KRITIS

Das in Deutschland geltende BSI Gesetz wurde bereits im Sommer 2015 durch das IT-Sicherheitsgesetz angepasst und ist nun in durch die Version 2.0 aktualisiert und erweitert worden. Es setzt unter anderem dort an, wo sich unsere Gesellschaft Ausfälle am wenigsten leisten kann: bei den IT-Systemen der Kritischen Infrastrukturen.

Unternehmen, welche kritische Infrastrukturen (KRITIS) betreiben, sind durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) dazu verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Infrastrukturen einzuhalten.

Im Gegensatz zu den sonst üblichen drei Jahren bis zur nächsten Re-Zertifizierung, erfolgt die KRITIS-Prüfung alle 2 Jahre gemäß §8 BSI-Gesetz.

Die Bundesregierung definiert Kritische Infrastrukturen wie folgt:

„Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Unternehmen haben eine Meldepflicht für erhebliche Störungen oder vermutete Störungen der Unternehmens-IT gegenüber dem BSI. Hierzu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte, z.B. nach Software-Updates.

Was leistet OPTIQUM im Bereich KRITIS?

BERATUNG

Wir beraten und unterstützen KRITIS-Betreiber hinsichtlich der Umsetzung der erforderlichen Maßnahmen.

PRÜFENDE STELLE

Auch können wir nach § 8a BSIG in den folgenden Bereichen prüfen:

Unsere Leistungen im Detail

Beratung

• Managementberatung hinsichtlich KRITIS zur Erfüllung und Umsetzung der gesetzlichen Anforderungen.
• Entwicklung und Umsetzung eines betriebsinternen Informationssicherheits-Managementsystems.
• Coaching und Workshops zur Einführung eines von Informationssicherheitsmanagement nach ISO 27001 oder KRITIS Branchenstandard (B3S).
• Stellen eines externen Informationssicherheitsbeauftragten.
• Workshop der Anforderungen an das Prüfverfahren nach § 8a BSIG

Prüfung

• Prüfende Stelle nach §8a BSIG.
• GAP-Analysen
• Überprüfungsaudit inklusive Reporting.
• Sichtung und Prüfung der bestehenden Referenzdokumente.
• Fachliche Kompetenz nach Prüfverfahren nach § 8a (3) BSIG.

Durch welche Gefahren können Kritische Infrastrukturen bedroht werden?

Die bedeutsamen Infrastrukturen unserer modernen Gesellschaft unterliegen vielfältigen alltäglichen Gefahren und auch Extremereignissen.

Das Spektrum an Bedrohungen reichen von menschlichem oder technischem Versagen über vorsätzliche Strafhandlungen bis zu Naturkatastrophen. Besonders schwere Unglücksfälle, wie z.B. 2011 in Fukushima oder Pandemien, wie die Corona Pandemie, haben deutlich gemacht, dass das private und das öffentliche Leben von Kritischen Infrastrukturen abhängig ist.

Die  Tabelle des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe gibt einen Überblick, welche unterschiedlichen Gefahren KRITIS im Allgemeinen bedrohen können.

Spezifische Gefahren für die IT

Die Angriffszahlen im Bereich des Cybercrime steigen in den vergangenen Jahren exponentiell.

Neben Computerbetrug, dem Ausspähen von Daten, Datendiebstahl gehört auch zum Beispiel der Ausfall von Firmenservern durch Cybercrime-Attacken zu den gängigsten Straftaten

Cyber-Kriminalität im engeren Sinne betrifft alle kriminellen Aktivitäten, bei denen Geräte wie PC, Smartphone und Tablets sowie das Internet die Straftat erst ermöglichen oder als Katalysatoren einen wesentlichen Einfluss darauf haben. Hierunter fallen beispielsweise:

Hacking

Aktivitäten, die Computer und Netzwerke durch Ausnutzen ihrer Sicherheitslücken gefährden

Phishing

Das Abfangen der Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS in der Absicht, sensible persönliche Daten zu missbrauchen, beispielsweise um Benutzername und Passwörter für Onlinebanking oder Informationen bezüglich Kreditkarten zu erhalten.

Digitale Erpressung (Ransomware)

Cyberkriminelle nutzen Schadsoftware, sogenannte Ransomware, als Mittel der digitalen Erpressung. Daten auf infizierten Computern werden verschlüsselt, zur Wiederfreigabe soll ein Lösegeld bezahlt werden.

Verbreitung von Computerviren

Ein Computervirus ist ein Programm bzw. Programmcode, der beispielsweise Systemdateien eines Computers beschädigt, Ressourcen verschwendet oder Daten zerstört. Viren unterscheiden sich von anderen Formen von Malware darin, dass sie sich selbst replizieren können, also sich ohne Zustimmung des Benutzers in Dateien oder auf andere Computer kopieren, verbreiten und infizieren.

DoS-Angriffe (Denial of Service)

Ein DOS-Angriff zielt darauf ab, ein System, zum Beispiel einen Server, absichtlich mit übermäßig vielen Anfragen zu bombardieren und damit so stark zu überlasten, dass es seine Aufgaben nicht mehr erfüllen kann und der von ihm angebotene Dienst nicht mehr verfügbar ist.

Illegales Crypto-Mining

Illegales Crypto-Mining bezeichnet die Inanspruchnahme fremder Rechenkapazität zum Schürfen von Kryptowährung zum Beispiel mittels Malware oder mittels implementierter Java-Script Befehle, wie dem Programm „Coinhive“. Hierbei zwingen die infizierten Webseiten ihrer Benutzer Kryptowährung, ohne deren Kenntnisnahme oder Einverständnis, zu schürfen.