmen beschäftigen weniger als 50 Angestellte und erreichen einen Jahresumsatz von höchstens 10 Millionen Euro. Davon hängt ab, ob ein Unternehmen zu den wesentlichen oder wichtigen Betreibern zählt. Wer zudem im Sektor Hohe Kritikalität die Schwellenwerte mittlerer Unternehmen erreicht, ist schnell ein wesentlicher KRITIS-Betreiber. Monopolisten und Firmen, die einer speziellen Tätigkeit in den wesentlichen Sektoren nachgehen, müssen NIS2 immer einhalten – unabhängig von anderen Faktoren. Betroffen sind rund 40.000 Unternehmen in Deutschland.
Globale Initiativen
Auch international werden ähnliche Wege beschritten: In den USA verpflichtet der ‚Cyber Incident Reporting for Critical Infrastructure Act‘ (CIRCIA) kritische Infrastrukturen zur Meldung von Cyber-Vorfällen und Lösegeldzahlungen an die Cybersecurity & Infrastructure Security Agency (CISA). Diese ermöglicht als zentrale Anlaufstelle eine rasche Reaktion und Unterstützung bei Cyber-Angriffen und kann Trends identifizieren, um die nationale Cybersicherheit zu verbessern. Die neuen Vorschriften der U.S. Securities and Exchange Commission (SEC) verlangen von börsennotierten Unternehmen außerdem eine umfassende Berichterstattung innerhalb von vier Tagen nach Entdeckung eines Vorfalls. Dabei muss genau erläutert werden, welche Auswirkungen der Vorfall hat und welche Maßnahmen ergriffen wurden. Zusätzlich müssen diese Unternehmen die Rolle ihres Vorstands bei der Überwachung von Cyberrisiken offenlegen.
Die neuen Cybersecurity Management Guidelines for Japanese Enterprise Executives Ver. 3.0 des japanischen Ministeriums für Wirtschaft, Handel und Industrie (METI) geben Unternehmen jeder Größe Anweisungen, wie etwa „die Geschäftsleitung ihre verantwortliche Führungskraft (z.B. den CISO) anweisen sollte, Cybersecurity-Maßnahmen zu implementieren.“
In den Vereinigten Arabischen Emiraten sieht die aktualisierte Cybersicherheitsstrategie von Dubai einen präventiven Schutz gegen Risiken vor und fördert Investitionen in die technologische Infrastruktur, um Dubais digitales Ökosystem und Smart-City-Initiativen zu unterstützen.
Hinzu kommen Initiativen wie der World Congress on Industrial Control Systems Security (WCICSS-2024), wo sich Forscher, Entwickler, IT-Sicherheitsfachleute, Manager und Service Provider zur Sicherheit von ICS und SCADA-Systemen austauschen.
Über die Vorschriften hinaus gehen
Unternehmen, die in einem oder mehreren Ländern zur kritischen Infrastruktur zählen, könnten 2024 unter Druck geraten, falls sie sich nicht rechtzeitig mit den neuen Regularien der OT/ICS-Sicherheit auseinandersetzen. Allerdings ist auch die Vereinfachung der Regulierung ein wichtiger Punkt auf der Agenda, da die Länder versuchen, sich an internationalen Standards zu orientieren, um den Aufwand für die Einhaltung der Vorschriften für multinationale Unternehmen zu verringern.
Mit der bloßen Einhaltung von Vorschriften ist es jedoch nicht getan. Unternehmen sind angehalten, gleichzeitig Governance-Strukturen zu schaffen, Team-Fähigkeiten zu stärken, fortschrittliche Erkennung und Reaktion auf Bedrohungen gegen Cyber-Physical Systems (CPSDR) zu entwickeln und das Risikomanagement in der Lieferkette zu verbessern. Ferner werden Unternehmen und Regierungen eng zusammenarbeiten müssen, um Verfügbarkeit, Zuverlässigkeit und Sicherheit kritischer Infrastrukturen gewährleisten zu können.
