Neue Gesetze erhöhen den Druck


Bedrohungslage für KRITIS nimmt zu – ganzheitlicher Ansatz gefragt
Carmao zeigt: Die Energie- und Versorgungswirtschaft muss Sicherheit und Resilienz erhöhen


Die Versorgung mit unentbehrlichen Gütern und Dienstleistungen wie Strom, Wasser und Gas obliegt in Deutschland sogenannten Kritischen Infrastrukturen. Ihre Bedeutung wird jedoch oft erst spürbar, wenn Störungen eintreten. Aktuell ist die Energie- und Versorgungswirtschaft mit zunehmenden Herausforderungen konfrontiert. Wachsende Cyberbedrohungen, steigende regulatorische Anforderungen und der Druck, auch in unsicheren Zeiten betriebsfähig zu bleiben, erfordern ganzheitliche Ansätze zur Stärkung der Resilienz. Carmao, Spezialist für organisationale Resilienz, zeigt, welche Hebel dazu betätigt werden sollten.

Die Bedrohungslage für Kritische Infrastrukturen (KRITIS) wächst stetig, insbesondere durch die Zunahme von Cyberangriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte in seinem aktuellen Bericht "Die Lage der IT-Sicherheit in Deutschland 2024" im Zeitraum von Mitte 2023 bis Mitte 2024 insgesamt 726 Angriffe auf KRITIS – ein alarmierender Anstieg von 236 Fällen im Vergleich zur vorherigen Periode. 185 Angriffe zielten auf den Sektor Transport und Verkehr ab, gefolgt von Gesundheit (141) und Energie (137).

Ulrich Heun, Geschäftsführer von Carmao, erklärt: "Energieversorger sind von zentraler Bedeutung für Industrie, Transport und Haushalte. Ein erfolgreicher Angriff auf ihre Systeme könnte weite Teile unserer Wirtschaft lahmlegen. Deshalb ist es essenziell, dass die entsprechenden Unternehmen ihre Informationssicherheits- und Krisenmanagementsysteme kontinuierlich optimieren."

Neue gesetzliche Anforderungen zwingen die Branche zum Handeln. Mit dem IT-Sicherheitsgesetz 2.0, dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sowie dem KRITIS-Dachgesetz hat der Gesetzgeber verbindliche Maßnahmen eingeführt, um die Resilienz kritischer Infrastrukturen zu stärken.

Während das IT-Sicherheitsgesetz 2.0 bereits seit 2023 an Betreiber von Abfallentsorgungsanlagen erhöhte Anforderungen in puncto IT-Sicherheit stellt, gibt es mit dem KRITIS-Dachgesetz und NIS2 Neuerungen. Die neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Das KRITIS-DachG erfasst erstmals sektorenübergreifend essenzielle Infrastrukturen und fordert von Unternehmen Mindestanforderungen wie Notfallpläne, Schulungen und Meldepflichten für Vorfälle. Parallel dazu setzt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) die neue "EU NIS 2 Direktive" für Cybersecurity in Deutschland um. Beide Gesetze sind verabschiedet und sollen 2025 verkündet werden. Dann gelten EU-weit verbindliche Maßnahmen zur Cybersicherheit. Dazu gehört unter anderem die Implementierung eines Business Continuity Managements (BCM).

Ulrich Heun sagt: "Diese Regelwerke schaffen einen einheitlichen Rahmen für die Sicherheitsanforderungen in Europa und Deutschland. Sie helfen Unternehmen, ihre Betriebsfähigkeit auch bei Störungen zu gewährleisten. Für die Umsetzung ist jedoch ein umfassendes Management von Sicherheits- und Notfallprozessen notwendig, das über rein technische Maßnahmen hinausgeht."

Ganzheitliche Strategien für organisationale Resilienz und Sicherheit
Die Einhaltung der gesetzlichen Vorgaben erfordert von Unternehmen der Energie- und Versorgungswirtschaft umfassende Sicherheitsstrategien. Dazu gehören Maßnahmen wie der Schutz sensibler Daten und Systeme, die Sicherstellung der Betriebsfähigkeit in Krisensituationen, die konforme Verarbeitung personenbezogener Daten sowie die Optimierung von Prozessen und kontinuierliche Verbesserung der Qualitätsstandards. Carmao bietet Lösungen, die speziell auf die Anforderungen der Energie- und Versorgungswirtschaft abgestimmt sind.

Der Fokus liegt dabei auf der Steigerung der organisationalen Resilienz durch ganzheitliche Strategien und das CHARISMA Resilience Management Framework. Das Framework basiert auf internationalen Normen wie z.B. der ISO/IEC 27001, ISO 23001 und weiteren international anerkannten Best Practice-Ansätzen. Betreiber kritischer Infrastrukturen erhalten damit ein Informationssicherheitsmanagementsystem (ISMS) und Business Continuity Management System (BCMS), das präzise ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Neben der Steigerung der Informationssicherheit legt Carmao besonderen Wert auf Notfall- und Krisenmanagement sowie Business Continuity Management (BCM). Mit einem effektiven BCM und Krisenmanagement können Unternehmen nicht nur gesetzliche Vorgaben erfüllen, sondern auch ihre langfristige Wettbewerbsfähigkeit sichern.

Neben dem Aufbau und der Weiterentwicklung eines ISMS, der Implementierung von BCM-Systemen und der Unterstützung bei der Einhaltung regulatorischer Anforderungen unterstützt Carmao Unternehmen durch Beratung und Schulung zur Stärkung der Sicherheitskultur sowie durch Notfall- und Krisenmanagement.

"Der Schutz kritischer Infrastrukturen ist keine Option, sondern eine Notwendigkeit. Resilienz ist der Schlüssel zu einer stabilen und nachhaltigen Versorgung. Wir unterstützen Unternehmen der Energie- und Versorgungswirtschaft dabei, die notwendigen Werkzeuge zu implementieren, um die Widerstandsfähigkeit nachhaltig zu steigern und sich zukunftsfähig aufstellen", erklärt Ulrich Heun. (Carmao: ra)

eingetragen: 19.01.25
Newsletterlauf: 17.03.25

Carmao: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Hinter den Kulissen der Hacktivisten

    Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.

  • Robuster Disaster-Recovery-Plan erfordert

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.

  • Dem Software-Lieferketten-Risiko begegnen

    In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

Identitäten vortäuschen & Betrugsfallen aufbauen SAP Patch Day: Januar 2025

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen