Kritische Infrastrukturen

IT-SiG 2.0: Strenge neue Spielregeln

Von Christian Raum · 2022

Seit Januar 2022 ist das IT-Sicherheitsgesetz 2.0 in Kraft. Damit wurde die Sicherheit von Systemen und Netzwerken zur Pflicht der Betreiber von kritischen Infrastrukturen. Diese sind nur dann gesetzeskonform, wenn sie ihre IT-Security nachweisen können.

Digitale Darstellung eines Fischerhakens in einem roten Dreieck aus Codes.
Ab Mai 2023 müssen Angriffe erkannt werden. Foto: iStock / Andreus

Wirtschaft und Gesellschaft haben in den vergangenen Jahren viele Cyberattacken ausgehalten und Hunderte Millionen Euro an kriminelle Banden verloren. Trotz aller Anstrengungen ist weder die Bedrohungslage entspannter, noch ist die Zahl der Angriffe gesunken. Es scheint so, als wären die Angreifer durch das Investieren der Vermögen, die sie geraubt haben, zu weltumspannenden Verbrecherorganisationen mutiert.

Hacker-Industrie kassiert Unternehmen mit kritischen Infrastrukturen ab

Insider berichten, kriminelle Hacker hätten sich inzwischen zu Cyber-Industrieunternehmen zusammengefunden, die bei der Plünderung arbeitsteilig agieren und in Bitcoins abrechnen. Wissenschaftlerteams brechen in den Laboratorien die neueste Hardware und Software auf, analysieren sie auf Schwachstellen und entwickeln neue Angriffsvektoren und Algorithmen. Damit attackieren deren Kolleginnen und Kollegen dann ihre Opfer. Hier spielen wirtschaftliche Aspekte die wesentliche Rolle – wer am billigsten gehackt werden kann, wird zuerst geknackt, dessen Daten verschlüsselt und die Firmengeheimnisse höchstbietend verkauft. Dann melden sich die Unterhändler, um Geld einzusammeln. Auf Anraten der hackereigenen Rechtsabteilungen erpressen sie ihre Opfer häufig nicht mehr. Stattdessen bieten sie freundlich den Kauf von „Entschlüsselungssoftware“ an. So könnten die Kosten buchhalterisch als „Ausgaben für digitale Wirtschaftsgüter“ verbucht und bei der Steuer geltend gemacht werden.

Maßnahmen gegen das Plündern und Rauben

Der Staat ist offensichtlich mit seiner Geduld am Ende – sowohl mit der Geduld gegenüber den Angreifern, die Wirtschaft und Gesellschaft Milliarden kosten, als auch mit der Geduld gegenüber den Unternehmen. Hier wiegt das Management oft ab, ob man viel Geld in einen guten Schutz investieren sollte – oder lieber Geld zurücklegt, um im Fall eines staatlichen Audits die Bußgelder zu bezahlen. Mit den Sicherheitsgesetzen 2.0 sollte es diese Option nicht mehr geben: Seit Januar 2022 zwingt der Gesetzgeber mit hohen Strafandrohungen die Unternehmen mit kritischen Infrastrukturen, sich zu schützen. Ab Mai 2023 wird zusätzlich der Einsatz einer Angriffserkennung verpflichtend und muss explizit nachgewiesen werden.

Quellen:
Bundesamt für Sicherheit in der Informationstechnik: Checkliste von BSI und ProPK: Phishing
Bundestag: KRITIS (Kritische Infrastrukturen) in der Verkehrs- und digitalen Infrastruktur
Openkritis: Das neue IT-Sicherheits­gesetz 2.0

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)