Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am Montag einen detaillierten Lagebericht zur Sicherheit vernetzter Steuerungssysteme in deutschen Industrieanlagen. Die Behörde stellt fest, dass die zunehmende Vernetzung von Produktionsumgebungen mit externen Dienstleistern neue Angriffsvektoren für staatliche und kriminelle Akteure schafft. In vielen Fällen operieren Unternehmen unter der Prämisse This Environment Is Externally Managed, was die interne Kontrolle über sensible Datenflüsse und Systemzugriffe erschwert.
Laut dem Bericht des BSI stieg die Zahl der registrierten Cyberangriffe auf kritische Infrastrukturen im vergangenen Kalenderjahr um 12 % an. Besonders betroffen sind Unternehmen aus dem Energiesektor sowie Betreiber von Wasserversorgungsanlagen, die Teile ihrer IT-Administration an spezialisierte Drittanbieter ausgelagert haben. BSI-Präsidentin Claudia Plattner betonte in einer Pressekonferenz in Bonn, dass die Verantwortung für die Sicherheit der Systeme trotz externer Verwaltung stets beim Betreiber verbleibe.
Die Untersuchung zeigt, dass Schnittstellen zwischen internen Netzwerken und den Cloud-Infrastrukturen der Dienstleister oft unzureichend abgesichert sind. In 45 % der geprüften Fälle fanden die Prüfer veraltete Protokolle oder schwache Authentifizierungsmechanismen vor. Diese technischen Mängel ermöglichen es Angreifern, über die Wartungszugänge der Dienstleister tief in die Kernsysteme der Industrieanlagen vorzudringen.
Risiken durch This Environment Is Externally Managed Ansätze
Die Verlagerung der Administration auf externe Partner führt laut einer Studie des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) zu einer erhöhten Komplexität der Sicherheitsarchitektur. Die Forscher weisen darauf hin, dass die Transparenz über die tatsächlich durchgeführten Sicherheitsmaßnahmen aufseiten der Dienstleister oft fehlt. In der Publikation Bericht zur industriellen Sicherheit wird davor gewarnt, dass Verträge oft keine ausreichenden Kontrollrechte für die Auftraggeber vorsehen.
Ein zentrales Problem stellt die sogenannte Lieferketten-Sicherheit dar. Wenn ein großer IT-Dienstleister kompromittiert wird, sind potenziell hunderte von Kundenunternehmen gleichzeitig gefährdet. Das Fraunhofer AISEC empfiehlt daher die Implementierung von Zero-Trust-Architekturen, bei denen jeder Zugriff innerhalb des Netzwerks verifiziert werden muss.
Überwachung der Zugriffsberechtigungen
Innerhalb dieser Strukturen ist die Verwaltung von Identitäten und Zugriffsrechten eine der größten Herausforderungen. Experten fordern, dass externe Administratoren nur zeitlich begrenzte und auf das Nötigste beschränkte Rechte erhalten. Die Praxis des dauerhaften Fernzugriffs ohne Mehrfaktor-Authentifizierung gilt mittlerweile als grob fahrlässig.
Unternehmen müssen laut dem IT-Sicherheitsgesetz 2.0 nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen getroffen haben. Verstöße gegen diese Sorgfaltspflichten können Bußgelder in Millionenhöhe nach sich ziehen. Die Aufsichtsbehörden haben angekündigt, die Prüfintervalle für Betreiber kritischer Infrastrukturen in den kommenden Monaten zu verkürzen.
Wirtschaftliche Auswirkungen und Effizienzdruck
Der Trend zur Auslagerung ist primär durch den Fachkräftemangel in der IT-Branche getrieben. Viele mittelständische Unternehmen finden kaum qualifiziertes Personal, um komplexe Sicherheitsinfrastrukturen rund um die Uhr eigenständig zu betreiben. Die Auslagerung an spezialisierte Firmen bietet hier eine wirtschaftlich attraktive Lösung, um dem Personalengpass zu begegnen.
Daten des Statistischen Bundesamtes belegen, dass die Ausgaben für externe IT-Dienstleistungen in der deutschen Industrie seit 2020 jährlich um durchschnittlich 8,5 % gewachsen sind. Dieser Kostendruck führt jedoch häufig dazu, dass Sicherheitsaspekte bei der Vertragsgestaltung gegenüber funktionalen Anforderungen zurückstehen. Die Einsparungen bei den Personalkosten stehen im Falle eines erfolgreichen Cyberangriffs oft in keinem Verhältnis zu den potenziellen Schadenssummen durch Produktionsausfälle.
Der Bundesverband der Deutschen Industrie (BDI) fordert daher staatliche Förderprogramme für die Ausbildung von Cybersicherheitsexperten. Nur durch eine Stärkung der internen Kompetenzen können Unternehmen die Arbeit ihrer externen Partner effektiv überwachen. Ohne diese Kontrollfähigkeit riskieren Betriebe den Verlust geistigen Eigentums und die Unterbrechung ihrer Lieferketten.
Rechtliche Rahmenbedingungen und Haftungsfragen
Die rechtliche Situation bei Vorfällen in fremdverwalteten Umgebungen ist oft komplex. Juristen weisen darauf hin, dass die Haftung im Außenverhältnis gegenüber Kunden oder Behörden immer das primäre Unternehmen trifft. Regressansprüche gegen den Dienstleister scheitern oft an Haftungsobergrenzen in den Allgemeinen Geschäftsbedingungen der IT-Firmen.
Die Europäische Union hat mit der NIS-2-Richtlinie reagiert, um die Resilienz von wichtigen Einrichtungen zu stärken. Diese Richtlinie muss bis Oktober 2024 in nationales Recht umgesetzt werden und erweitert den Kreis der betroffenen Unternehmen erheblich. Informationen zur Umsetzung finden sich auf den Seiten der Europäischen Kommission zur Cybersicherheit.
Anforderungen der NIS-2-Richtlinie
Die neuen Regelungen verpflichten die Geschäftsführung direkt zur Überwachung der Risikomanagementmaßnahmen. Bei Versäumnissen droht eine persönliche Haftung der Organmitglieder. Dies soll sicherstellen, dass IT-Sicherheit nicht mehr als rein technisches Problem, sondern als strategische Führungsaufgabe wahrgenommen wird.
Zusätzlich müssen Unternehmen künftig erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Diese Meldepflicht gilt auch für Vorfälle, die sich in den Systemen der beauftragten Dienstleister ereignen. Die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer bei der Vorfallbehandlung muss daher vertraglich präzise geregelt sein.
Technische Lösungsansätze und Monitoring
Um die Kontrolle zurückzugewinnen, setzen immer mehr Betriebe auf unabhängige Monitoring-Systeme. Diese Werkzeuge zeichnen alle Aktivitäten der externen Dienstleister in Echtzeit auf und schlagen bei untypischem Verhalten Alarm. Ein solches Vorgehen stellt sicher, dass das Prinzip This Environment Is Externally Managed nicht zu einer vollständigen Intransparenz führt.
Softwarelösungen für das Privileged Access Management (PAM) ermöglichen es, Sitzungen aufzuzeichnen und Befehlsketten zu analysieren. So kann im Nachgang eines Sicherheitsvorfalls genau rekonstruiert werden, welcher Account welche Änderungen am System vorgenommen hat. Dies dient nicht nur der Sicherheit, sondern auch der Beweissicherung in Haftungsfragen.
Das Bundesministerium für Wirtschaft und Klimaschutz unterstützt Projekte zur Entwicklung souveräner Cloud-Lösungen. Ziel ist es, die Abhängigkeit von außereuropäischen Anbietern zu verringern und die digitale Souveränität der deutschen Wirtschaft zu sichern. Das Projekt Gaia-X ist ein prominentes Beispiel für diese Bemühungen, standardisierte und sichere Datenräume zu schaffen.
Kritik an der Umsetzung der Sicherheitsvorgaben
Branchenverbände kritisieren die bürokratischen Hürden, die mit den neuen Sicherheitsvorgaben einhergehen. Besonders kleine und mittlere Unternehmen fühlen sich durch die Dokumentationspflichten überfordert. Sie argumentieren, dass die Ressourcen für den Papierkram an anderer Stelle bei der tatsächlichen Absicherung der Systeme fehlen.
Ein weiterer Kritikpunkt betrifft die mangelnde Standardisierung der Zertifizierungen für Dienstleister. Es existiert eine Vielzahl von Siegeln und Zertifikaten, deren Aussagekraft für die spezifischen Anforderungen der industriellen Steuerungstechnik oft begrenzt ist. Unternehmen fordern hier klarere Richtlinien vom Gesetzgeber, welche Standards als ausreichend anerkannt werden.
Zudem wird bemängelt, dass die staatlichen Behörden selbst mit dem rasanten technologischen Wandel kaum Schritt halten können. Die Bearbeitungszeiten für Sicherheitsanfragen beim BSI gelten in der Branche als zu lang. Eine stärkere personelle Ausstattung der Behörden sei notwendig, um eine effektive Unterstützung der Wirtschaft zu gewährleisten.
Ausblick auf die künftige Bedrohungslage
Die Experten des BSI erwarten für das kommende Jahr eine weitere Professionalisierung der Angreifermethoden. Insbesondere der Einsatz von künstlicher Intelligenz zur automatisierten Suche nach Schwachstellen wird die Verteidiger vor neue Herausforderungen stellen. Die reine Abwehr an den Netzwerkgrenzen wird nicht mehr ausreichen, um komplexe Angriffe zu verhindern.
Künftig wird der Fokus verstärkt auf der Resilienz liegen, also der Fähigkeit, den Betrieb auch während eines laufenden Angriffs aufrechtzuerhalten. Unternehmen müssen Notfallpläne entwickeln, die regelmäßig unter realistischen Bedingungen getestet werden. Die Kommunikation zwischen den Unternehmen und den Sicherheitsbehörden wird dabei eine zentrale Rolle spielen.
Offen bleibt, wie die internationale Zusammenarbeit bei der Verfolgung von Cyberkriminellen verbessert werden kann. Da viele Angriffe aus Staaten mit schwacher Rechtshilfe erfolgen, ist eine strafrechtliche Verfolgung oft aussichtslos. Die politische Debatte über aktive digitale Gegenmaßnahmen, oft als Hackback bezeichnet, wird in diesem Zusammenhang weiterhin kontrovers geführt.
Anpassungen der nationalen Sicherheitsstrategie werden für das dritte Quartal des laufenden Jahres erwartet. Die Bundesregierung plant, die Befugnisse des BSI auszuweiten, um im Falle massiver Angriffe koordinierend eingreifen zu können. Beobachter gehen davon aus, dass dies zu einer weiteren Verschärfung der Sicherheitsanforderungen für alle digital vernetzten Unternehmen in Deutschland führen wird.
