KRITIS wird immer dann zum Thema, wenn wieder einmal ein Hacktivisten-Kollektiv mit Cyberangriffen droht. Zuletzt waren solche Ankündigungen häufiger von Gruppen wie Killnet zu beobachten. KRITIS umfasst die Stromversorgung, den Transport von Gütern und Waren, die Versorgung der Bevölkerung mit Wasser, aber auch die Abfallentsorgung in Siedlungen. Als Antwort auf die zunehmende Bedrohung auf die KRITIS-Sektoren wurde auf europäischer Ebene mit der NIS-2 eine Richtlinie auf den Weg gebracht, die nun bis zum 17. Oktober 2024 von den nationalen Gesetzgebern in nationales Recht umgesetzt werden muss. Sie soll dann ab dem 18. Oktober 2024 gelten. Für Deutschland ist zu erwarten, dass das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnungen entsprechend überarbeitet werden. Ein erster Referentenentwurf für ein KRITIS-Dachgesetz und das IT-Sicherheitsgesetz wird noch vor der parlamentarischen Sommerpause 2023 erwartet.
Zu den Sektoren mit hoher Kritikalität gehören laut der NIS-2 die Bereiche Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und digitale Infrastrukturen. Auch die öffentliche Verwaltung wird hier explizit erwähnt. In die Kategorie der sonstigen kritischen Sektoren fallen zum Beispiel Post- und Kurierdienste, Anbieter digitaler Dienste, aber auch Hersteller von medizinischen Geräten, der Maschinen- und Fahrzeugbau. Der Anwendungsbereich der NIS-2 wird somit Änderungen gegenüber den in Deutschland bekannten KRITIS-Sektoren und dem IT-Sicherheitsgesetz mit sich bringen.
Zur Absicherung der kritischen Infrastruktur ist die enge Zusammenarbeit von Staat und Privatwirtschaft notwendig. Dies zeigt auch das gemeinsame Vorgehen des Bundesamts für den Bevölkerungsschutz und Katastrophenhilfe (BKK) und des Bundesamts für Informationssicherheit (BSI). Im Umsetzungsplan Kritische Infrastrukturen (UP KRITIS), einem Zusammenschluss der Betreiber kritischer Infrastrukturen, deren Verbänden sowie von zuständigen staatlichen Stellen, wird das zentrale Ziel verfolgt die Resilienz kritischer Infrastrukturen zu erhöhen.
Unternehmen mit mehr als 50 Mitarbeitenden oder mehr als 10 Mio. Euro Umsatz sind betroffen und müssen nun zusätzlich die Cybersicherheit ihrer Lieferketten garantieren. Dazu kurbelt die Richtlinie die Zusammenarbeit in der EU zwischen den Behörden und den Betreibern an. Sie schärft ebenso die Rechtsprechung. Unternehmen sehen sich mit höheren Strafen und Vollzugsmaßnahmen konfrontiert, die je nach Sektor bis zu 10 Mio. Euro betragen können. Mit in Summe 18 Sektoren nennt die Richtlinie unter anderem auch Post und Kurier sowie die Forschung als kritische Bereiche.
Die Unternehmensleitung muss die Verantwortung für den Reifegrad der Cybersicherheit übernehmen und die Themen Risikobewertung und Risikobehandlung in fähige Hände legen, um ihre Organisation auf die neuen Compliance-Anforderungen vorzubereiten und gegen die zunehmenden Cyberangriffe zu schützen. Eine wichtige Maßnahme ist die Einleitung von regelmässigen Schulungen zur Security Awareness. Das Management sollte mit gutem Beispiel vorangehen und ebenfalls an solchen Cybersecurity-Schulungen teilnehmen. Denn letztlich schlägt die NIS-Richtlinie genau solche Schulung der Mitarbeiter vor, um resilienter zu werden und den so wichtigen Betriebe der jeweiligen kritischen Infrastruktur aufrecht zu halten.
Diesem Training unterliegen bestimmte Anforderungen und Herausforderungen. Nicht alle Mitarbeitenden haben Zugang zu Computer oder Workstation. Umso wichtiger ist es das Training zielgruppenspezifisch zu gestalten und auch über mobile Endgeräte zur Verfügung zu stellen. Die Fortbildungs- und Schulungsmaßnahmen müssen für Menschen mit verschiedenen Fähigkeiten, Verantwortlichkeiten und Begabungen gestaltet werden. Die Lerninhalte für technische Rollen unterscheiden sich von Personen aus dem Management und der Unternehmensleitung.
Ein gutes Trainingsprogramm zielt dabei nicht nur auf die Schulung von Einzelpersonen ab, sondern trägt auch zur Weiterentwicklung der gesamten Organisation bei. Schließlich gilt es die Sicherheitskultur der Organisation gezielt voranzubringen und dabei ein gewisses Level an Cyber Security-Wissen für alle Beteiligten sicher zu stellen. Dazu sind regelmäßiges und kontinuierliches Training notwendig, welches den Lernbedarfen der Einzelpersonen entspricht.
Fazit
Security Awareness Training ist, insbesondere auch für den Schutz der Lieferketten notwendig – und sollte entlang der gesamten Wertschöpfungskette sichergestellt werden. Mitarbeiter sind für KRITIS-Betreiber deshalb nicht nur die Erste, sondern auch die wichtigste Verteidigungslinie, wenn, sie entsprechend vorbereitet werden. Dann kann auch die weitere Diskussion um die NIS-2 Umsetzung in nationales Recht mit der nötigen Aufmerksamkeit und Ruhe verfolgt werden.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo