Ausgangssituation
Stuttgart, 24.11.2016: Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar zu diesem Thema mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte sowie deren Auswirkungen und Umsetzung des IT-Sicherheitsgesetzes (ITSiG) beleuchtet.
„Ich bin total begeistert!“ So lautete das Fazit von Katrin Schuy, Partner im Alliance Management von VirtualForge nach Abschluss des Seminars. Ihrer Ansicht nach stellten die Vorträge eine „perfekte Analyse“ des Themas dar.
In den Vorträgen wurde deutlich, dass das ITSiG alle KRITIS-Unternehmen betrifft und dass die IT aller Unternehmen gleichsam anfällig für Cyber-Attacken ist. Die Systeme und Architekturen werden durch die voranschreitende Digitalisierung und Entwicklungen wie der Industrie 4.0 und des Internets der Dinge zunehmend komplexer. Erschwerend kommt hinzu, dass die Cyber-Kriminalität in einer Weise organisiert ist, dass jedes Unternehmen sich darauf einstellen muss, dass „alles was möglich ist, auch irgendwann passiert“, so Dr. Thomas Liedtke, Unit Manager Research & Development bei der ICS AG.
Das ITSiG schreibt die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen fest, bei denen durch ihre besondere Bedeutung für Wirtschaft und Gemeinschaft ein hohes Schadenspotential besteht. Der Gesetzgeber definiert hier neue Pflichten, wie die Benennung einer Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Meldepflicht von erheblichen IT-Sicherheitsvorfällen und die Erbringung des Nachweises, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen implementiert wurden. Dem IT Risk Management wird per Gesetz der aktuelle Stand der Technik als Maßgabe zugrunde gelegt.
Bei Compliance-Verletzungen drohen Bußgelder bis zu einer Höhe von EUR 50.000. Hinzu kommen weitere, nicht zu unterschätzende Folgen wie der Ausschluss von öffentlichen Ausschreibungen, negative Presseberichterstattung oder die Kosten für interne Untersuchungen. Wer haftet, hängt im Individualfall davon ab, wer wo seine Kontrollpflicht vernachlässigt hat, legt Philip Smitka, Rechtsanwalt mit Schwerpunkt Compliance bei der Wirtschaftskanzlei Noerr dar. Das ITSiG selbst gibt darüber allerdings keine Auskunft. In letzter Konsequenz ist der Vorstand eines Unternehmens dafür verantwortlich, dass die Richtlinien eingehalten werden, da er durch alle Ebenen hindurch sicherstellen muss, dass die Mitarbeiter mit den entsprechenden Vorgaben vertraut sind. „IT-Sicherheit ist Chefsache“, betonte auch der IT-Security Berater Daniel Ehricht in seinem Vortrag.
Vor dem Hintergrund der gängigen Normen und Gesetze stellt das Compliance Management mittlerweile die Voraussetzung für technische Entwicklungen dar. Für den Anwendungsbereich industrieller Kommunikationsnetze im Bahnsektor kristallisiert sich im Hinblick auf die Einhaltung der anerkannten Regeln der Technik mehr und mehr die Normenreihe IEC 62443 heraus. Eine branchenspezifische Norm existiert bisher nicht. Obwohl der Gesetzgeber verlangt, dass die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre überprüft wird, empfiehlt das BSI eine jährliche Neubewertung, erläutert Martin Hetzer, RAMS Manager bei der ICS AG.
„Safety braucht Security“, betonte Dr. Thomas Liedtke. Dabei ist ein strukturiertes Verständnis des Unterschiedes zwischen Security, also der IT-Sicherheit, und Safety, der Sicherheit von IT Systemen gegenüber Mensch und Umwelt, vonnöten. Vor diesem Hintergrund hat die ICS AG ein Vorgehensmodell entwickelt, das sich auf unterschiedliche Industriedomänen anwenden lässt. Martin Hetzer erklärte die einzelnen Schritte zur Bestimmung bestehender Risiken für Industrieanwendungen. Diese müssen zuverlässige, etablierte und aktuelle Quellen zu Angriffsmustern und Verwundbarkeiten zugrunde legen. Zusammen mit den Vorgaben gängiger Normen führt diese Risikoanalyse zu einer Ableitung spezifischer Anforderungen an Prozess, Organisation und Technik.
In den Vorträgen wurde deutlich, dass KRITIS-Unternehmen sich konkurrierenden Zielen widmen müssen. Sicherheitskritische Verfahren stehen unternehmenskritischen Verfahren, wie beispielsweise dem Bestandsschutz gegenüber, betonte Daniel Ehricht. So kollidiert z.B. die Lebensdauer eines Schienenfahrzeuges, die typischerweise bei 25 Jahren liegt, mit der rasanten Entwicklung im Bereich der IT. Denn das ITSiG kann den Bestandsschutz aushebeln. „Die Anforderungen werden dadurch nicht einfacher“, so der IT-Sicherheitsexperte.
Der Störungsschutz und die dafür aufgewendeten Kosten müssen allerdings „in einem vernünftigen Verhältnis zum Risiko stehen“, bemerkte Philip Smitka. Dennoch gelte der Grundsatz: „Die Frage ist nicht, ob Sie sich Compliance leisten können. Die Frage ist, ob Sie es sich leisten können, keine Compliance zu haben“. Darauf wies auch Dr. Thomas Liedtke hin: „Nur ein System das sicher implementiert und sicher konfiguriert ist, in einer sicheren Umgebung läuft und von sicherheitsbewussten Nutzern bedient wird, ist sicher.“
Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG freut sich über den Erfolg der Veranstaltung und ist davon überzeugt, dass die ICS AG als internationaler Dienstleister im Bereich von High Dependability Engineering für Software und Systeme einen zukunftsweisenden Beitrag zu dem brandaktuellen Thema leisten kann. „In dieser Veranstaltung schlagen wir den Bogen von der Theorie über rechtliche und operative Aspekte bis hin zur Implementierung von IT-Sicherheitssystemen für Betreiber kritischer Infrastrukturen“, fasst er zusammen und freut sich auf die Fortsetzung dieser Veranstaltungsreihe.
Die Agenda des Seminars beinhaltete folgende Vorträge:
- Was macht Security anders als Safety?
Dr. Thomas Liedtke Unit-Manager Research & Development, ICS AG
- Die Folgen eines unzureichenden Compliance- und Risikomanagement.
Philip Smitka, Rechtsanwalt bei der Wirtschaftskanzlei Noerr
- Das IT-Sicherheitsgesetz – Wie viel Sicherheit ist gefordert und angemessen?
Daniel Ehricht, IT-Security Experte
- Nachweisverfahren für IT-Sicherheit – Vorgehensmodell Transportation.
Martin Hetzer, Competence Center RAMS, Unit Transportation, ICS AG