Liebe Leserinnen und Leser,

herzlich willkommen zur Januar-Ausgabe unseres KRITIS-Newsletters – schauen wir mal, was das Jahr 2025 zu bieten hat. Wir melden uns wie gewohnt mit Neuigkeiten aus der Welt der kritischen Infrastrukturen. 

An Ruhe ist weiterhin nicht zu denken: Das deutsche „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) wird aktuell heftig umstritten diskutiert, vor allem aufgrund dreier wesentlicher Themenfelder:

1. der Befugnisse für CISO-Bund und der gewünschten Ansiedlung bei der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
2. der Befugniserweiterungen für Strafverfolgungsbehörden und Geheimdienste beim Schwachstellenmanagement
3. der Erweiterung der Untersagung des Einsatzes von kritischen Komponenten durch das Bundesministerium des Innern und für Heimat (sog. Lex Huawei)

Da bisher keine Einigungen erwirkt werden konnten, wird das Gesetz mit sehr hoher Wahrscheinlichkeit nicht mehr in dieser Legislaturperiode verabschiedet. Wir werden also weiterhin wie bei dem KRITIS-Dachgesetz (EU-CER-Richtlinie) auf die abschließende Gesetzgebung warten müssen.

Trotz allem kann dem Ganzen auch etwas Positives abgewonnen werden: Die Zeit bis zur Verabschiedung (voraussichtlich im Herbst 2025) durch eine neue Regierung kann als Umsetzungszeitraum betrachtet werden – und wesentliche Inhalte werden ja auf der EU-NIS-2 Richtlinie basieren müssen. Insofern ist jetzt schon weitestgehend klar, was zu tun ist, und es benötigt einiges an Zeit, das alles umzusetzen. Wichtig ist zu beachten, dass das Gesetz nach der Verabschiedung umgehend in Kraft tritt und sofortige Gültigkeit besitzt. Es gibt dann keine weiteren Schonfristen.

Die derzeit aktuelle Entwurfsversion ist der Gesetzentwurf der Bundesregierung vom 2.10.2024, Drucksache 20/13184: https://dserver.bundestag.de/btd/20/131/2013184.pdf

Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)

Die vom BSI publizierte „Konkretisierung der Reife- und Umsetzungsgrade für die Nachweisprüfung (RUN)“ hinterlegt die Reifegrade für die Prüfungen bei KRITIS mit festgelegten Kriterien. Sie gilt für Prüfungen mit einem Ende nach dem 01.04.2025. Die Reifegrade für Informationssicherheit (ISMS), Notfallmanagement (BCMS) und Systeme zur Angriffserkennung (SzA) wurden harmonisiert und die Anforderungen aus der Orientierungshilfe SzA wurden vollständig integriert.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/run.html

DORA - Digital Operational Resilience Act – ist da.

Ab dem 17. Januar 2025 ist DORA als sektorspezifische Umsetzung der NIS2-Richtlinie verbindlich anzuwenden.

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.

Umfassende Informationen zu DORA gibt es bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

https://www.hisolutions.com/dora

Fortentwicklung des BSI IT-Grundschutz

„Der neue IT-Grundschutz wird vollständig prozessorientiert aufgebaut und basiert auf einem digitalen Regelwerk in Form einer JSON Datei. Jede Anforderung an die Cybersicherheit wird als Regel in einem standardisierten Format erfasst, so dass diese Regeln auch durch Computerprogramme interpretiert und ausgewertet werden können. Das digitale Regelwerk löst das IT-Grundschutz-Kompendium ab, welches Anforderungen an Cybersicherheit in Textform (u. a. als PDF und als gedruckte Version) für menschliche Adressaten beschreibt. Der Wechsel auf ein digitales Regelwerk ermöglicht eine Automatisierung von Sicherheitsprozessen, so dass Anforderungen an die Cybersicherheit nicht nur von Personen, sondern auch über ein Managementsysteme für Informationssicherheit (ISMS) modelliert und die Einhaltung der Anforderungen überwacht werden kann. Um die Anwendbarkeit weiter zu erleichtern, werden die Absicherungsstufen Basis, Standard und erhöhter Schutzbedarf durch flexible Leistungszahlen in Verbindung mit dynamischen Schwellwerten ersetzt.“

Mehr zum neuen IT-Grundschutz-Regelwerk auf der Website des BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

NIS2: Durchführungsverordnung der Kommission über kritische Einrichtungen und Netze

Die EU hat die Durchführungsverordnung für „die technischen und methodischen Anforderungen der in NIS-2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerke sowie „Vertrauensdiensteanbieter“ festgelegt.

https://digital-strategy.ec.europa.eu/de/library/nis2-commission-implementing-regulation-critical-entities-and-networks

Understanding the NIS2 Directive: Strengthening Cybersecurity Across the EU

Die ENISA hat eine „NIS2 information campaign“ gestartet, die hier abrufbar ist: https://www.enisa.europa.eu/topics/awareness-and-cyber-hygiene/network-and-information-systems-directive-2-nis2

BSI Informiert über den Cyber Resilience Act (CRA)

„Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für vernetzbare Produkte auf dem EU-Markt festlegt. Dieses Management-Blitzlicht hilft den Herstellern bei der Einschätzung, wann ein Produkt unter den CRA fällt, gibt Empfehlungen zur Vorbereitung und klärt auf, ab welchem Zeitpunkt ein Produkt CRA-konform sein muss.“

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Management-Blitzlicht/Management_Blitzlicht_node.html bzw. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Management_Blitzlicht/Management_Blitzlicht_CRA.pdf?__blob=publicationFile&v=5

Naturereignisse und das KRITIS-Dachgesetz

Während die deutsche Umsetzung der EU-CER-Richtlinie – das KRITIS-Dachgesetz – auf sich warten lässt, hat das United Nations Office for Disaster Risk Reduction (UNDRR) ein „Handbook on the use of risk knowledge for multi-hazard early warning systems 2024“ als Hilfestellung für das Risikowissen zum Schutz (auch von KRITIS) der physischen Sicherheit veröffentlicht. https://www.undrr.org/publication/handbook-use-risk-knowledge-multi-hazard-early-warning-systems-2024

Gesetzentwurf der Bundesregierung, „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“, Drucksache 20/13961 vom 27.11.2024: https://dserver.bundestag.de/btd/20/139/2013961.pdf

EU-Kommission leitet Schritte zur Gewährleistung der vollständigen und fristgerechten Umsetzung von EU-Richtlinien ein

Die EU-Kommission hat 23 der 26 Mitgliedstaaten zur vollständigen Umsetzung der NIS-2-Richtlinie aufgefordert (NIS2UmsuCG). Ebenfalls wurden 24 Mitgliedstaaten zur vollständigen Umsetzung der vereinbarten Vorschriften zum Schutz kritischer Infrastrukturen und zur Resilienz kritischer Einrichtungen (KRITIS-Dachgesetz) aufgefordert.

Deutschland wurde bezüglich beider Richtlinien ein Vertragsverletzungsverfahren angedroht.

https://ec.europa.eu/commission/presscorner/detail/en/inf_24_5988

BSI hat „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht

In der Veröffentlichung enthalten ist auch der Umsetzungsstand der kritischen Infrastrukturen bei ISMS und BCMS. Ein mittlerer Reifegrad des ISMS ist nur bei ca. 140 von 671 KRITIS-Betreibern gegeben. Und der mittlere Reifegrad des BCMS ist bei lediglich 114 von 671 KRITIS-Betreibern gegeben. Die Mehrzahl der Betreiber hat also ihr ISMS oder BCMS nur in Teilen etabliert bzw. Insellösungen in der Cybersicherheit!

Stufe 1 - geplant, aber noch nicht umgesetzt:

• Ca. 10 in Stufe 1 ISMS
• Ca. 30 in Stufe 1 BCMS

Stufe 2 - teilweise vorhanden:

• Ca. 130 in Stufe 2 ISMS
• Ca. 230 in Stufe 2 BCM

Die Einstufung generell wird wie folgt vorgenommen:

1. ISMS bzw. BCM ist geplant, aber nicht etabliert.
2. ISMS bzw. BCM ist zum Teil etabliert.
3. ISMS bzw. BCM ist etabliert und dokumentiert.
4. Zusätzlich zum Reifegrad 3 wurde das ISMS bzw. BCM regelmäßig auf Effektivität überprüft.
5. Zusätzlich zum Reifegrad 4 wurde das ISMS bzw. BCM regelmäßig verbessert.

Der komplette Bericht inkl. aller Umsetzungsdetails bei KRITIS-Betreibern ist beim BSI als Download verfügbar: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html

Keine Abhörschnittstellen, keine Hintertüren – und damit auch kein Missbrauch

Das FBI hat bestätigt, dass chinesische Akteure über die Abhörschnittstellen (Lawful Interception, LI), also die Schnittstellen für die gesetzlich erlaubte Überwachung von Telekommunikationsdiensten, in die Systeme nahezu aller US-Telekommunikationsanbieter eingedrungen sind und  massiv vertrauliche Daten abgegriffen haben. Wie immer gilt die Regel: Wenn keine Sicherheitslücken oder Schnittstellen vorhanden sind oder bewusst offengehalten werden, können diese auch nicht von Akteuren missbraucht werden.

Haben Sie schon Ihre Fernwartung und die vielen Schnittstellen zu Dienstleistern in Ihrer Lieferkette überprüft, analysiert und ausgewertet? Wir erleben immer wieder erhellende Momente bei der Unterstützung und Umsetzung solcher Projekte, und das BSI bietet dazu eine interessante Veröffentlichung.

https://techcrunch.com/2024/11/14/us-confirms-china-backed-hackers-breached-telecom-providers-to-steal-wiretap-data/

https://www.heise.de/news/Aus-China-Cyberangriff-auf-US-Provider-schlimmster-in-der-US-Geschichte-10097659.html

https://www.heise.de/news/Wegem-schwerem-Cyberangriff-auf-US-Provider-FBI-wirbt-fuer-Verschluesselung-10187110.html

https://www.wsj.com/tech/cybersecurity/typhoon-china-hackers-military-weapons-97d4ef95

https://www.wsj.com/politics/national-security/u-s-disables-chinese-hacking-operation-that-targeted-critical-infrastructure-184bb407

BSI/Allianz für Cybersicherheit - Fernwartung im industriellen Umfeld v2.0: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_108.html

Über 40 Webportale von Schweizer Medien mussten nach Cyberangriff ihre Paywalls abschalten

Alle betroffenen Medien hatten den Log-in-Dienst Onelog genutzt, dem bei einem Cyberangriff wohl sämtliche Zugangsdaten gelöscht wurden.

https://www.golem.de/news/log-in-nicht-moeglich-schweizer-medien-schalten-nach-cyberangriff-ihre-paywalls-ab-2410-190199.html

Cyberangriff auf KRITIS: Nachwirkungen und Auswirkungen für ein Jahr

Nach einem Jahr funktionieren bei der RSAG aus Rostock fast alle RSAG-Anzeigetafeln wieder.

"Das System ist plötzlich abgestürzt und eingefroren. Unsere Kollegen sehen in ihren Systemen in Echtzeit, wo Busse und Bahnen gerade sind. Aber plötzlich waren die Fahrzeuge verschwunden“, schilderte RSAG-Vorstand Jan Bleis die Situation im November 2023. Dann kam der Schock: „Unser gesamtes Netzwerk ist betroffen.“ Das Betriebssystem der Leitstelle sei plötzlich außer Gefecht gewesen, ebenso E-Mail- und Telefonsysteme und Datenspeicher.

Einen derart gravierenden Vorfall wünscht man niemandem. Daher bitte nicht nur Vorsorgemaßnahmen umsetzen, sondern auch die Response-Planung vornehmen. So kommt man schneller wieder vor die Lage, statt von der Lage getrieben zu werden.

https://www.ostsee-zeitung.de/lokales/rostock/rostock-rsag-amzeigetafeln-funktionieren-ein-jahr-nach-nach-hacker-angriff-wieder-2HDLFNO5EJBSFDMTCAW4MBFHBA.html

Mobilfunknetz in Dänemark ausgefallen: Keine Notrufe über 112 möglich – und die Züge stehen still

Der Telekommunikationsanbieter TDC Net aus Dänemark hatte mit großen Problemen im Mobilfunknetz zu kämpfen. Aufgrund des Vorfalls konnten teilweise keine Notrufe mehr abgesetzt werden, und Züge mussten stehen bleiben.

https://www.spiegel.de/netzwelt/daenemark-mobilfunknetz-ausgefallen-keine-notrufe-moeglich-zuege-stehen-still-a-94206375-d327-400d-984f-78d275d28602

https://www.zeit.de/gesellschaft/zeitgeschehen/2024-11/daenemark-stoerung-mobilfunk-zugverkehr

28 Züge gestoppt wegen Computerfehler

Alle 28 Talgo-Avril-Züge von Renfe wurden aufgrund eines Computerfehlers gestoppt. Ursächlich dafür war ein Kommunikationsausfall zwischen dem Kontrollsystem und den Batterieladegeräten.

https://elpais.com/economia/2025-01-01/renfe-sufre-una-incidencia-informatica-que-impide-la-circulacion-de-los-trenes-talgo-avril.html

Erfolgreicher Angriff auf die D-Trust GmbH

Die D-Trust GmbH hat veröffentlicht, dass sie „Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten” wurde. „Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden. Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen."

https://www.d-trust.net/de/newsroom/news/information-datenschutzvorfall-13-januar-2025

Bundespolizei mit Computer-Ausfällen an deutschen Flughäfen

Kürzlich kam es an vielen deutschen Flughäfen zu einem etwa vier Stunden anhaltenden Computerausfall aufgrund einer technischen Störung im polizeilichen Informationssystem des Bundeskriminalamtes. Die Ausfälle führten zu langen Schlangen und Wartezeiten bei den Einreisekontrollen. Die Gründe für den Ausfall sind noch unklar.

https://m.focus.de/panorama/welt/bundespolizei-bestaetigt-computer-ausfaelle-an-allen-deutschen-flughaefen_id_260606729.html

https://www.br.de/nachrichten/deutschland-welt/it-systeme-der-bundespolizei-an-deutschen-flughaefen-ausgefallen,UYporQZ

Angriff auf Uniklinik Leipzig abgewehrt

Das Uniklinikum Leipzig (UKL) konnte mit den bestehenden Sicherheitsmechanismen ihre IT-Infrastruktur verteidigen, die einer „intensiven Angriffswelle aus dem Internet“ ausgesetzt war.

Schön, dass es auch Erfolgsmeldungen gibt. Bei weitem viel zu wenige, aber umso mehr tut es gut, wenn KRITIS-Betreiber auch mal eine positive Meldung kommunizieren. Fühlen Sie sich ermutigt, solche erfreulichen Erfahrungen mit anderen zu teilen.

https://www.lvz.de/lokales/leipzig/leipzig-it-abteilung-wehrt-hackerangriff-aufs-uniklinikum-ab-E37OPI72LVE25FKU74YGTBTR3U.html

#nis2know: Fokus Betroffenheitsprüfung

Das BSI bietet wieder einige Webinare an zum Thema NIS-2-Betroffenheitsprüfung.

Parallel dazu arbeitet HiSolutions gerade an einem neuen Format, mit dem wir gemeinsam mit dem BSI und einem weiteren Partner in der Allianz für Cybersicherheit NIS-2-Betroffenen konkrete Hilfestellung geben wollen.

Stay tuned – und bis es soweit ist, finden Sie hier die aktuellen Veranstaltungen des BSI: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/veranstaltungen_node.html

HiSolutions hat einen Podcast: HiWay – Wegweiser für Digitalisierung und Sicherheit.

Drei Fragen, zehn Minuten, alle 14 Tage neu – überall, wo es Podcasts gibt: Die erste Folge unseres neuen Expertentalks mit Prof. Timo Kob, Gründer und Vorstand von HiSolutions, finden Sie in Bild und Ton auf unserem YouTube-Kanal. Folge 1: „Honeymoon is over“: Timo Kob über Trump, die Ampel und Deutschlands Zukunft in der IT-Sicherheit: https://www.youtube.com/watch?v=ahwvSKqrFYI

Und in einer der weiteren Episoden bin ich auch mal als Gast dabei. :-)

2024 Report on the State of the Cybersecurity in the Union

Der erste Bericht über den Stand der Cybersicherheit in der EU wurde veröffentlicht. Er wurde von der ENISA in Zusammenarbeit mit der NIS-Kooperationsgruppe und der Europäischen Kommission gemäß Artikel 18 der EU-NIS2-Richtlinie erstellt: https://www.enisa.europa.eu/publications/2024-report-on-the-state-of-the-cybersecurity-in-the-union

Chaos Communication Congress 38c3: Illegal Instructions

Unter dem Motto „38C3: Illegal Instructions“ hatte der Chaos Computer Club wieder zum Kongress eingeladen. Es gab ca. 130 Beiträge in den fünf Themenbereichen

• Art & Beauty
• Ethics, Society & Politics
• Hardware & Making
• Science
• Security,

die Anstöße zum Erfahrungsaustausch und zur Weltverbesserung geben sollten.

Alle Vorträge sind (teilweise auch mehrsprachig) wie immer online und frei verfügbar. Darunter viel Sehenswertes und Wissenswertes: es lohnt sich - https://media.ccc.de/c/38c3

Live-Podcast „Zukunft Apokalypse?!“, Folge 3: Licht aus in der Republik? - Ein Blackout aus sicherheitstechnischer Perspektive

Unter diesem Titel war ich als Gastexperte zum Thema Blackout und anschließende Auswirkungen eingeladen. Hören Sie gerne hinein und geben Sie mir Feedback: https://polis180.org/regiogruppen/rheinland/live-podcast-zukunft-apokalypse/

Wie verletzbar sind eigentlich unsere Datenkabel? | Netzkenner Jörg Schieb spricht mit Manuel Atug

Da die Vorfälle und Sabotagen bei Unterseekabeln nicht abreißen, hier nochmal zum Nachhören die zwar schon zwei Jahre alte Aufzeichnung, die aber inhaltlich immer noch hochaktuell ist: https://www.youtube.com/watch?v=aoXOmpvyKB4

Moritz Frenzel hat auf der DENOG16 einen guten Vortrag zum Betrieb von Unterseekabeln gehalten, den ich ebenfalls zu diesem Thema empfehle: https://media.ccc.de/v/denog16-54594-submarine-cables-lifelines-of-countries-and-continents

Das ZDF hat dazu auch eine Übersicht „Schutz von Datenkabeln – Kritische Infrastruktur: Wie verwundbar sind wir?“ erstellt. Auch hier wurde ich neben anderen Experten interviewt: https://www.zdf.de/nachrichten/politik/deutschland/kritische-infrastruktur-offshore-lng-pipeline-ostsee-100.html

Der "Ada & Zangemann"-Film

Nach dem Erfolg des illustrierten Buches (Kaufempfehlung!) „Ada & Zangemann - Eine Geschichte von Software, Skateboards und Himbeereis“ gibt es die Geschichte nun auch als frei verfügbaren Animationsfilm.

Er ist als Open Educational Resource unter einer "Creative Commons By Share-Alike"-Lizenz veröffentlicht worden und erzählt die Geschichte des berühmten Erfinders Zangemann und des Mädchens Ada, einer neugierigen Tüftlerin.

Danke dafür an meinen Freund und OpenSource-Mitstreiter Matthias Kirschner (Präsident Free Software Foundation Europe) und die FSFE.

https://fsfe.org/activities/ada-zangemann//movie