HiSolutions KRITIS-News Juli 2024
Die Themen: Verabschiedeter Regierungsentwurf des NIS2UmsuCG frei verfügbar | NIS-2-FAQ vom BSI | Südwestfalen-IT (SIT) ist nach neun Monaten weitestgehend wieder online | Cybersecurity-Dienstleister sorgt für weltweite KRITIS-Ausfälle | Deutsche Strategie zur Stärkung der Resilienz gegenüber Katastrophen | OT-Risiko-Kochbuch vom VDMA-Arbeitskreis Industrial Security
Liebe Leserin, lieber Leser,
auch mit dieser Ausgabe unseres KRITIS-Newsletters melden wir uns mit Neuigkeiten zu Kritischen Infrastrukturen.
Kritische Infrastrukturen und wichtige sowie besonders wichtige Einrichtungen werden durch die EU-NIS2-Richtlinie zu Cybersicherheit verpflichtet. Die deutsche Umsetzung, das „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) wurde als Regierungsentwurf vom 22.7.2024 veröffentlicht und zwei Tage später im Kabinett verabschiedet. Das BSI war derweil nicht untätig und hat eine NIS-2-Betroffenheitsprüfung und eine FAQ für NIS2 veröffentlicht, die kontinuierlich erweitert wird.
Der HiSolutions-NIS2-Kompass hat eine BSI-Schwester erhalten
NIS2 wird ca. 30.000 Unternehmen und Organisationen betreffen. Zur ersten Einschätzung haben wir vor einiger Zeit den HiSolutions-NIS2-Kompass entwickelt und kostenfrei zur Verfügung gestellt. Das BSI hat jetzt ebenfalls eine „NIS-2-Betroffenheitsprüfung“ entwickelt und veröffentlicht. Ob Sie von den Regularien betroffen sind, können Sie schnell und kostenfrei mit beiden Werkzeugen prüfen.
Gerne helfen unsere Expertinnen und Experten bei der Betroffenheitsprüfung und in der praktischen Umsetzung von NIS2.
https://www.hisolutions.com/nis2
Verabschiedeter Regierungsentwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) frei verfügbar
Das Bundesinnenministerium hat den Regierungsentwurf des NIS2UmsuCG nach der Verabschiedung durch das Kabinett am 24.07.2024 veröffentlicht. Viel hat sich nicht geändert, aber es wurden einige Anpassungen vorgenommen. Wir sind guter Dinge, dass das Gesetz im Frühjahr 2025 auch durch den Bundestag verabschiedet wird. Hier finden Sie das 208 Seiten umfassende Dokument.
https://www.hisolutions.com/nis2#c12935
Wer Fragen zu NIS-2 hat, bekommt Antworten.
Das BSI hat „Fragen und Antworten zu NIS-2“ veröffentlicht, und diese werden jetzt kontinuierlich erweitert. Schöner Start, sehr hilfreich. Wer Fragen hat, die das BSI noch nicht beantwortet hat, kann diese gerne direkt ans BSI richten, bei Bedarf werden die FAQ dann erweitert.
Bei Fragen, die das BSI nicht beantwortet, beispielsweise zur Betroffenheitsprüfung oder zur Unterstützung bei der Umsetzung von Cybersicherheitsmaßnahmen und vielem mehr, erhalten Sie die Antworten gerne von uns.
Südwestfalen-IT (SIT) ist nach neun Monaten weitestgehend wieder online.
Weit über einhundert Kommunen und mehr als eine Million Bürgerinnen und Bürger waren von dem Ausfall bei der Südwestfalen-IT betroffen. Das zeigt wieder die Relevanz des KRITIS-Sektors „Staat und Verwaltung“ für die Bevölkerung. Die meisten Kommunen hatten den IT-Ausfall mit Behelfslösungen zu überbrücken versucht. Bei vielen laufen aber immer noch nicht alle Dienste und Fachverfahren, beispielsweise i-Kfz, Formulare und Telefon- und Mitarbeiterverzeichnisse.
Podcast-Reihe zum kommunalen IT-Dienstleister Südwestfalen-IT
„Zero-Day in Südwestfalen“ ist eine fünfteilige Reihe im Podcast-Format „Hintergrund“ vom Deutschlandfunk.
https://www.deutschlandradio.de/zero-day-in-suedwestfalen-100.html
Cybersecurity-Dienstleister sorgt für weltweite KRITIS-Ausfälle
Ein Vorfall hat am Freitag, den 19.7.2024, die ganze Welt rotieren lassen: Crowdstrike, ein Anbieter von Software für die Angriffserkennung, hat ein fehlerhaftes Signatur-Update ausgerollt und damit viele hunderttausend IT-Systeme weltweit lahmgelegt, da die Windows-Systeme alle mit einem Blue Screen of Death (BSoD) abgestürzt sind.
Viele Kritische Infrastrukturen fielen aus, es gab Chaos im Flugverkehr, Backwerke mussten ihre Fabrikanlagen anhalten, alles reinigen und sterilisieren und die Teigwaren vernichten. Banken konnten Geldausgabeautomaten nicht mehr betreiben, Kliniken keine Operationen mehr durchführen, ja selbst Notrufnummern konnten zeitweilig nicht mehr betrieben werden. Wikipedia stellt eine Übersicht bereit, wer im Detail von den Ausfällen betroffen war.
Für HiSolutions habe ich beim rbb-Inforadio Stellung zur Frage genommen, wie gut die Kritische Infrastruktur gegen IT-Ausfälle gewappnet ist.
https://en.wikipedia.org/wiki/2024_CrowdStrike_incident
Deutsche Strategie zur Stärkung der Resilienz gegenüber Katastrophen
Die vom BMI veröffentlichte Resilienzstrategie adressiert zehn Kernbotschaften:
- Gefahren werden komplexer.
Natur- und vom Menschen verursachte Gefahrenlagen können gleichzeitig auftreten, sich verstärken und gegenseitig bedingen. Wir müssen daher verstärkt alle Gefahren einschließlich ihrer Ursachen und Folgen in den Blick nehmen. - Katastrophen machen keinen Halt vor den administrativen Grenzen.
Resilienzstärkung ist daher immer ein Weg, der in lokaler, regionaler, nationaler und internationaler Zusammenarbeit gemeinsam beschritten werden muss. - Vorsorge zahlt sich aus.
So werden Menschenleben gerettet und Schäden für die Gesellschaft, Wirtschaft und Umwelt verringert und vermieden. Jeder Euro, der ausgegeben wird, um die Resilienz der Menschen gegenüber Katastrophen zu stärken, spart um ein Vielfaches mehr an wirtschaftlichen Verlusten und damit im Wiederaufbau. - Resilienz ist eine Fähigkeit.
Es geht darum, sich rechtzeitig und effizient den Auswirkungen einer Gefährdung zu widersetzen, diese zu absorbieren, sich an sie anzupassen, sie umzuwandeln und sich von ihr zu erholen. - Resilienz gelingt nur gemeinsam.
Die Stärkung von Resilienz gegenüber Katastrophen ist eine gesamtstaatliche und -gesellschaftliche Aufgabe, für die Bund, Länder und Kommunen zusammen mit der Zivilgesellschaft, der Privatwirtschaft, der Wissenschaft und den Medien gemeinschaftlich handeln müssen. - Resilienz erfordert interdisziplinäre Zusammenarbeit.
Das bedeutet, dass jeder Sektor bzw. jedes Politikfeld sowohl fachspezifische Maßnahmen zur Resilienzstärkung verfolgt als auch zu sektorenübergreifenden Anstrengungen beiträgt. - Die Stärkung der Resilienz ist eine Daueraufgabe.
Risiken und unsere Anfälligkeit sind durch vielfache Faktoren beeinflusst und können sich stetig ändern. Unsere Fähigkeiten und Strukturen müssen daher stets neue Herausforderungen antizipieren und sich anpassen. - Risiko- und Krisenmanagement müssen besser ineinandergreifen.
Mit dem umfassenden Ansatz des Katastrophenrisikomanagements können wir analysieren, wo wirverwundbar sind und unsere Vorbereitung und Bewältigungskapazitäten und -Ressourcen darauf ausrichten. Wir können dadurch aus vergangenen Krisen besser lernen und unser Wissen für die Zukunft nutzen. - Mit mehr Kohärenz können Risiken und Katastrophen effektiver und effizienter verringert und verhindert werden.
Es gibt bereits viele Anstrengungen staatlicher und nicht-staatlicher Akteure. Durch neue Verknüpfungen und Ergänzungen können bestehende Maßnahmen noch besser wirken und Synergien genutzt werden. - Jede Krise ist eine Chance.
Wir können aus Krisen lernen und sie für transformative Entwicklungen einer nachhaltigen Zukunft nutzen.
OT-Risiko-Kochbuch vom VDMA-Arbeitskreis Industrial Security
Das OT-Risiko-Kochbuch ist ein Leitfaden des VDMA, der Herausforderungen angeht und praktische Anleitungen zur Sicherheit in OT-Umgebungen adressiert. Im Fokus stehen Methoden und Prozesse bei gleichzeitiger Berücksichtigung von Erfahrungswerten.
https://www.vdma.org/viewer/-/v2article/render/93887232
Soviel für dieses Mal – bleiben Sie auch 2024 wie immer safe and secure!
Herzliche Grüße
Ihr Manuel „HonkHase" Atug
Unser nächster KRITIS-Newsletter erscheint Ende Oktober 2024.