Nachricht

< Der Weg zur TradingPlattform für den Wasserstoffmarkt
19.10.2021 11:55 Alter: 3 yrs

Cybersicherheit für Kritische Infrastrukturen

Cyber-Attacken haben sich in den letzten Jahren stark professionalisiert und sorgen allein in der deutschen Wirtschaft für bis zu 220 Milliarden Euro Schaden pro Jahr. Laut einer Bitkom-Studie hat sich die Schadenssumme seit 2018 verdoppelt. Prof. Dr. Andre Döring ist CEO & Co-Founder der Robin Data GmbH in Merseburg. Zudem ist er Beisitzer im Präsidium des Cyber-Sicherheitsrat Deutschland e. V. In seinem Gastbeitrag skizziert er für THEMEN!magazin aktuelle Herausforderungen, vor denen Kritische Infrastrukturen stehen.


Prof. Dr. Andre Döring, CEO & Co-Founder Robin Data GmbH Foto: Thomas Reinhardt

„Durch die zunehmende Digitalisierung unserer Gesellschaft steigt permanent die Gefahr, Opfer von Cyberkriminalität zu werden. Darum ist es wichtig, sich auch im Cyberraum abzusichern und mit einer gewissen Vorsicht zu agieren. Nur Unternehmen, die jetzt in Datenschutz, Informationssicherheit und Compliance investieren, können sich nachhaltig vor Cyber-Attacken schützen“. Prof. Dr. Andre Döring

Cyber-Attacken richten sich sowohl gegen Privatpersonen und Unternehmen und verursachen den Ausfall von Informations- und Produktionssystemen oder die Störung von Betriebsabläufen, oftmals durch den Einsatz von Ransomware. Im Fokus solcher Angriffe stehen insbesondere Organisationen mit Kritischer Infrastruktur (KRITIS), denn hier drohen neben Versorgungsengpässen in der Folge eines Angriffs erhebliche Störungen der öffentlichen Sicherheit und Versorgung.

Kein Bereich bleibt verschont

Im Juli 2021 sorgte ein Hacker-Angriff für die Infizierung und Verschlüsselung aller Daten der Kreisverwaltung Anhalt-Bitterfeld in Sachsen-Anhalt. Bei dem Cyberangriff setzten die Hacker Ransomware ein. Betroffen waren mehrere Server des Landkreises, die gesamte Kommunikation sowie sämtliche Dienstleistungen wurden lahmgelegt. Der Lösegeldforderung kam der Landkreis nicht nach, daraufhin wurden personenbezogene Daten mehrerer Betroffenen im Darknet veröffentlicht. Die Bundeswehr unterstützt noch immer beim Wiederaufbau der IT. Bei einer Cyber-Attacke auf Technische Werke Ludwigshafen wurden über 500 Gigabyte an Kundendaten gestohlen und teilweise im Darknet veröffentlicht. Durch eine schadhafte E-Mail-Anlage gelang es den Tätern wochenlang unbemerkt Daten aus dem Netzwerk abzuführen. Die Ermittlungen des LKAs dauern an, ein externer Dienstleister zur Erhöhung der IT-Sicherheitsniveaus wurde beauftragt.

Der Druck nach Umsetzung von Compliance-Anforderungen steigt

Für Experten zeichnet sich der Trend schon lange ab: der Druck zur Umsetzung von Compliance-Anforderungen steigt. Durch eine veränderte Arbeitswelt, ausgelöst durch die Pandemie, aber auch durch ordnungspolitische Eingriffe und gesellschaftliche Forderungen. Beispielhaft für diese Entwicklung sind die Verabschiedung des Geschäftsgeheimnisschutzgesetzes, das Verbandssanktionsgesetz oder das Hinweisgeberschutzgesetz. Auch die Entwicklungen hinsichtlich des Klimaschutzes werden neue Compliance-Regulierungen zur Folge haben. Nicht zuletzt das Inkrafttreten der DSGVO im Jahr 2018 bestätigt die zunehmende Bedeutung von Compliance im unternehmerischen Kontext.

Ebenso wird das geplante Verbandssanktionsgesetz Anforderungen an das Compliance-Management-System von Unternehmen stellen. Das Gesetz soll Straftaten im Unternehmen stärker sanktionieren und fordert in der Konsequenz die Implementierung eines wirksamen Compliance-Management-Systems. Neben verantwortlichen Beschäftigten sollen auch die Unternehmen selbst zur Verantwortung gezogen werden. Eine frühzeitige Investition in Maßnahmen in Folge einer Compliance-Risikoanalyse ist hier ratsam.

IT-Sicherheit ist verpflichtend

Bereits seit 2017 verpflichtet das IT-Sicherheitsgesetz (§ 8 BSI-Gesetz) Betreiber “Kritischer Infrastrukturen” zu einer Absicherung eingesetzter IT-Systeme. Mit dem Patientendaten-Schutz-Gesetz wurde diese Forderung 2020 im Sozialgesetzbuch (§ 75c SGB V) konkretisiert. So müssen jetzt auch Krankenhäuser ab dem 01. Januar 2022 verpflichtend angemessene Schutzmaßnahmen zur IT-Sicherheit in einem Informationssicherheits-Management-System umsetzen und nachweisen.

Als Anforderung steht ebenfalls die Umsetzung der EUWhistleblower-Richtlinie. Das deutsche Hinweisgeberschutzgesetz ist als die deutsche Umsetzung der EUWhistleblowing-Richtlinie zu werten. Das Gesetz schützt natürliche Personen, die beruflich bedingt Informationen über Verstöße an interne oder externe Meldestellen weitergeben. Unternehmen und Behörden sollten bereits heute beginnen, die wesentlichen Anforderungen umzusetzen.

Herausforderung: rechtssichere und wirksame Compliance für KRITIS

Der mangelnde Überblick über die diversen rechtlichen Regularien, Compliance-Anforderungen und deren Umsetzungsnachweise reduziert die Rechtssicherheit vieler Unternehmen und Organisationen. Nahezu alle Prozesse sind relevant für die Erreichung von Compliance und das integrale Risikomanagement. Risiken werden unzureichend erfasst und behandelt, es entstehen persönliche Haftungsrisiken.

Die Verantwortlichen haben in den seltensten Fällen Kontrolle über den Aufgabenstatus der aus den Compliance-Anforderungen resultierender Regeln. Bis zu hunderte Risikomanager und Aufgabenbeteiligte müssen in größeren Organisationen aktiv am Compliance-Management mitwirken, dadurch sind hohe Abstimmungsaufwände aller Beteiligten eine zusätzliche Hürde.

Die Auswirkungen rechtlicher oder normativer Anpassungen auf Prozesse, Regeln, Maßnahmen oder Nachweise können schwer oder nicht erkannt und so nicht behandelt werden. Es fehlt eine integrative Betrachtung aller Compliance-Felder. Zudem wird das vorhandene Compliance-Management-System aufwendig und weitgehend manuell aufgebaut und besteht oft aus voneinander entkoppelten Dokumenten und Tools. Verantwortliche haben kaum eine Chance, den Überblick zu behalten.

Grafik: ROBIN DATA

Laut einer Deloitte-Studie sind 80 % der befragten Unternehmen der Meinung, dass die Notwendigkeit zur Digitalisierung von ComplianceTätigkeiten insbesondere in der Covid-19-Pandemie bekräftigt wurde. Gerade KRITISUnternehmen sind gut beraten, wenn Sie bei ComplianceManagement-Systemen auf einfach konfigurierbare, digitale Plattformen setzen, die an deren speziellen Anforderungen angepasst werden können.

Konkrete Maßnahmen für mehr Rechtssicherheit

Welche konkreten Maßnahmen lassen sich aus den genannten Herausforderungen ableiten?

Audits durchführen:

Datenschutz- und Informationssicherheits-Audits auf Basis ISO 27001 oder BSI-Grundschutz sorgen für Übersicht über alle Compliance-Risiken in der Informationssicherheit und sind die Grundlage für erforderliche Tätigkeiten. Audits sind auch im Datenschutz und anderen Compliance-Feldern sinnvoll.

Informationssicherheitsbeauftragten bestellen:

Sorgen Sie für den Aufbau der Informationssicherheitsorganisation und bestellen Sie einen Informationssicherheitsbeauftragten, der Aufgaben und Verantwortlichkeiten nachhaltig koordiniert.

Projektierung und Aufgabenumsetzung nachverfolgen:

Der bestellte Informationssicherheitsbeauftragte ist verantwortlich für die Projektierung und Kontrolle der Aufgabenumsetzung, insbesondere für die folgenden Bereiche:

• Risiko-Management-System

• Asset-Management-System auf Basis von Schutzbedarfen

• Umsetzung eines Notfall-Konzeptes und Business-Continuity-Managements

• Umsetzung von notwendigen Richtlinien und Schulungen.

Digitale Compliance ist die Zukunft

Compliance ist ein Wettbewerbsvorteil und zunehmend gesetzlich gefordert. Der Einsatz eines ComplianceManagement-Systems in KRITIS-Unternehmen ist eine strategische Entscheidung in allen Wirtschaftsbereichen. Die Investition in eine digitale und integrierte Compliance-Lösung fördert die Rechtssicherheit und senkt Haftungsrisiken für das Management, ermöglicht kollaborative Zusammenarbeit mit Beauftragten in Compliance-Feldern wie Datenschutz oder Informationssicherheit und unterstützt Mitarbeiter bei der transparenten Einhaltung von Compliance-Richtlinien.