Die Resilienz, also Widerstandsfähigkeit sogenannter wesentlicher Dienste in Deutschland – von Versorgungsunternehmen über Telekommunikation bis hin zu Gesundheit und Verkehr – gegenüber Cyberangriffen wurde in den letzten Monaten genauer unter die Lupe genommen.

Anfang November konkretisierte die Bundesregierung ihre Absicht, die kritische Infrastruktur (KRITIS) besser zu schützen. So beschloss das das Bundeskabinett am 6. November 2024 einen Entwurf für das KRITIS-Dachgesetz, um die physische Resilienz kritischer Anlagen zu verstärken. Dieses sieht einheitliche Regeln zum Schutz von Energieunternehmen, Verkehrsinfrastruktur und Industrieanlagen vor. Das KRITIS-Dachgesetz soll besser mit den kürzlich in Kraft getretenen EU-NIS2-Vorschriften abgestimmt werden und komplementiert inhaltlich das NIS2UmsuCG. Während Letzteres die IT-Sicherheit schützen soll, regelt das KRITIS-Dachgesetz den physischen Schutz von Anlagen.

Anzeige

Holger Fischer, Director EMEA Central bei OPSWAT, erläutert in diesem Kontext die Notwendigkeit einer mehrschichtigen Verteidigungsstrategie von Unternehmen, die unter die KRITIS-Vorgaben fallen:

Diese rechtlichen Maßnahmen kommen zu einer Zeit, in der Angriffe auf Unternehmen und wichtige Institutionen bereits zu weitreichenden Störungen kritischer Dienste geführt und die Sicherheit und das Wohlergehen der Öffentlichkeit bedroht haben. Deutschland kann sich keine größeren Ausfälle dieser Dienste aufgrund einfacher Sicherheitslücken leisten. Ein mehrstufiger Verteidigungsansatz ist unerlässlich, um die Resilienz gegen diese Angriffe zu verbessern.

Eine Studie von OPSWAT hat jedoch ergeben, dass viele Unternehmen diesen Ansatz noch nicht in den Griff bekommen haben. Was steht also im Weg und wie können Sicherheitsverantwortliche, die für die heutigen Bedrohungen erforderlichen mehrschichtigen Abwehrmechanismen aufbauen?

Die Lücken in der „Cyberbereitschaft“

Die Cyberrisiken für KRITIS-Anbieter erstrecken sich über mehrere verschiedene Vektoren, da die Angreifer nicht mehr nur den Netzwerkperimeter ins Visier nehmen, sondern eine Vielzahl von Taktiken einsetzen, um in kritische Systeme einzudringen. Das BSI hat in diesem Jahr mehrere dringende Warnungen vor staatlich unterstützten Akteuren aus Ländern wie Russland und China herausgegeben, die Botnets und Zero-Days einsetzen, um die kritische Infrastruktur ins Visier zu nehmen.

Trotz der Empfehlungen, einen vielschichtigen Ansatz zur Absicherung gegen solche Bedrohungen zu verfolgen, hat die OPSWAT-Studie ergeben, dass viele Sicherheitsverantwortliche nur wenig Vertrauen in ihre Fähigkeit haben, mit DDoS-Angriffen und fortschrittlicheren Bedrohungen wie APTs, Botnets und Zero-Day-Malware umzugehen.

Diese ausgeklügelten Angriffsmethoden machen deutlich, dass Unternehmen über grundlegende Sicherheitsmaßnahmen hinausgehen müssen. Der Schutz vor fortgeschrittenen Bedrohungen erfordert die Integration mehrerer Sicherheitsebenen in einem Defense-in-Depth-Ansatz, um sicherzustellen, dass Schwachstellen in jeder Phase abgedeckt sind.

Beispielsweise bieten Netzwerk-Appliance-Tools zwar Schutz vor netzwerkbasierten Angriffen, überprüfen jedoch in der Regel nicht den Inhalt hochgeladener Dateien. Durch die Integration einer Dateiscan-Lösung als Teil der Netzwerkverteidigung wird dieser blinde Fleck jedoch berücksichtigt und der Angriffspfad geschlossen.

Die Umsetzung einer Defense-in-Depth-Strategie ist jedoch leichter gesagt als getan. Nur 17 Prozent der von OPSWAT befragten Unternehmen gaben an, dass sie eine Strategie vollständig umgesetzt haben, während die meisten ihre Maßnahmen nur teilweise umsetzen.