Bundesamt fü Sicherheit in der Informationstechnik unterstützt KRITIS-Betreiber in der Corona-Pandemie
Bundesamt fü Sicherheit in der Informationstechnik unterstützt KRITIS-Betreiber in der Corona-Pandemie (Pressemitteilung).
Seit Beginn der Corona-Pandemie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber Kritischer Infrastrukturen (KRITIS) in vielfältiger Weise unterstützt – von der Cyber-Sicherheitswarnung bis hin zur Austauschplattform.
Bereits am 20. März 2020 hat das BSI an die KRITIS-Betreiber eine
Cyber-Sicherheitswarnung verschickt, die die Auswirkungen von COVID-19 auf die
IT-Sicherheitslage thematisierte (CSW 2020 190290). Darin wies das BSI auf die
erhöhte Anzahl von DDoS-Angriffen sowie auf Schadprogramme und Social
Engineering im Zusammenhang mit der Corona-Situation hin. Weiter enthielt die
CSW Hinweise auf Maßnahmen zur Absicherung von VPN-Netzen, die für Fernzugänge
auf Unternehmensnetze im Zusammenhang mit verstärkter „Homeoffice“-Nutzung von
hoher Bedeutung sind.
In einer weiteren an die KRITIS-Betreiber verschickten Sicherheitswarnung (CSW
2020-199453) vom 07.04.2020) wurden die strategischen Auswirkungen der
COVID-19-Pandemie auf die IT-Sicherheitslage in Deutschland thematisiert. Darin
wurde darauf hingewiesen, dass aufgrund der aktuell erhöhten Abhängigkeit von
IT erfolgreiche Cyber-Angriffe auch für normalerweise gut aufgestellte
Organisationen ein hohes Risiko darstellen. Daher ist es gerade in dieser Zeit
erforderlich, IT-Sicherheitsmaßnahmen so weit wie möglich aufrechtzuerhalten,
umzusetzen, sie an die neuen Umstände anzupassen und kontinuierlich
weiterzuentwickeln.
Schutz Kritischer Infrastrukturen und weiterer wichtiger Unternehmen aus dem
Gesundheitssektor
Das BSI hat mit Unterstützung der zuständigen Gesundheitsbehörden, den
Sicherheitsbehörden des Bundes und Branchenverbänden im Gesundheitswesen schon
ab März im Kontext SARS-CoV-2/COVID-19 Dutzende im Kontext der
Pandemiebekämpfung wichtige Unternehmen identifiziert und kontaktiert. Dazu
zählen große Produzenten von Medizinprodukten, Pharmaunternehmen, Labore für
COVID-19-Tests und medizinische Forschungseinrichtungen. Das BSI sieht für
diese Unternehmen ein erhöhtes Bedrohungsrisiko und rät diesen zu einer
Evaluierung und ggf. Anpassung ihrer IT-Sicherheitsmaßnahmen. Weiter wurde den
Unternehmen und Forschungseinrichtungen Informationsmaterial zur Prävention,
Reaktion und Detektion von Cyber-Angriffen und eine Kontaktadresse des BSI für
Notfälle zur Verfügung gestellt.
Schnelle und pragmatische Unterstützung für KRITIS-Betreiber
Seit Beginn der Pandemie verzeichnen das KRITIS-Büro und die Sektorbetreuer des
BSI ein deutlich erhöhtes Aufkommen an E-Mails und telefonischen Anfragen so
dass diese nicht mehr alle am gleichen Tag beantwortet werden konnten. Die
Anfragen wurden daher priorisiert und sichergestellt, dass die wichtigsten
Anfragen auch am schnellsten beantwortet wurden. Mittlerweile wurden alle
Anfragen beantwortet.
Viele KRITIS-Betreiber suchten angesichts befürchteter Ausgangssperren nach
Lösungen, um zu gewährleisten, dass das Personal auch in diesem Fall zur
Arbeitsstelle gelangen könnte. Die aufgrund gesetzlicher Verpflichtung beim BSI
registrierten KRITIS-Betreiber und die Teilnehmer im UP KRITIS, der nationalen
öffentlich-privaten Partnerschaft zum Schutz der Kritischen Infrastrukturen in
Deutschland, erhielten vom BSI eine schriftliche Bestätigung darüber, dass ihre
Organisation zu den Kritischen Infrastrukturen zählt.
Ein weiteres wichtiges Thema, insbesondere für KRITIS-Betreiber aus den
Sektoren Energie, IT+TK, Ernährung und Wasser, war der im Sommer 2020
anstehende Abgabe-Termin für Nachweise einer IT-Sicherheit „auf dem Stand der
Technik“, die in einem zweijährigen Turnus eingereicht werden müssen. Die
Betreiber bzw. deren Prüfer mussten im Zusammenhang mit Kontaktbeschränkungen
und Abstandsregeln zahlreiche Vor-Ort-Prüfungen verschieben. Daraus ergaben
sich eine Vielzahl von Fragen bezüglich der anstehenden Nachweise.
Da es sich bei den Nachweisfristen um gesetzliche Fristen handelt, ist eine
Verschiebung von anstehenden Nachweisterminen nicht möglich. Jedoch konnte
durch eine Aussetzung des Mahnwesens für die Betreiber, deren Nachweistermin in
den Monaten März bis Juli 2020 liegt, eine pragmatische Lösung gefunden werden.
Außerdem wurden die KRITIS-Betreiber darauf hingewiesen, wie ein Nachweis
erbracht werden kann, auch dort, wo derzeit keine Vor-Ort-Prüfung durchführbar
ist.
Für die Teilnehmer des UP KRITIS wurde auf einer bereits etablierten
Internetplattform für KRITIS-Betreiber ein vom BSI betreutes Austauschforum
bereitgestellt, in dem täglich die Fragen der Betreiber im Zusammenhang mit der
Corona-Pandemie beantwortet werden.
Quelle: Pressemitteilung, 22.06.2020
