Warum ist die Absicherung von ICS so wichtig?
ICS – Industrial Control Systems steuern und überwachen eine Vielzahl von Maschinen in Industriebetrieben. Wenn sie ausfallen, dann kann das weitreichende Folgen haben, das gilt ganz besonders bei Betrieben der Kritischen Infrastrukturen, die grundlegende Funktionen für die Gesellschaft und die Sicherheit der Bevölkerung gewährleisten müssen. Durch verstärkte Vernetzung und Erreichbarkeit über das Internet sind ICS besonders anfällig und müssen gegen Cyberangriffe gesichert werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich deshalb auch mit der wirksamen Absicherung von Industrial Control Systems. Welche konkrete Unterstützung bietet das BSI im Kontext ICS-Security für Betreiber? Beginnen wir mit den Aufgaben und Zuständigkeiten des BSI.
Aufgaben des Bundesamts für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als Cyber-Sicherheitsbehörde des Bundes, die dem Bundesministerium des Innern und für Heimat (BMI) nachgeordnet ist. Die übergeordnete Zielsetzung besteht für das BSI darin, die Digitalisierung in allen Bereichen unserer Gesellschaft sicher zu gestalten und die Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken. Die einzelnen Aufgaben und Befugnisse sind im BSI-Gesetz geregelt. Aktuell verfügt das BSI über 1550 Stellen in acht Abteilungen mit weiterem Personalzuwachs.
Das BSI bündelt Kompetenz zu Fragen der Informationssicherheit und arbeitet maßgeblich an Standardsierungen und Zertifizierung sowie an der Erteilung von IT-Kennzeichen. Außerdem werden relevante Informationen zur allgemeinen Gefährdungslage und zu Schwachstellen gesammelt und veröffentlicht. Bei aktuellen Bedrohungslagen und Vorfällen gibt das BSI entsprechende Warnungen heraus. Im Falle schwerer IT-Krisen und Cybersicherheitsvorfällen wird das Nationale IT-Krisenreaktionszentrum im BSI aktiv.
Im jährlichen Bericht zur Lage der IT-Sicherheit informiert das BSI die Öffentlichkeit über seine Tätigkeiten, die Entwicklung aktueller Schwachstellen und bewertet die Cyber-Sicherheitslage.
Als Präventivmaßnahme stellt das BSI relevante Informationen und Empfehlungen für die verschiedenen Zielgruppen zur Verfügung, die dabei helfen, Gefahren für IT-Systeme zu erkennen und zu vermeiden.
Bürgerinnen und Bürger
Informationen über Schwachstellen, Sicherheitslücken und andere Risiken bietet außerdem das Bürger-CERT, ein Warn- und Informationsdienst, bei dem nicht nur Bürgerinnen und Bürger Hilfestellung erhalten, sondern auch kleine Unternehmen.
Die Sensibilisierung der Verbraucherinnen und Verbraucher für den sicheren Umgang mit Informationstechnologie steht im Fokus des „digitalen Verbraucherschutzes“. Auf seiner Webseite stellt das BSI Informationen und Handlungsempfehlungen für private Anwendungsbereiche zur Verfügung. Dabei wird leicht verständlich erklärt, wie man die Sicherheitsrisiken beispielsweise beim Online-Banking und bei der Nutzung von Apps auf Smartphones minimieren kann.
Ein Newsletter, der kostenlos abonniert werden kann, informiert regelmäßig zu wichtigen Erkenntnissen im Bereich IT-Sicherheit.
Wissenschaft und Forschung
Ein nachhaltiger Nutzen aus Zukunftsthemen wie KI, Biometrie, Quantentechnologien ergibt sich nur, wenn dabei auch entsprechende Sicherheitsanforderungen umgesetzt werden. Dafür intensiviert das BSI seine Kooperation mit Forschungseinrichtungen und unterstützt beispielsweise Hochschulen bei Evaluierungen und veröffentlicht Whitepaper und Leitfäden, die einen Überblick über den aktuellen Forschungsstand bieten.
Öffentliche Verwaltung für Bund, Länder und Kommunen
Eine der Hauptaufgaben des BSI ist der Schutz der Netze des Bundes vor Cyberangriffen. Dazu zählt eine Vielzahl verbindlicher Vorgaben. Das BSI überwacht die Regierungsnetzwerke mit Hilfe von Sensoren und betreibt ein Schadprogramm-Präventionssystem sowie ein Schadprogramm-Erkennungssystem. IT-Sicherheitsprodukte für eingestufte Dokumente, die in der öffentlichen Verwaltung eingesetzt werden, müssen vom BSI zugelassen sein. In der öffentlichen Bundesverwaltung müssen BSI-Mindeststandards umgesetzt werden.
Wirtschaftsunternehmen
Grundsätzlich übernimmt das BSI für Unternehmen aller Größen und für alle Branchen eine beratende Funktion, wenn es um Fragen der IT-Sicherheit geht. Das BSI gibt Dokumente heraus, die Informationen und Empfehlungen zu unterschiedlichen Themenbereichen für Informationssicherheit enthalten. Dabei wird auf Gefährdungen und spezifische Angriffsziele eingegangen und erläutert, wie ein wirksamer Schutz aufgebaut sein sollte.
In Kooperation mit Wirtschaft und Branchenverbänden erarbeitet das BSI Mindeststandards und unterstützt die Transparenz für Sicherheit in IT-Produkten durch ein freiwilliges einheitliches IT-Sicherheitskennzeichen.
Unternehmen können mit Zertifizierungen belegen, dass ein IT-Produkt oder eine Dienstleistung einem definierten Sicherheitsniveau entspricht. Eine Zertifizierung wird beim BSI beantragt und nach einheitlichen Kriterien von einer unabhängigen Prüfstelle durchgeführt.
Zusätzlich können sich Unternehmen selbst gemäß des BSI-Grundschutz durch externe Auditoren zertifizieren lassen.
ICS-Security in KRITIS-Betrieben
Betreiber Kritischer Infrastrukturen sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, die IT-Systeme, die zur Erbringung ihrer Leistung erforderlich sind, also auch ihre industriellen Steuerungssysteme, nach dem Stand der Technik absichern. Der Stand der Technik wird durch die Umsetzung des IT-Grundschutzes erreicht oder durch die Einhaltung branchenspezifischer Sicherheitsstandards (B3S). Das BSI führt eine formale Prüfung für Branchenspezifische Sicherheitsstandards (B3S) durch, die von Betreibern der einzelnen Branchen und deren Verbänden erarbeitet werden.
Die Etablierung von wirksamen Systemen zur Angriffserkennung wurde mit dem neuen IT-Sicherheitsgesetz für KRITS-Betriebe verpflichtend.
Das BSI hat für KRITIS-Betriebe besondere Prüf- und Kontrollbefugnisse. Die BSI-Kritisverordnung verpflichtet Unternehmen, eine durchgehend erreichbare Kontaktstelle für das BSI einzurichten und erhebliche Sicherheitsvorfälle an das BSI zu melden.
Einen Sonderfall stellen Unternehmen im besonderen öffentlichen Interesse (UBI) dar, die für die inländische Wertschöpfung von erheblicher volkswirtschaftlicher Bedeutung sind oder Rüstungsmaterial oder für staatliche Verschlusssachen oder unter Störfallverordnung der oberen Klasse fallen. Diese Unternehmen müssen nur Vorfälle in IT und ICS dem BSI melden.
Kollektive Expertise für Anforderungen in Industrieumgebungen
Weil die Absicherung von industriellen Steuerungssystemen spezifisches Expertenwissen erfordert, arbeitet das BSI auch für den Themenbereich ICS-Security mit Fach- und Branchenverbänden zusammen. Der Wissens- und Erfahrungsaustausch fließt in die themenspezifischen Dokumente ein, die das BSI veröffentlicht: https://www.bsi.bund.de/ics
Auch Unternehmen, Gruppen und kompetente Einzelpersonen sind aufgefordert, ihre Expertise beispielsweise für Dokumente des IT-Grundschutzes einfließen zu lassen. Auf der Website des BSI finden sich Informationen zum Stand von Dokumenten und die E-Mail-Adresse, an die Kommentare geschickt werden können.
Kooperationen
UP KRITIS
UP KRITIS ist ein unabhängiges Gremium, in dem Betreiber Kritischer Infrastrukturen, ihre Verbände und zuständige staatliche Einrichtungen branchen- und themenübergreifend zusammenarbeiten. In die Kooperation ist auch das BSI eingebunden.
In verschiedenen Arbeitskreisen steht der Austausch im Mittelpunkt und die Einschätzung und Bewertung der Risiken für Kritische Infrastrukturen. Außerdem befasst sich die Initiative mit Fragestellungen, wie Krisen bewältigt werden können. UP KRITIS informiert in einem Newsletter über aktuelle Themen und gibt Warnmeldungen heraus. Aus dem UP KRITIS werden Branchenarbeitskreise (BAKs) und Themenarbeitskreise (TAKs) für Betreiber abgeleitet, in denen Dokumente erstellt und geprüft und branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden. Für bestimmte Themen können Hersteller in BAKs und TAKs eingeladen werden, um Cybersicherheit aus Herstellersicht einfließen zu lassen.
Allianz für Cybersicherheit (ACS)
Die Allianz für Cybersicherheit ist eine vom BSI angestoßene und für die Teilnehmenden kostenfreie Kooperations- und Austauschplattform, über die auch schnell und unkompliziert wichtige technische Details kommuniziert werden können.
Das BSI ist in der Allianz für Cybersicherheit inhaltlich stark vertreten und profitiert von der Expertise der Partner, wenn Dokumente erstellt oder Neufassungen erarbeitet werden, die jeweils vor der Veröffentlichung kommentiert werden können. Teilnehmer der ACS sind Unternehmen, Organisationen und Verwaltungseinrichtungen, die vom intensiven Austausch profitieren und den Netzwerkgedanken leben.
Welche Orientierung zur ICS-Security gibt es vom BSI?
Informationen und Empfehlungen zu industriellen Steuerungs- und Automatisierungssystemen (ICS) findet man auf der Website des BSI unter https://www.bsi.bund.de/ics. Dort finden sich neben Allgemeinen Empfehlungen und Erfahrungsberichten auch die relevanten IT-Grundschutzbausteine. Das BSI stellt dort zudem Informationen zum Common Security Advisory Framework (CSAF) bereit. CSAF beschreibt einen Standard zur Erstellung von Advisories und erleichtert es Unternehmen relevante Security Advisories für die Behebung von Schwachstellen aufzufinden.
IT-Grundschutz
Mit dem IT-Grundschutz liefert das BSI Anforderungen und Umsetzungshinweise für Unternehmen, die ein ausreichendes Schutzniveau für Daten und IT- Systeme aufbauen und aufrechterhalten wollen. ICS-Systeme werden in den BSI-Standards ausdrücklich als betroffene IT-Systeme genannt. Das IT-Grundschutzkompendium beinhaltet auch Bausteine, die sich inhaltlich mit der Absicherung von industriellen Steuerungssystemen beschäftigen.
ICS-Kompendium
Das bestehende ICS-Kompendium soll hinsichtlich der wichtigsten Entwicklungen ergänzt werden und in einer Neuauflage in 2023 erscheinen. Darin sollen Erklärungen zur Anwendung der IND-Bausteine des IT-Grundschutz aufgenommen werden, was Synergien für die Anwendung der beiden Werke erzeugt.
Cyber-Sicherheitsempfehlungen
Neben den etwa 20 Dokumenten, die das BSI bisher im Kontext OT veröffentlicht hat, kommen stetig neue hinzu, die den aktuellen Anforderungen und dem Bedarf entsprechen. Sie zeichnen sich dadurch aus, dass sie einfach, verständlich und nicht zu umfangreich sind.
Das aktuellste Dokument beschäftigt sich mit dem Thema „End of Support“: was muss ich beachten, wenn diese Systeme weiter betrieben werden.
So wird etwa eine Orientierungshilfe für Angriffserkennungssysteme erwartet, nachdem diese Schutzmaßnahme im neuen IT-Sicherheitsgesetz als verbindliche Anforderung für Betreiber Kritischer Infrastrukturen formuliert ist.
CERT-Bund
CERT-Bund ist das „Computer-Notfallteam des BSI“, das für die Bundesverwaltung, Betreiber Kritischer Infrastrukturen, CERTs sowie Bürgerinnen und Bürger einen Warn- und Informationsdienst unterhält. Darüber werden Informationen zu entdeckten Schwachstellen und Sicherheitslücken veröffentlicht.
Wann hilft das BSI mit konkreter Unterstützung – und wann nicht?
Bei einem schweren IT-Sicherheitsvorfall in einem herausgehobenen Fall kann das BSI ebenfalls unterstützen. Die Bandbreite der BSI-Leistungen reicht dabei von einer telefonischen Erstberatung über technische Analysen bis hin zu einem Einsatz vor Ort. Dieser sogenannte MIRT-Einsatz (Mobile Incident Response Team) ist allerdings zunächst Betreibern Kritischer Infrastrukturen und der Bundesverwaltung vorbehalten.
Eine Meldung beim BSI empfiehlt sich aber in jedem Fall, um das Lagebild zu erhalten, wenn beispielsweise in IT-Systemen unerklärliche Dinge passieren und sich beispielsweise die Maus verselbständigt und unvermittelt über den Bildschirm fährt.
Cybersicherheitsnetzwerk
Mit dem Cybersicherheitsnetzwerk, das sich derzeit noch im Aufbau befindet, stockt das BSI kompetente Hilfestellung für den Cyber-Katastrophenfall auf. Diese Initiative knüpft an das Vorhaben der AG KRITIS für ein Cyberhilfswerk an und soll die beim BSI begrenzten Personalressourcen ergänzen. Im Cybersicherheitsnetzwerk werden Einzelpersonen auf freiwilliger Basis durch das BSI zum Digitalen Ersthelfer oder Vorfall-Experten geschult und erhalten eine Personenzertifizierung, die ihre Qualifikation belegt. IT-Dienstleister mit Experten, die vom BSI geschult sind, können vor allem für kleine und mittlere Unternehmen (KMU) eine passende Alternative zu großen Dienstleistern darstellen.
Im Cyberkatastrophenfall können Digitale Ersthelfer und Vorfall-Experten dabei unterstützen, flächendeckende Ausfälle zu beheben, Updates auf betroffene Rechner aufzuspielen und andere Aufgaben übernehmen. Auf das eingeführte Einsteigerlevel des Cybersicherheitsnetzwerks soll ein Expertenmodul für ICS folgen.
Fazit
Das BSI bietet ein breites Spektrum an Informationen und Empfehlungen, die einen umfassenden Überblick und Orientierung zum Thema ICS-Security geben können. Auch für Betreiber, die keine Zertifizierung anstreben und keiner Regulierung unterliegen, lohnt es sich, die Expertise für ihren individuellen Anwendungsfall zu nutzen. Der Praxisbezug, der durch die Mitarbeit vieler Experten in die einzelnen Dokumente einfließt, kann für die erfolgreiche Umsetzung individueller Security-Maßnahmen wertvoll sein.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
