Die Themen: Entwurf des KRITIS-Dachgesetzes zur Umsetzung der EU-CER-Richtlinie | Aktueller Entwurf des Umsetzungsgesetzes zur NIS2-Richtlinie | Entwurf der KRITIS-Verordnung für den Sektor Siedlungsabfallentsorgung | § 8a Absatz 5 BSIG – Grundsätzliche Anforderungen im Nachweisverfahren | PSD3 und PSR für Zahlungsdienstleister | Ransomware-Vorfall bei Japans größtem Hafen
Liebe Leserin, lieber Leser,
diese hochsommerliche Ausgabe unseres KRITIS-Newsletters adressiert Angriffe und Gesetzgebungen, aber auch ein empfehlenswertes Whitepaper zum Thema Industrial Control System (ICS) - Industriesteuerungen für die Prozessautomatisierung.
Das Thema Kritische Infrastrukturen (KRITIS) treibt alle an und wird auch zukünftig nicht langweilig. Vieles ist im Umbruch – nicht nur auf Seiten der IT-Security, sondern auch bei der Cybersecurity in der Operational Technology (OT). Die Umsetzung der immer komplexer werdenden (gesetzlichen) Anforderungen erfordert viel Know-how und eine ebenso kontinuierliche Erweiterung des Wissens: GAP Analyse, Pentest in Industrieanlangen oder Etablierung eines Information Security Management System (ISMS) mit Business Continuity Management (BCM), welches die Cybersicherheit von OT und nicht nur IT adressiert, oder im schlimmsten Fall die Incident Response nach einem erfolgreichen Cybervorfall.
Seit Juli 2023 ist HiSolutions „BSI-zertifizierter Sicherheitsdienstleister für die Vorfallbehandlung“. Der neue Geltungsbereich ergänzt die bisherigen Zertifikate des Beratungshauses für die Bereiche "Penetrationstest" und "IS-Revision und -Beratung".
https://www.hisolutions.com/detail/17025-vorfallsbehandlung
Der erste Entwurf des neuen Gesetzes zum physischen Schutz und zur Steigerung der Resilienz von Kritischen Infrastrukturen („KRITIS-Dachgesetz“) lässt noch viele Fragen unbeantwortet, gibt aber einen ersten Einblick in das Vorhaben.
2.000 KRITIS-Betreiber sollen zukünftig darlegen, mit welchen Schutzmaßnahmen sie physische Ausfälle verhindern oder bei solchen Ausfällen reagieren wollen.
Kritische Einrichtungen im Sinne dieses Entwurfs kommen dabei aus den Bereichen Energie, Transport und Verkehr, Abwasser, Trinkwasser, Finanz- und Versicherungswesen, Gesundheit, Informations- und Telekommunikationstechnik, Verwaltung von Informations- und Kommunikationsdiensten (ITK) für Business-to-Business-Kunden oder Weltraum. Gegenüber der KRITIS -Definition im BSI-Gesetz fallen hier also Medien und Kultur weg, dafür kommt der Bereich Weltraum hinzu.
Des Weiteren sollen die Bereiche Logistik, Entsorgung, Produktion, Chemie, Ernährung und verarbeitendes Gewerbe, digitale Dienste und Forschung ebenfalls unter das KRITIS-Dachgesetz fallen.
Wie schon im BSI-Gesetzt ist auch hier als Schwellwert, ab dem Unternehmen vom Gesetz erfasst werden, die Versorgung von mindestens 500.000 Menschen vorgesehen.
KRITIS-Betreiber sollen zukünftig alle vier Jahre Risikoanalysen und -bewertungen durchführen und alle zwei Jahre dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) einen Resilienzplan vorlegen.
Betreiber sollen zukünftig „geeignete und verhältnismäßige, technische, sicherheitsbezogene und organisatorische Maßnahmen“ treffen und sollen – nicht müssen – den Stand der Technik dabei berücksichtigen. Verhältnismäßigkeit wird dabei als so beschrieben, dass der Aufwand im Verhältnis zu den Folgen betrachtet werden soll.
Vorgaben für den Einsatz kritischer Komponenten bei den Betreibern kritischer Infrastrukturen sollen im § 13 beschreiben werden, der allerdings derzeit im Entwurf leer ist. Offenbar laufen da noch die Abstimmungen.
Die Registrierung und auch das Melden von Vorfällen, welche die kritischen Dienstleistungen erheblich stören könnten, sollen zukünftig gemeinsam an das BSI und das BBK erfolgen. Gefordert wird eine erste Meldung innerhalb von 24 Stunden. Spätestens einen Monat danach soll ein ausführlicher Bericht übermittelt werden.
Der Referentenentwurf des KRITIS-Dachgesetzes ist hier veröffentlicht: https://ag.kritis.info/2023/07/18/referentenentwurf-des-bmi-kritis-dachgesetz-kritis-dachg/
Eine erste öffentliche Einschätzung liefert Heise: https://www.heise.de/hintergrund/KRITIS-Dachgesetz-Schutzvorhaben-mit-eklatanten-Luecken-9219019.html
Der aktualisierte und 145 Seiten starke Entwurf des „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ vom Juli 2023 ist öffentlich geworden. Er fordert umfassende Mehraufwände in geschätzter Höhe von initial 1,37 Millionen Euro und dann jährlich 1,65 Millionen Euro zur Cybersicherheit für ca. 29.000 „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Bundesbehörden. Für das BSI sind erheblich verschärfte Sanktionsmaßnahmen und umfassende Eingriffsbefugnisse enthalten.
Vorgesehen sind für besonders schwere Verstöße dabei „mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens". Das BSI soll auch bei „besonders wichtigen Einrichtungen“ Maßnahmen anordnen, verbindliche Anweisungen erlassen und bei Nichtbefolgung sogar einer Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen können.
Die Bundesländer und Kommunen sind dabei in der Gesetzgebung außen vor geblieben.
Der NIS2-Referentenentwurf ist hier veröffentlicht: https://ag.kritis.info/2023/07/19/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/
Eine erste öffentliche Einschätzung liefert Heise: https://www.heise.de/news/Bundesamt-fuer-Sicherheit-in-der-Informationstechnik-soll-CEOs-entmachten-koennen-9221469.html
Der Entwurf ist noch nicht die finale Version, aber durchaus ein guter Indikator, was auf die Abfallentsorgungsbranche zukommen wird. Hier die wichtigsten Daten:
Es gibt zwei Anlagenkategorien:
Die Schwellwerte für die Einordnung als KRITIS beziehen sich im Entwurf auf die Abfallmenge in Megagramm (entspricht Gewichtstonnen):
Insgesamt fallen voraussichtlich über 300 Betriebe und Anlagen unter diese Kategorien, davon ca. 150 Behandlungsanlagen und ca. 100 Sammlungsbetriebe. Die Umsetzungsfrist wird, wie üblich, zwei Jahre ab Verabschiedung sein.
Der in Arbeit befindliche „Branchenspezifische Sicherheitsstandard“ (B3S) nach BSI-Gesetz § 8a Absatz 2 wird laut dem Verband kommunaler Unternehmen e. V. (VKU) voraussichtlich erst 2024 fertiggestellt. Mehr vom VKU dazu findet sich in folgendem Artikel: https://www.vku.de/themen/infrastruktur-und-dienstleistungen/artikel/it-sicherheit/
Das BSI hat „Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)“ gemäß § 8a Absatz 5 BSI-Gesetz veröffentlicht, die bei den Prüfungen von Kritischen Infrastrukturen zu berücksichtigen sind. Wer nicht genau einordnen kann, was das für Auswirkungen auf die alle zwei Jahre durchzuführende Nachweiserbringung durch die KRITIS-Prüfung hat, kann sehr gerne auf uns zukommen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/anforderungen_gain.html
Die Zahlungsdienster-Richtlinie Payment Services Directive 3 (PSD3) soll eine bessere Harmonisierung von regulierten Zahlungsdiensten in den Mitgliedsstaaten bewirken, da es immer noch Unstimmigkeiten und Ausnahmen gibt. Die Payment Services Regulation (PSR) widmet sich den aufsichtsrechtlichen Pflichten von Zahlungsinstituten, und die bisherige E-Geld-Richtlinie soll durch die beiden neuen Regelungen ersetzt werden.
Eine gute Übersicht zur dritten Zahlungsdienster-Richtlinie als Rundumblick wurde in folgendem Artikel veröffentlicht. Reinschauen und Prüfen hilft bei der Bewertung, was auf betroffene Institutionen zukommen kann.
https://www.it-finanzmagazin.de/psd3-leaks-krypto-gefaehrdungshaftung-neue-freiheiten-154721/
Nagoya Port ist der größte Hafen Japans. Jährlich werden ca. 200 Millionen Tonnen Fracht umgeschlagen. Anfang Juli wurde er durch Ransomware erfolgreich angegriffen. Dadurch wurde der Umschlag von Gütern aller Art, vor allem von Autos und Autoteilen, Haushaltsgeräten und Lebensmitteln stark beeinträchtigt, und am Hafen bildeten sich lange LKW-Schlangen.
Die Zahl der gemeldeten Ransomware Angriffe steigt auch in Japan stetig. Im Jahr 2022 wurden bereits 230 Angriffe gemeldet. Wie viele noch als Dunkelziffer dazu kommen, kann nicht mit Gewissheit gesagt werden. Betroffen sind immer wieder auch Kritische Infrastrukturen wie Krankenhäuser, aber auch Universitäten und Unternehmen, besonders aus der Autoindustrie.
Letztes Jahr wurde sogar das Osaka General Medical Center Ziel eines Ransomware-Angriffs. Dabei wurden die elektronischen Krankenakten und die Abrechnungssoftware lahmgelegt – die ambulante Behandlung musste ebenfalls eingestellt werden.
https://sumikai.com/nachrichten-aus-japan/hafen-von-nagoya-durch-ransomware-lahmgelegt-331762/
Erfolgreiche Cyberangriffe haben immer häufiger fatale Auswirkungen auf die Existenz von betroffenen Kritischen Infrastrukturen und Unternehmen, die in der Folge Insolvenz anmelden und die Tore schließen müssen. Das amerikanische Krankenhaus St. Margaret‘s Health wurde bereits 2021 durch einen Ransomware-Vorfall lahmgelegt und kam daraufhin über Monate in finanzielle Schwierigkeiten, da die Beantragung der Gelder von Versicherungen und staatlichen Stellen verhindert wurde. Jetzt musste es für immer schließen.
…ist dieses frei verfügbare Whitepaper-Schmuckstück „Industrial Control Systems: Engineering Foundations and Cyber-Physical Attack Lifecycle“ von Dr.-Ing. Marina Krotofil. Derzeit prüft die Autorin sogar, ob und wie das freie Werk ins Deutsche übersetzt werden kann.
https://www.cyberphysicalsecurity.info/
So viel für dieses Mal – stay safe and secure!
Herzliche Grüße
Ihr Manuel Atug
Unser nächster KRITIS-Newsletter erscheint Ende Oktober 2023.