NIS2-Konformität für kommunale Versorger und Entsorgungsunternehmen

25. März 2024

ANZEIGE

In Deutschland schließt das BSI immer mehr Versorgungs- und Entsorgungsunternehmen in die KRITIS-Gesetzgebung ein. Mit NIS2 werden vermutlich alle verbliebenen Betriebe mit unter den Cybersicherheitsschirm geholt. Kommunale Betriebe müssen dann auch ihre digitalisierten Industrieprozesse absichern.

Die europäische NIS2-Direktive steht vor der Tür. Auch wenn es aktuell auf eine Verzögerung hinausläuft, spätestens Anfang 2025 wird die Gesetzgebung für rund 30.000 Unternehmen in Deutschland verpflichtend.

Für alle Unternehmen, die bereits das novellierte IT-Sicherheitsgesetz (IT-SiG 2.0) umsetzen mussten, gibt es eine gute Nachricht: Sie erfüllen bereits einen Teil der Anforderungen. Die NIS2 trifft vor allem Unternehmen, die bislang nicht unter das IT-Sicherheitsgesetz fielen.

Nach aktuellem Stand werden die Anforderungen an Cybersicherheit sich zwar voraussichtlich auf die Bereiche eines Unternehmens beschränken, die für die Erbringung ihrer (Dienst)leistung relevant sind. Für kommunale Versorgungs- und Entsorgungsbetriebe bedeutet das dennoch eine enorme Veränderung. Denn plötzlich muss auch die Prozessleittechnik (nachfolgend OT für Operational Technology) umfassend in das Cybersicherheitsmanagement einbezogen werden.

Schwachstellen und Angriffe in der Prozessleittechnik erkennen

Ob Wasserversorgung, Abwasserbehandlung, thermische Abfallbehandlungsanlagen (TAB) oder regionale Umspannwerke (UW): sind diese digitalisiert und in Teilen ferngesteuert, trennen meist nur eine Firewall und ein VPN deren kritische Prozesse vom Fremdzugriff. Dass das längst keine Sicherheit bietet (die man als haftbare Geschäftsführung gerne hätte), zeigten letztes Jahr nicht zuletzt die Cyberangriffswelle auf dänische Energieversorgungsunternehmen und das zweitägige Ausschalten einer lokalen Wasserversorgungsgruppe im irischen Erris. Nicht nur unterbanden die Angreifenden teilweise die Prozesssteuerung. Sie hatten mitunter auch direkten Zugang zur OT und somit die kritischen Prozesse.

Für KRITIS-Betriebe ist deshalb ein ganzheitliches System zur Angriffserkennung (SzA) auch in der OT längst Pflicht. Betriebe, die nicht unter KRITIS fallen – die so genannten “wichtigen Einrichtungen” –, kommen jedoch letztlich um ein SzA nicht herum, wenn sie die Kernanforderungen aus NIS2 erfüllen wollen. Denn um in der OT:

  • Schwachstellen behandeln,
  • schnell und gezielt auf Sicherheitsvorfälle reagieren und
  • dem BSI fristgemäß und inhaltskonform Meldung erstatten

zu können, bedarf es einer Sicherheitslösung, die neben dem Perimeter auch das OT-Netz selbst im Blick hat.

Sichtbarkeit ist gerade in der OT von entscheidender Bedeutung. Zum einen bringt nur Sichtbarkeit Licht ins Dunkel der Blackbox OT und lässt Schwachstellen erkennen, die dort sonst versteckt bleiben (Abb. 1).

KRITIS
Die meisten Schwachstellen in der Prozessleittechnik sind für die Betriebe nach wie vor unsichtbar – Top10 der in Schwachstellenbewertungen identifizierten Sicherheitsrisiken. Bild: Rhebo

Zum anderen beinhaltet Schwachstellenmanagement in der OT nicht ausschließlich Patch-Management. Viele alte Systeme können aufgrund fehlender Sicherheitsunterstützung gar nicht mehr gepatcht werden. Oder sie sind so prozesskritisch, dass eine Sicherheitsaktualisierung den Betrieb gefährdet.

Dementsprechend ist Sichtbarkeit auch im laufenden Betrieb das A und O, um diese aktiven Schwachstellen im eigenen Netzwerk kontinuierlich auf auffällige Veränderungen oder Eingriffe überwachen zu können. Denn was nicht direkt geschützt werden kann, muss beobachtet werden.

KRITIS
Das Rhebo SzA integriert sich passiv und rückwirkungsfrei in die Prozessleittechnik und loggt sowohl Sicherheitsvorfälle als auch technische Fehlerzustände. Bild: Rhebo

Genau das ermöglicht das OT-Monitoring mit Anomalieerkennung von Rhebo Industrial Protector. Das speziell für industrielle Netzwerke entwickelte SzA überwacht kontinuierlich die gesamte Kommunikation innerhalb der OT. Das Monitoring erfolgt passiv und rückwirkungsfrei, um kritische industrielle Prozesse nicht zu stören (Abb. 2, oben). Sicherheitsrelevante Vorgänge, die vom zu erwartenden autorisierten Muster abweichen, werden stattdessen den Sicherheitsverantwortlichen in Echtzeit und mit allen relevanten Informationen gemeldet. Dadurch können Sicherheitsteams gezielt reagieren, NIS2-konform arbeiten und den Meldepflichten an das BSI nachkommen (Abb. 3).

KRITIS
Rhebo unterstützt mit seinem SzA umfassend bei der Umsetzung der NIS2-Anforderungen. Bild: Rhebo

Fachkräftemangel überbrücken

Für viele KMUs ist OT-Sicherheit auch ein neues Verantwortungsfeld. Fachpersonal ist in Deutschland rar gesät. Rhebo unterstützt deshalb nicht nur mit seinem Serviceteam beim Betrieb des Systems zur Angriffserkennung. Mit dem speziellen Angebot Stadtwerke Basics berücksichtigt Rhebo außerdem die eingeschränkten Budgets in kleineren und mittelständischen KRITIS-Betrieben.

Die Stadtwerke Basics Edition wurde speziell auf die personellen und haushalterischen Ressourcen von KMUs zugeschnitten, die nach NIS2 unter “besonders wichtige” oder “wichtige” Einrichtungen fallen. Stadtwerke Basic minimiert den Arbeitsaufwand, indem es die Funktionen des SzA auf die Kernanforderungen des BSI konzentriert. So ermöglicht es auch kleinen Teams, jederzeit die Cybersicherheit ihrer industriellen Prozesse im Blick zu behalten.

Informieren Sie sich bei einem persönlichen Gespräch mit Rhebo-Mitarbeitenden über Rhebo Industrial Protector und das Stadtwerke-Basics-Angebot.

Kontakt:

Rhebo GmbH
Spinnereistraße 7
04179 Leipzig
Ansprechpartnerin:
Anne Grätz (Inside Sales)
E-Mail: sales@rhebo.com
www.rhebo.com