Webinar | Augen auf: (Cyber)Sicher in die Zukunft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet keine derartigen Tools an, aber listet auf seiner Webseite kommerzielle Anbieter sogenannter IT-Grundschutz-Tools. Die genannten Anbieter folgen Nutzungsbedingungen des BSI und schließen mit dem BSI einen Lizenzvertrag ab.

Die Transferstelle Cybersicherheit im Mittelstand und das KEDi sind öffentlich geförderte Projekte, die keine kommerziellen Anbieter derartiger Tests namentlich empfehlen können. 

Es gibt verschiedene Möglichkeiten, Unternehmen auf sogenannte Schwachstellen zu prüfen. Das BSI weist diesbezüglich insbesondere auf den Nutzen von Prozessanalysen hin, das heißt die Prüfung und Analyse der Geschäftsprozesse, die für die kritischen Funktionen eines Unternehmens unerlässlich sind. Die Grundzüge derartiger Prozessanalysen („Business Impact analysieren“) sind Bestandteil eines Webkurses zum Notfallmanagement, den das BSI auf seiner Webseite anbietet.

Ja, wenn Ihr Unternehmen bereits den Regelungen nach KRITIS unterliegt, bzw. zukünftig unterliegen wird.

Zunächst ist zu prüfen, ob ein produzierendes Unternehmen in den Anwendungsbereich des Gesetzes fällt, d.h. ob es als besonders wichtige oder wichtige Einrichtung gilt. Dies ist der Fall, wenn es zu einem der Sektoren bzw. einer der Branchen in Anlage 1 und 2 des Gesetzes gehört. Außerdem kommt es auf die Annzahl der Mitarbeitenden und den Jahresumsatz bzw. die Jahresbilanz an.

Laut Gesetzentwurf können bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 des Gesetzes solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung eine Nebentätigkeit darstellt. Das ist im Einzelfall zu prüfen. Es wird empfohlen, sich hierzu rechtlich beraten zu lassen.

Lieferanten von außerhalb der EU sind auch den Regelungen nach NIS-2 unterworfen, wenn sie Leistungen einführen.

Die Fernsteuerbarkeit von Solarwechselrichtern und ihre Sicherheit spielten bereits bei der Diskussion um das Solarspitzengesetz eine Rolle. Von Interesse hier sind unter anderem die Angreifbarkeit der Wechselrichter als „Single Point of Failure“ und Wechselrichter von Herstellern aus Drittstaaten, die nicht unbedingt als vertrauenswürdig eingestuft werden können. Derartige Sicherheitsprobleme und die Möglichkeiten, wie man damit richtig umgeht, sollen von der Branchenplattform Cybersicherheit mit hoher Priorität behandelt werden. 

Bestimmte Ergebnisse aus der Betrachtung der Stromwirtschaft sind auf andere Branchen übertragbar, beispielsweise die Sensibilisierung von Führungskräften oder Inhalte mit grundsätzlicher Gültigkeit wie der „Return on Cybersecurity“ oder „Security Invest“. Das ist eine Berechnungsgröße, die auch außerhalb des Stromsektors Anwendung findet.

Die Transferstelle Cybersicherheit legt Wert darauf, möglichst auch übergeordnete Handlungsempfehlungen zu geben, daher die drei zentralen Handlungsempfehlungen am Ende der Präsentation (BSI-Betroffenheitsprüfung – Registrierung und Meldungen priorisieren, Kapazitäten schrittweise aufbauen – austauschen, vernetzen und voneinander lernen), die in Unternehmen aus anderen Branchen anwendbar sind.

Sie prüfen die Möglichkeit, die Branchenplattform auszuweiten oder ein geeignetes Modul mit aufzunehmen.

Ja und nein. Das Gateway stellt ein grundlegendes Sicherheitsniveau für das Messsystem bzw. die Steuerungseinrichtung des Verteilnetzbetreibers sicher. Allerdings existiert eine Hintertür: die sogenannte zweite Anbindung, über die heute jede Kundenanlage verfügt – auch in Privathaushalten. Der Vortrag nutzt zur besseren Verständlichkeit ein möglichst einfaches Rechenbeispiel; diese Zahlen lassen sich für Gewerbebetriebe bzw. KMU je nach Unternehmensgröße entsprechend skalieren.

Wie in Privathaushalten gilt auch für das Energiemanagement in KMU, dass jeder Wechselrichter, jede Ladeeinrichtung usw. eine zweite Anbindung zum Hersteller besitzt, etwa für Fernwartungszwecke. Grundsätzlich gibt es zwei Möglichkeiten: Entweder wird diese Zweitanbindung auf das hohe Cybersicherheitsniveau des intelligenten Messsystems mit Smart-Meter-Gateway angehoben – was in der Praxis meist unverhältnismäßig aufwändig wäre – oder es wird sichergestellt, dass alle Vorgänge über diese Verbindung keine Auswirkungen auf das Stromverteilnetz haben. Viele Produkte bieten eine solche Absicherung bereits, aber eben nicht alle. Darauf sollten KMU besonders achten, da die Folgen von Sicherheitsvorfällen deutlich gravierender sein können als in Privathaushalten.

Unternehmen sollten Cybersicherheit daher frühzeitig in ihre Investitionsentscheidungen einbeziehen, etwa indem sie bei der Beschaffung prüfen, ob neue Anlagentechnik auch künftig die Sicherheitsanforderungen erfüllen wird. Andernfalls kann es passieren, dass die Bundesnetzagentur die Nutzung der zweiten Anbindung für bestimmte Anwendungen einschränkt oder sogar vollständig untersagt.

Installationsfachkräfte können im Auftrag des Messstellenbetreibers oder im Auftrag der Energieverbrauchenden (Privathaushalte, Unternehmen, andere Organisation etc.) tätig sein. Wenn Ihr Unternehmen unter NIS-2 fällt und Sie eine Installation eines intelligenten Messsystems oder eines Energiemanagementsystems in Ihrem Hause aus eigener Initiative heraus beauftragen, dann sind Sie auch dafür verantwortlich, dass Ihre Installationsfachkräfte dementsprechend regelkonform arbeiten.

Betrachtet man, dass Unternehmen mit OT-Systemen ihre Prozesse steuern, überwachen und automatisieren, so wird OT in NIS-2 durchaus berücksichtigt. Vorgaben wie Netzwerksegmentierung, regelmäßige Updates und – wo möglich – Multifaktorauthentifizierung (MFA) sind auch hier umzusetzen.

Zudem sollte die OT in Risikoanalysen einbezogen werden, und Notfallpläne („Incident Response“) sollten nicht nur für die IT, sondern ausdrücklich auch für OT-Systeme ausgearbeitet werden.

Die ISO 27.001 legt die genannten Anforderungen fest und kann hier sehr gut als Beispiel genutzt werden. Speziell für kleinere und mittelständische Unternehmen gibt es den  BSI-Standard 200-2, der Einzelheiten zur Umsetzung beschreibt. Auch andere Rahmenwerke wie beispielsweise CISIS12 sind verwendbar. Und dann gibt es noch branchenspezifische Lösungen wie beispielsweise TISAX für die Automotive-Branche.

Von der Geschäftsleitung wird nicht erwartet, dass sie alles selbst erledigt. Sie muss jedoch die Materie verstehen, die Umsetzung begleiten und für ausreichende Ressourcen sorgen. Große Teile können ausgelagert werden, doch die Verantwortung nach §38 (Governance) bleibt bestehen. Empfohlen wird die Einbindung eines Informationssicherheitsberaters (ISB), der auch extern eingebunden werden kann.

Eine Cyberversicherung kann ergänzend Risiken abdecken, ersetzt aber nicht die Verantwortung und greift nicht bei Pflichtverletzungen.