06.11.2024 von Christian Knothe

Stärkung der Cyberresilienz: Die Bedeutung des NIS-2-Umsetzungsgesetzes am Beispiel von Stadtwerken

Stellen Sie sich vor, es ist ein ganz normaler Arbeitstag. Plötzlich fällt das Licht aus, die Heizung wird kalt und das Internet geht nicht mehr. Ein Szenario, das durch Cyberangriffe auf unsere Stadtwerke Wirklichkeit werden könnte. Sie liefern uns grundlegende Dienstleistungen wie Wasser- und Energieversorgung oder öffentlichen Personennahverkehr und sind deshalb ein attraktives Ziel für staatliche Akteure und Cyberkriminelle. Genau hier setzt das NIS-2-Umsetzungsgesetz an, das voraussichtlich Anfang 2025 in Kraft treten wird. Es zielt darauf ab, die Cyberresilienz kritischer Infrastrukturen zu stärken und damit solche Angriffs-Szenarien, zu verhindern.

Abhängig von der Motivation der Angreifer stehen derzeit Sabotageakte oder Erpressungsversuche im Mittelpunkt. Die Mittel sind dabei ähnlich, zum Beispiel die Verschlüsselung betriebskritischer Daten oder DDoS (Distributed Denial of Service)-Angriffe auf die IT-Infrastruktur. Hinzu kommt es aktuell wieder vermehrt zur Ausschleusung von Daten.

Neben der klassischen IT, als eine der Technologie-Domänen, sollten Stadtwerke besondere Aufmerksamkeit den Bereichen Operational Technology (OT) und Internet of Things (IoT) widmen. Vor allem in der OT gelten sehr lange Investitionszyklen. Die dort im Einsatz befindlichen digitalen Systeme sind oft mehrere Jahrzehnte alt und sicherheitstechnisch nicht auf die heutigen Anwendungsszenarien vorbereitet.

Um den Anforderungen des NIS-2-Gesetzes gerecht zu werden, müssen Stadtwerke oder andere kritische Infrastrukturbetreiber eine Reihe von Maßnahmen ergreifen. Eine Standort-Bestimmung und Risikoanalyse sind erforderlich, um festzustellen, welche Maßnahmen bereits umgesetzt wurden und welche noch fehlen. Die erste Risikoanalyse sollte dann in ein kontinuierliches Risikomanagement überführt werden. Hierfür ist die Etablierung eines Informationssicherheits-Managementsystems entscheidend, um so eine strukturierte Steuerung, Kontrolle und Verbesserung der Sicherheit zu ermöglichen.

Zu den weiteren geforderten Maßnahmen gehören die Erkennung und Abwehr von Cyberangriffen, sichere und verschlüsselte Kommunikation, Multi-Faktor-Authentifizierung und ein umfassendes Schwachstellenmanagement. Auch organisatorische Maßnahmen wie Schulungen von Mitarbeitenden spielen eine wichtige Rolle.

Die Umsetzung dieser Maßnahmen kann eine Herausforderung darstellen, insbesondere für kommunale Stadtwerke, die sowohl technisch als auch personell vor großen Aufgaben stehen. Daher kann es sinnvoll sein, externe Unterstützung in Anspruch zu nehmen. Bei 1&1 Versatel bieten wir einen strukturierten Readiness-Check zur Ermittlung des Reifegrads an. Identifizierte Lücken werden konkret adressiert und Handlungsempfehlungen gegeben. Unsere gezielten Security-Services, wie Angriffs- und Schwachstellenerkennung sowie umfassender DDoS-Schutz und Firewall-Services, helfen dabei, identifizierte Lücken zu schließen.

Das NIS-2-Gesetz tritt ohne Übergangsfrist in Kraft. Eine umfassende Standortbestimmung des aktuellen Sicherheitsstatus ist daher essenziell, um bestehende Lücken zu identifizieren und gezielte Maßnahmen zur Verbesserung der Cybersicherheit zu planen. Zögern Sie nicht, uns zu kontaktieren, wenn Sie Unterstützung bei der Umsetzung dieser Anforderungen benötigen.