Kritische Infrastrukturen: Schwierige, aber entscheidende Einhaltung der Gesetze

Schutz kritischer Infrastrukturen: Welche Vorschriften gelten? | Stormshield

Cyberattacken auf kritische Infrastrukturen sind mit Risiken mit sehr hoher Kritikalität verbunden. Daraus resultiert die Komplexität der für sie geltenden Vorschriften. Angesichts der gegebenen Herausforderungen an die Sicherheit kann es sich niemand leisten, diesen rechtlichen Rahmen zu ignorieren und nicht einzuhalten.

Die „kritische Infrastruktur“ im Zentrum des Funktionierens der Gesellschaft

Hinter diesem Begriff verbergen sich Kürzel wie OIV (Opérateur d’Importance Vitale/Akteur von entscheidender Bedeutung) für Frankreich oder OSE (Opérateur de Services Essentiels/Betreiber wesentlicher Dienste) für Europa, aber nicht nur das. Im weiteren Sinne bezeichnet dieser Ausdruck alle privaten oder öffentlichen Strukturen, deren kontinuierliche Tätigkeit für das erfolgreiche Funktionieren des Staates und der Gesellschaft unentbehrlich ist.

Stéphane Prévost, Product Marketing Manager Stormshield, erläutert: „Im Allgemeinen sind dies Akteure aus den Bereichen Telekommunikation, Transport, Energie oder auch Gesundheit… Jede Einrichtung, deren Dienstunterbrechung infolge eines Ausfalls der IT-Infrastruktur dramatische Folgen hätte.

Bevorzugte Ziele für Cyberangreifer

Das gute Funktionieren dieser Strukturen erweist sich somit unentbehrlich für den Alltag unserer Gesellschaften und die Sicherheit der Bevölkerung. Doch dieser Status macht sie zu privilegierten Zielen für Terrorattacken oder Sabotage mittels Cyberangriffen. So wurden in Frankreich nach den Attentaten vom 11. September 2001 erste Überlegungen zum Begriff „kritische Infrastruktur“ angestellt.

Um sich vor solchen Angriffen über ihre IT-Systeme zu schützen, muss für die kritischen Infrastrukturen ein Höchstmaß an Sicherheit gelten, das durch einen Dschungel von Richtlinien, Fassungen und Rechtstexten auf nationaler und europäischer Ebene reguliert wird.

Eine dichte, aber nicht immer explizite Gesetzgebung

Wie Stéphane Prévost erklärt, veranlasst die kritische Natur dieser Infrastrukturen die Mitgliedstaaten der Europäischen Union, Gesetze, Verordnungen und Richtlinien zu verabschieden, damit sichergestellt ist, dass sie Cyberangriffen standhalten können. „Wenn es uns nicht gelingt, den Cyberangriff zu verhindern, müssen wir alles tun, um ihn erfolgreich zu blockieren oder mindestens den Dienst so schnell wie möglich wiederherzustellen.

In Frankreich unterliegt eine Organisation im Gesundheitswesen zum Beispiel mindestens vier europäischen Richtlinien oder Verordnungen (wie DSGVO, Richtlinie zur Netzwerk- und Informationssystemsicherheit NIS oder PCI-DSS), zwei französischen Gesetzen oder Richtlinien (Code de la santé publique/Gesetz über das öffentliche Gesundheitswesen und Interministerielle Anweisung Nr. 901) und eventuell zwei Normen (Gemeinsame Kriterien und ISO27000). Und natürlich auch den Leitfäden für bewährte Praktiken. Durch diesen Gesetzesrahmen werden natürlich Lösungen empfohlen wie „der Erlass für den Gesundheitssektor des französischen Gesetzes zum Verteidigungshaushalt (LPM), der die Verwendung der Lösungen für Cybersicherheit, die vom französischen Staat empfohlen werden, vorschreibt“, ergänzt Stéphane Prévost.

Die guten Reflexe: Qualifikation, Konformität und Schutz

Der erste Reflex für Cybersicherheit ist, sich für Produkte zu entscheiden, die von der französischen Behörde für Informationssicherheit ANSSI qualifiziert wurden. Eine „qualifizierte“ Lösung bietet die Einhaltung des Vorschriftenrahmens und die Sicherheit, auf höchstem Anforderungsniveau getestet worden zu sein.

Die Herausforderung besteht darin, bei der Umsetzung der Cybersicherheitslösung die Geschäftsprozesse und die spezifischen Anforderungen an diese Infrastrukturen, wie zum Beispiel die kontinuierliche Verfügbarkeit des Dienstes, zu gewährleisten“, ergänzt Houari Rachedi, Project Manager Stormshield.

Dies bedeutet manchmal, dass bei einer auch nur geringfügigen Aktualisierung eine Stufe einer Testumgebung zwischengeschaltet werden muss, um die Gefahr auszuschließen, dass das Ökosystem der Workstation oder des Netzwerks verändert oder ein sensibles Produkt beeinflusst wird. „Wir antizipieren möglichst viel, indem wir diese Anforderungen an die Produktmanager weitergeben, damit sie schon in der Konzeptionsphase berücksichtigt werden. Danach werden unsere Berater tätig, um unsere Kunden bei der Implementierung und Parametrierung zu begleiten“, erläutert er.

Zum Glück werden kritische Infrastrukturen heutzutage von immer kompetenteren Teams betreut, um die Sicherheit ihrer IT-Systeme zu gewährleisten. Die Wahl der von der ANSII empfohlenen und/oder qualifizierten Lösungen ist ein erster Schritt: die Herstellung der Konformität. Allerdings kann die Begleitung durch Spezialisten sich auch als nützlich herausstellen, um die implementierten Lösungen in einem eingeschränkten Rahmen maximal zu nutzen.

Teilen auf

Damit Sie sich im Dschungel der Sicherheitslösungen und seiner begrifflichen Feinheiten zurechtfinden (zertifiziertes, qualifiziertes Produkt…), gibt Ihnen Stormshield einen Überblick über die verschiedenen Labels.
Es ist sicherlich nicht einfach, die Gesetzeslage für seinen Tätigkeitsbereich zu verstehen, wenn sie so dicht und komplex ist, auf nationaler wie auf europäischer Ebene. Dürfen wir Ihnen deshalb einen Leitfaden mit den spezifischen Angaben zu Ihrer Branche empfehlen?

Über den Autor

mm
Julien Paffumi
Product Management Leader, Stormshield

Julien Paffumi hat sich seine Sporen als Qualitätsingenieur in der Forschung und Entwicklung bei Arkoon verdient. Danach bildete er direkt die Administratoren aus und erarbeitete sich umfassendes Wissen zu ihren Anforderungen. Die ist ein wichtiger Erfahrungsschatz für seine nächste Rolle als Produktmanager der Firewalls Arkoon Fast360 und danach der Konsole für die zentrale Administration Stormshield Management Center. Aufgrund seiner Bereitschaft, Ergebnisse auch weiterzugeben, arbeitet er als Leiter des Produktmanagements an der fortlaufenden Verbesserung des Produktmanagements bei Stormshield. In dieser besonderen Rolle kann er auch seine unersättliche Neugier stillen und zwar mit einem allgemeineren Ansatz für Stormshield-Lösungen.