Kaum eine Woche vergeht, ohne dass über neue IT-Sicherheitsvorfälle in kommunalen Einrichtungen oder Unternehmen berichtet wird. Die meisten davon gehen auf Angriffe durch Ransomware zurück, bei denen eingeschleuste Schadprogramme den Zugriff auf Daten und Systeme unterbinden. Die Folge sind Betriebsstörungen, die nicht nur teure Konsequenzen durch Umsatzeinbußen und Datenwiederherstellung nach sich ziehen, sondern oft auch die Reputation schädigen.
Mit dem Internet der Dinge wächst auch die Gefahr cyberphysischer Angriffe
Aktuelle Erhebungen bestätigen diesen besorgniserregenden Trend. So kommt etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit für das Jahr 2023 zu dem Schluss, dass die Bedrohung im Cyberraum so hoch wie nie zuvor ist. Da im Zusammenhang mit Cyberverbrechen immer öfter auch physische Barrieren und Schutzvorkehrungen überwunden werden, ist es von entscheidender Bedeutung, dass die „klassische“ Sicherheitsabteilung mit ihren Kollegen im Cyber- und IT-Bereich eng zusammenarbeitet.
Wissen um aktuelle Sicherheitsvorschriften als Grundlage für umfassende Cybersicherheit nutzen
Cybersicherheit und mechanische Sicherheit sollten einander folglich ergänzen, um solchen Angriffen wirkungsvoll begegnen zu können. Neue Produkte müssen daher im EU-Markt eine Reihe verbindlicher Vorgaben zur IT-Sicherheit erfüllen, um zugelassen zu werden. Für Unternehmen und Organisationen existieren zudem umfängliche gesetzliche Bestimmungen zur Stärkung ihrer Cyber-Resilienz. Doch wie ist es eigentlich um das Wissen der in den Unternehmen für die physische Sicherheit und das Gebäudemanagement zuständigen Fachleute bestellt, wo doch Cybersicherheit nicht mehr allein eine Domäne der IT-Abteilung ist? Diese Frage bildet einen der Schwerpunkte im Bericht zur drahtlosen Zutrittskontrolle 2023 von IFSEC Insider und ASSA ABLOY. Die unter 400 Sicherheits-, Facility-Management- und IT-Experten durchgeführte Studie ergab, dass gerade bei den Befragten, die für die „klassische“ Sicherheit zuständig sind, noch großer Nachholbedarf in Sachen Cybersecurity besteht. Mehr als der Hälfte (55 %) der Befragten waren die wichtigsten regulatorischen Anforderungen oder Zertifizierungen nicht bekannt. Dieses Wissen ist allerdings in einer vernetzten Welt ein äußerst nützliches Werkzeug, um die physischen Sicherheitseinrichtungen im eigenen Unternehmen zu stärken. Um die Lücke zwischen IT-Gesetzgebung und physischer Sicherheit zu schließen und gute Entscheidungen bei der Auswahl oder Empfehlung von Lösungen zu treffen, sollten sich Sicherheitsverantwortliche daher mit den folgenden Bestimmungen vertraut machen.
EU-Rechtsakt zur Cybersicherheit
Die im englischen Sprachraum auch als EU Cybersecurity Act bekannte Verordnung trat im Jahr 2019 in Kraft. Zum einen festigt dieses Maßnahmenpaket zur Stärkung der europäischen Cybersicherheit das Mandat der europäischen Cybersicherheitsagentur (ENISA). Die Agentur agiert als Fach- und Kompetenzzentrum für Cybersicherheit mit dem Ziel, diese in der Union zu fördern. Zum anderen wurde mit dem Cybersecurity Act ein einheitliches europäisches Zertifizierungsrahmenwerk für ITK-Produkte, -dienstleistungen und - verfahren eingeführt. Bei der Einteilung in definierte Sicherheitslevel der Stufen „niedrig“, „mittel“ und „hoch“ bilden internationale Standards die Basis. Die Zertifizierung verfolgt folgende Ziele:
- Schutz der Daten während des gesamten Lebenszyklus des IKT-Produkts, -Dienstes oder -Verfahrens
- Nachweis, dass IKT-Produkte, -Dienste und -Verfahren keine bekannten Schwachstellen aufweisen
- Aufzeichnung und Prüfung, wann und von wem auf Daten, Dienste oder Funktionen zugegriffen wurde
- Die zeitnahe Wiederherstellung der Verfügbarkeit und Zugänglichkeit von Daten, Diensten und Funktionen im Falle eines physischen oder technischen Zwischenfalls
- Die Gewährleistung, dass IKT-Produkte, -Dienste und -Verfahren standardmäßig sicher sind
- Die Gewährleistung, dass sie mit aktueller Software und Hardware ausgestattet sind, die keine öffentlich bekannten Sicherheitslücken aufweist
Richtlinien zur Network Information Security (NIS) und NIS-2
Die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) trat 2018 in Kraft. Ziel ist die EU-weite Anhebung der Niveaus der Netz- und Informationssystemsicherheit. Im Fokus stehen dabei bestimmte Sektoren, die besonders auf Informations- und Kommunikationstechnologien angewiesen sind. Abhängig von diesen Sektoren (Trinkwasserlieferung und -versorgung, Energie, Digitale Infrastruktur Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Verkehr) gilt die Richtlinie für Betreiber wesentlicher Dienste (OES) sowie Anbieter digitaler Dienste (DSP). In Deutschland wurde die NIS-Richtlinie durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt. Mit dem IT-Sicherheitsgesetz 2.0 und der damit einhergehenden KRITIS 2.0 wurden die regulierten Bereiche und Anforderungen an Betreiber erweitert. Mit NIS-2 liegt mittlerweile eine Regelung vor, die von den Mitgliedsstaaten nochmals umfassendere Maßnahmen einfordert und bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Gegenüber den klassischen KRITIS Sektoren werden in NIS-2 die schützenswürdigen Wirtschaftssektoren sehr viel weiter gefasst, darunter auch Industrie und Produktion. Es ist davon auszugehen, dass für etwa 30.000 betroffene Unternehmen in Deutschland die Security-Pflichten steigen werden. Zu den wichtigsten Punkten zählen:
- Einführung eines Mehrklassen-Systems an Betreibern mit abgestuften Pflichten für „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“
- Konkretere Pflichten für Unternehmen bei der Cybersecurity (Risikomanagement, Meldung von Vorfällen, technische Maßnahmen einschließlich physische Sicherheit, Governance)
- Einführung erweiterter Sanktionsvorschriften mit höheren Bußgeldern
European Cyber Resilience Act
Das EU-Gesetz über Cyber-Resilienz hat zum Ziel, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Mittels festgelegter Sicherheitsanforderungen für Hersteller, Importeure und Distributoren soll die Widerstandsfähigkeit von Software- und Hardwareprodukten einschließlich Produkten für Smart Home, Smart Building und Industrial IoT gegen Cyberangriffe gestärkt werden. Hierzu zählen etwa die Implementierung von Methoden der Zugangskontrolle, Verschlüsselung und ein Schwachstellenmanagement. Ebenso soll eine Dokumentationspflicht für Cybersicherheitsrisiken sowie eine Meldepflicht gegenüber der ENISA für aktiv ausgenutzte Schwachstellen und Vorfälle eingeführt werden. Der am britischen PSTI Act ausgerichtete Rechtsakt schreibt zudem vor, dass Hersteller die Sicherheit während des gesamten Lebenszyklus eines Produkts ernst nehmen müssen. Dies schließt auch die Verpflichtung ein, regelmäßige Sicherheitsupdates für mindestens fünf Jahre bereitzustellen. Das Gesetz soll im Jahr 2024 in Kraft treten und tangiert damit schon jetzt Produkte, die sich derzeit noch in der Entwicklung befinden. Ab 2026 sollen die Vorschriften dann für alle Produkte am Markt gelten.
