BSI-Umfrage: Kritische Infrastrukturen haben Nachholbedarf bei IT-Sicherheit

Für Betreiber kritischer Infrastrukturen, zu denen etwa die Bereiche Energie, Verkehr, Wasser, Finanz- und Versicherungswesen, Medien, Verwaltung, Gesundheit sowie IT und Telekommunikation zählen, gelten nach den IT-Sicherheitsgesetzen 1.0 und 2.0 besondere Auflagen. Sie müssen etwa Melde- und Zertifizierungspflichten sowie Mindeststandards einhalten und IT-Sicherheitskonzepte vorlegen sowie pflegen.

Beim Einhalten der Vorschriften kommen diese Unternehmen – auch abhängig von ihrer Größe – unterschiedlich voran und müssen teils noch deutlich aufholen. Dies geht aus einer Umfrage hervor, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Info-Institut für Markt- und Meinungsforschung im Auftrag des Bundesinnenministeriums durchführte.

Freiwillige Umfrage

Bei der Sondierung sollte die Wirksamkeit der gesetzlichen Maßnahmen bei Kritis-Betreibern eruiert werden. Im Zeitraum vom 21. Februar bis zum 10. März 2023 hatten sie die Möglichkeit, an einer Online-Befragung teilzunehmen. Insgesamt haben mehr als 45 Prozent der eingeladenen Betreiber Antworten geliefert, was das BSI aufgrund der Freiwilligkeit der Mitwirkung als Erfolg betrachtet.

Den Ergebnisbericht, der bereits von Mitte April stammt, hat die Bonner Behörde am Montag veröffentlicht. Die Umsetzung technischer Sicherheitsmaßnahmen ist bei den meisten der Teilnehmer demnach weit vorangeschritten. Dies gelte insbesondere für den Einsatz von Virtual Private Networks (VPN) und Zugangskontrollen, die nur "in Einzelfällen noch nicht implementiert sind". Beim Implementieren organisatorischer Sicherheitsmaßnahmen liegen die Unternehmen etwas weiter zurück. Die größten Defizite zeigen sich laut der Studie bei einer sicheren Dokumentenerstellung und der Einführung von Security Operations. Für letztere gilt es in der Regel, ein Zentrum einzurichten, an dem ein Expertenteam Cybersicherheitsvorfälle rund um die Uhr überwacht, erkennt, analysiert und behebt.

Weitgehend flächendeckend eingeführt sind der Untersuchung zufolge im Organisationsbereich Vorkehrungen, um den aktuellen Informationsstand im Betrieb aufrechtzuerhalten und die Mitarbeiter zu schulen sowie zu sensibilisieren. Die meisten Kritis-Betreiber, die nicht bereits unter weitere Vorgaben des Energiewirtschaftsgesetzes (EnWG) oder Telekommunikationsgesetzes (TKG) fallen, sind mit den beiden IT-Sicherheitsgesetzen überwiegend sehr gut vertraut. Großunternehmen geben dabei deutlich häufiger als kleine und mittlere (KMU) an, sich mit der IT-Gesetzgebung sehr gut auszukennen.

EnWG- beziehungsweise TKG-Betreiber haben bei der Implementierung der technischen Maßnahmen einen leichten, bei der Einführung der organisatorischen Maßnahmen einen deutlichen Vorsprung gegenüber den anderen Kritis-Unternehmen. Als Hauptgründe für die noch unvollständige Umsetzung der gesetzlichen Anforderungen gelten vor allem Personal- und Geldmangel. Insbesondere KMU und Betriebe mit geringer oder mittlerer Vertrautheit mit den Gesetzen beklagen zudem die Zeitknappheit und zu kurzfristige Änderungen.

Schmales Budget für Sicherheit

Das IT-Sicherheitsbudget beurteilt die Mehrheit der Betreiber als nicht angemessen, auch wenn sechs von zehn Unternehmen es in den vergangenen zwei Jahre erhöhten: Den Anteil am gesamten betrieblichen IT-Etat – im Durchschnitt 14 Prozent – hält nur jede dritte Firma für ausreichend. KMU, die über einen etwas höheren prozentualen Anteil verfügen als Konzerne, äußern sich häufiger zufrieden.

Sieben von zehn Unternehmen – vor allem Großbetriebe – nehmen nach eigenen Angaben gegenwärtig eine erhöhte IT-Bedrohungslage wahr. Als Hauptursachen werden der Angriffskrieg Russlands gegen die Ukraine beziehungsweise die geopolitische Lage sowie zunehmende und gezielte Cyberattacken auf Kritis-Betreiber genannt. EnWG/TKG-Unternehmen beobachten häufiger eine erhöhte IT-Gefährdungslage als Firmen anderer Sektoren. Ein Großteil der besorgten Institutionen erlebte in den vergangenen zwei Jahren eine stärkere Gefährdungslage speziell aufgrund häufigerer Cyberangriffe auf das eigene IT-System. Dabei geht es meist um Phishing und Schadsoftware in Mail-Anhängen.

Zwei Drittel der von Cyber-Angriffen betroffenen Unternehmen erlitten einen materiellen Schaden. Konzerne bezifferten ihn im Durchschnitt auf 157.000 Euro, KMU auf 71.000 Euro. Kosten ergaben sich vor allem durch die Beauftragung von Dienstleistern, die Wiederherstellung der Systeme und Betriebsausfälle. Der wirtschaftliche Schaden fiel bei den meisten nur wenig ins Gewicht, existenzbedrohend war er in keinem Fall.

In fast allen Unternehmen erfolgt eine regelmäßige Dokumentation von IT-Sicherheitsereignissen, meist in einem internen System. Das BSI nennen die Befragten als den mit Abstand wichtigsten Adressat für die Kommunikation von Vorfällen. Am häufigsten informiert werden daneben kooperierende Unternehmen, andere Behörden, Kunden und Lieferanten.

Das Beseitigen von Sicherheitslücken verläuft in unterschiedlichem Tempo: KMU agieren etwas häufiger sofort, Großunternehmen eher entlang einer Priorisierung im Rahmen einer Risikobewertung. Als häufigste Auswirkungen der IT-Sicherheitsgesetze nannten die Teilnehmer einen erhöhten Dokumentations- und Prüfaufwand, den Aufbau von Sicherheitssystemen und die – teils vorgezogene – Einführung neuer Maßnahmen. Die Zusatzaufgaben kamen nicht überall in der Wirtschaft gut an. Die Berliner Verkehrsbetriebe (BVG) etwa verstanden sich lange nicht als Kritis-Dienstleister im Sinne des BSI- und des IT-Sicherheitsgesetzes. Erst 2021 lenkten sie ein und schickten dem BSI eine Mängelliste mit 22 geringfügigen IT-Sicherheitsproblemen und einer größeren organisatorischen Kontrolllücke.

(olb)