KRITIS & IT-Sicher­heits­gesetz 2.0
Die Angriffs­erkennung wird Pflicht

Kritische Infra­strukturen und Unter­nehmen im besonderen öffentlichen Interesse sind ab 1. Mai 2023 gesetzlich verpflichtet, ein Angriffs­erkennungs­system wie Cybersense Deception einzusetzen.

Verschärfte Gefahren­lage, erhöhte IT-Sicherheit

Ransomware-Kampagnen und Insider Threats stellen eine wachsende Bedrohung für Unternehmen und Organisationen dar. Nun hat der Gesetzgeber darauf reagiert: Das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht nur weitere Befugnisse ein, sondern hat auch die Anforderungen an die Cybersicherheit erhöht:

In § 8a (1a) verpflichtet es die Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse, ein System zur Angriffserkennung umzusetzen. Wählen Sie ein System, das zu Ihnen passt. Mit Cybersense Deception bekommen Sie eine Lösung für fortschrittliche und pragmatische Angriffserkennung als Managed Service.

Anforderungen an Angriffserkennungssysteme gemäß IT-Sicherheitsgesetz 2.0 und BSI-Katalog

  • Kontinuierliche und automatische Erfassung und Auswertung von geeigneten Parametern und Merkmalen aus dem laufenden Betrieb
  • Identifikation und Vermeidung von fortwährenden Bedrohungen
  • Geeignete Maßnahmen zur Beseitigung von Störungen
Bereich
BSI-ID
Anforderung
Governance
77-79, 81-82
Prozesse und Verantwortlichkeiten für Sicherheitsvorfälle
Systeme
80, 90-94
Systeme und Methoden zur systematischen Auswertung
Auswertungen
95-96
Regelmäßige Penetrationstests und Umgang mit Schwachstellen

Damit rücken auch die Fernwirk-, Prozess- und Netzleittechnik in den Fokus, die in Abgrenzung zur Unternehmens-IT als Operational Technology (OT) bezeichnet wird.

Cybersense Deception erfüllt die speziellen Bedürfnisse von KRITIS-Betreibern

Da Ihre IT-Systeme sehr stabil sein müssen, möchten Sie darauf keine weitere Software wie einen zusätzlichen Agenten etc. installieren. Auch wollen Sie an Ihren Servern nichts verändern müssen. Sicherheitslösungen, die Daten in der Cloud zwingend voraussetzen? Kommen für Sie ebenso wenig infrage wie falsche Warnmeldungen. Cybersense Deception aber umso mehr.

Implementieren Sie ein wirksames Angriffs­erkennungs­system – ohne tiefen Eingriff in Ihre IT-Sicherheits­technik und -Infrastruktur.

Jetzt Cybersense Deception entdecken!

Was ist KRITIS?

KRITIS ist die Abkürzung für kritische Infrastrukturen. Das sind Einrichtungen, Organisationen, Anlagen und Systeme, die für das Gemeinwesen von hoher Bedeutung sind und deren Ausfall schwerwiegende Folgen für die Gesellschaft und die staatliche Ordnung haben. Daher müssen KRITIS-Betreiber – sowie seit neuestem auch Unternehmen im besonderen öffentlichen Interesse – Mindestanforderungen an die IT-Sicherheit erfüllen. Diese sind unter anderem im 2. IT-Sicherheitsgesetz geregelt, dessen Einhaltung vom BSI als Cyber-Sicherheitsbehörde des Bundes überwacht wird.

Sektoren mit kritischen Infrastrukturen

  • Informationstechnik
  • Telekommunikation
  • Wasser
  • Energie
  • Transport und Verkehr
  • Ernährung
  • Staat und Verwaltung
  • Medien und Kultur
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Abfallwirtschaft

Was sind Unternehmen im besonderen öffentlichen Interesse?

Das 2. IT-Sicherheitsgesetz sieht vor, dass auch Unternehmen von volkswirtschaftlicher Bedeutung Vorkehrungen treffen müssen, um Störungen ihrer IT-Systeme zu vermeiden. Dies sind im Wesentlichen folgende:

  • Rüstungshersteller
  • Raumfahrtunternehmen
  • Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen
  • Unternehmen, die wegen ihrer Größe volkswirtschaftliche Bedeutung haben
  • Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung, z. B. Chemieunternehmen

Diese Unternehmen müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind aber auch gezwungen, in Sachen Cybersicherheit aktiv zu werden.

Die neuen Anforderungen des 2. IT-Sicherheitsgesetz

Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse müssen eine Selbsterklärung für ihre IT-Sicherheit vorlegen. Die beschreibt die Sicherheitszertifizierungen der letzten zwei Jahre sowie die durchgeführten IT-Sicherheitsaudits oder Prüfungen – einschließlich Prüfungsgrundlagen und Geltungsbereichen. Außerdem informiert sie darüber, wie besonders schützenswerte IT-Systeme, -Komponenten und -Prozesse gemäß Stand der Technik abgesichert werden.

Neben der genannten Selbsterklärung müssen die Betreiber und Unternehmen eine zu Geschäftszeiten erreichbare Stelle benennen sowie Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden. Auf diese Weise will der Bund dafür sorgen, dass die IT-Sicherheit in Deutschland ein höheres Niveau erreicht.

Sie haben Fragen oder wünschen eine Demo?
Wir freuen uns, von Ihnen zu hören.

Ihr Ansprechpartner
Sebastian Struwe

Jetzt kontaktieren