Cyberattacken auf kritische Infrastrukturen sind mit Risiken mit sehr hoher Kritikalität verbunden. Daraus resultiert die Komplexität der für sie geltenden Vorschriften. Angesichts der gegebenen Herausforderungen an die Sicherheit kann es sich niemand leisten, diesen rechtlichen Rahmen zu ignorieren und nicht einzuhalten.
Die „kritische Infrastruktur“ im Zentrum des Funktionierens der Gesellschaft
Hinter diesem Begriff verbergen sich Kürzel wie OIV (Opérateur d’Importance Vitale/Akteur von entscheidender Bedeutung) für Frankreich oder OSE (Opérateur de Services Essentiels/Betreiber wesentlicher Dienste) für Europa, aber nicht nur das. Im weiteren Sinne bezeichnet dieser Ausdruck alle privaten oder öffentlichen Strukturen, deren kontinuierliche Tätigkeit für das erfolgreiche Funktionieren des Staates und der Gesellschaft unentbehrlich ist.
Stéphane Prévost, Product Marketing Manager Stormshield, erläutert: „Im Allgemeinen sind dies Akteure aus den Bereichen Telekommunikation, Transport, Energie oder auch Gesundheit… Jede Einrichtung, deren Dienstunterbrechung infolge eines Ausfalls der IT-Infrastruktur dramatische Folgen hätte.“
Bevorzugte Ziele für Cyberangreifer
Das gute Funktionieren dieser Strukturen erweist sich somit unentbehrlich für den Alltag unserer Gesellschaften und die Sicherheit der Bevölkerung. Doch dieser Status macht sie zu privilegierten Zielen für Terrorattacken oder Sabotage mittels Cyberangriffen. So wurden in Frankreich nach den Attentaten vom 11. September 2001 erste Überlegungen zum Begriff „kritische Infrastruktur“ angestellt.
Um sich vor solchen Angriffen über ihre IT-Systeme zu schützen, muss für die kritischen Infrastrukturen ein Höchstmaß an Sicherheit gelten, das durch einen Dschungel von Richtlinien, Fassungen und Rechtstexten auf nationaler und europäischer Ebene reguliert wird.
Eine dichte, aber nicht immer explizite Gesetzgebung
Wie Stéphane Prévost erklärt, veranlasst die kritische Natur dieser Infrastrukturen die Mitgliedstaaten der Europäischen Union, Gesetze, Verordnungen und Richtlinien zu verabschieden, damit sichergestellt ist, dass sie Cyberangriffen standhalten können. „Wenn es uns nicht gelingt, den Cyberangriff zu verhindern, müssen wir alles tun, um ihn erfolgreich zu blockieren oder mindestens den Dienst so schnell wie möglich wiederherzustellen.“
In Frankreich unterliegt eine Organisation im Gesundheitswesen zum Beispiel mindestens vier europäischen Richtlinien oder Verordnungen (wie DSGVO, Richtlinie zur Netzwerk- und Informationssystemsicherheit NIS oder PCI-DSS), zwei französischen Gesetzen oder Richtlinien (Code de la santé publique/Gesetz über das öffentliche Gesundheitswesen und Interministerielle Anweisung Nr. 901) und eventuell zwei Normen (Gemeinsame Kriterien und ISO27000). Und natürlich auch den Leitfäden für bewährte Praktiken. Durch diesen Gesetzesrahmen werden natürlich Lösungen empfohlen wie „der Erlass für den Gesundheitssektor des französischen Gesetzes zum Verteidigungshaushalt (LPM), der die Verwendung der Lösungen für Cybersicherheit, die vom französischen Staat empfohlen werden, vorschreibt“, ergänzt Stéphane Prévost.
Die guten Reflexe: Qualifikation, Konformität und Schutz
Der erste Reflex für Cybersicherheit ist, sich für Produkte zu entscheiden, die von der französischen Behörde für Informationssicherheit ANSSI qualifiziert wurden. Eine „qualifizierte“ Lösung bietet die Einhaltung des Vorschriftenrahmens und die Sicherheit, auf höchstem Anforderungsniveau getestet worden zu sein.
„Die Herausforderung besteht darin, bei der Umsetzung der Cybersicherheitslösung die Geschäftsprozesse und die spezifischen Anforderungen an diese Infrastrukturen, wie zum Beispiel die kontinuierliche Verfügbarkeit des Dienstes, zu gewährleisten“, ergänzt Houari Rachedi, Project Manager Stormshield.
Dies bedeutet manchmal, dass bei einer auch nur geringfügigen Aktualisierung eine Stufe einer Testumgebung zwischengeschaltet werden muss, um die Gefahr auszuschließen, dass das Ökosystem der Workstation oder des Netzwerks verändert oder ein sensibles Produkt beeinflusst wird. „Wir antizipieren möglichst viel, indem wir diese Anforderungen an die Produktmanager weitergeben, damit sie schon in der Konzeptionsphase berücksichtigt werden. Danach werden unsere Berater tätig, um unsere Kunden bei der Implementierung und Parametrierung zu begleiten“, erläutert er.
Zum Glück werden kritische Infrastrukturen heutzutage von immer kompetenteren Teams betreut, um die Sicherheit ihrer IT-Systeme zu gewährleisten. Die Wahl der von der ANSII empfohlenen und/oder qualifizierten Lösungen ist ein erster Schritt: die Herstellung der Konformität. Allerdings kann die Begleitung durch Spezialisten sich auch als nützlich herausstellen, um die implementierten Lösungen in einem eingeschränkten Rahmen maximal zu nutzen.
