Entwurfskonzept eines analog-digitalen Kompasses
Sergey Tarasov / stock.adobe.com
10.03.2021 Fachinformation

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen an

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen und öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Beeinträchtigungen oder Ausfälle können verheerende Folgen haben.

Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung an Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet. Diese geben eine Orientierung bei der Implementierung und Erweiterung von Cybersecurity.

Kontakt

Prof. Dr. jur. Dennis-Kenji Kipker

Kontakt

Sebastian Hauschke

Verwandte VDE Themen

Kritische Infrastrukturen sind durch Cyberangriffe besonders gefährdet

KRITIS: Sektoren und Branchen

KRITIS: Sektoren und Branchen

| VDE DKE

Cyberangriffe stellen für Unternehmen aller Sektoren und Wirtschaftszweige eine große Bedrohung dar.

Laut dem Global Risks Report 2020 des Weltwirtschaftsforums gelten Cyberangriffe in den kommenden Jahren als eines der wahrscheinlichsten Risiken und mit den größten Auswirkungen auf globaler Ebene. Das Wachstum vernetzter Geräte (IoT) und die damit verbundenen Sicherheitslücken tragen zu dieser Entwicklung und Einschätzung bei.

Die Manipulation von beispielsweise Strom- oder Wasserversorgungssystemen durch Hacker kann verheerende Auswirkungen für Mensch und Natur haben. Aufgrund ihrer hohen Bedeutung zählen Organisationen aus diesen Sektoren zu den sogenannten „Kritischen Infrastrukturen“ (KRITIS).

Neben Energie und Wasser gehören auch Organisationen aus den Sektoren Ernährung, Staat und Verwaltung, Gesundheit, IT und TK, Transport und Verkehr, Medien und Kultur sowie dem Finanz- und Versicherungswesen zu diesen Kritischen Infrastrukturen. Cyberangriffe auf KRITIS-Organisationen in Deutschland finden täglich statt und führen in einigen Fällen auch zum Erfolg. Betroffen waren zuletzt beispielsweise die Uniklinik Düsseldorf (Gesundheit; 2020), die Funke Mediengruppe (Medien und Kultur; 2020) und der Deutsche Bundestag (Staat und Verwaltung). Insbesondere der Deutsche Bundestag ist aufgrund seiner politischen und gesellschaftlichen Bedeutung ein häufiges Ziel für Angriffe von außen.

Aber nicht immer sind große Energieversorger, Medienhäuser oder Verwaltungseinrichtungen das Ziel von Hackern. Laut IT-Business stehen vor allem kleine und mittlere Unternehmen (KMU) im Fokus der Cyberangriffe. Die Gründe hierfür können politisch motiviert oder einfach auf Erpressung ausgelegt sein. KMU verfügen häufig nicht über das technische Know-how und/oder die finanziellen Ressourcen, um sich gegen Cyberangriffe zu schützen – oder besser gesagt: Kleine und mittlere Unternehmen glauben nicht, darüber zu verfügen, unterschätzen so die Bedeutung von Cybersecurity und befassen sich erst mit den Problemen, wenn es bereits zu spät ist.

Hier setzt der Cybersecurity Navigator an – ein Tool, das Unternehmen mit einer vollständigen und aktuellen Sammlung von Rechtsvorschriften sowie Normen und Standards unterstützen soll, wenn es um die Implementierung und Erweiterung von Cybersecurity geht. Verfolgt wird hierbei ein ganzheitlicher Ansatz. Ziel ist es, die verschiedenen IT- und Compliance-Anforderungen sowohl rechtlich als auch technisch miteinander zu verzahnen.

Was sind Kritische Infrastrukturen?

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle: kritis.bund.de)

Cybersecurity Navigator geht aus dem Projekt NutriSafe hervor

Das Projekt NutriSafe beschäftigt sich mit der Sicherheit in der Lebensmittelproduktion und -logistik durch die Distributed-Ledger-Technologie (DLT). Wie zuvor bereits beschrieben, handelt es sich bei „Ernährung“ und „Transport & Verkehr“ um KRITIS-Sektoren. DLT sollen die Informationslogistik in der Supply Chain automatisieren, Peer-to-Peer-Strukturen und die autonome Koordination von Teilnehmern innerhalb der Supply Chain ermöglichen. Vor allem im Bereich von Lebensmitteln spielt das Vertrauen zwischen den kooperierenden Peers/Teilnehmern eine zentrale Rolle.

Rechtliche und sicherheitstechnische Betrachtungen ergänzen das Projekt NutriSafe. Hierfür wurden relevante Rechtsvorschriften und Standards gesammelt, systematisiert und ausgewertet. Die Ergebnisse der Analyse wurden anschließend in ein Online-Tool übertragen, den Cybersecurity Navigator.

Mit dem Cybersecurity Navigator liegt erstmals eine leicht zugängliche, einheitlich systematisierte und aufbereitete Sammlung von Rechtsvorschriften und Standards für Unternehmen vor, die sich mit dem Thema des Informationssicherheitsmanagements befassen müssen.


Cybersecurity Navigator

Cybersecurity Navigator

| Prof. Dr. jur. Dennis Kenji-Kipker, Universität Bremen

Cybersecurity Navigator: Rechtsvorschriften und Standards

Cybersecurity, Informationssicherheit und Datensicherheit erfordern eine ganzheitliche Betrachtung.

Der Cybersecurity Navigator unterstützt Organisationen aus den unterschiedlichen KRITIS-Sektoren hierbei mit einer leicht zugänglichen Sammlung an aktuellen Rechtsvorschriften sowie Normen und Standards – intuitiv bedienbar, einheitlich systematisiert und aufbereitet.

Zum Cybersecurity Navigator

Cybersecurity Navigator für Entscheider, leitende Umsetzer und Berater

Der Cybersecurity Navigator richtet sich in erster Linie an die Geschäftsleitungsebene von Organisationen aus den unterschiedlichen KRITIS-Sektoren. Ebenso gehören auch Unternehmensberatungen und Anwaltskanzleien beziehungsweise Rechtsberatungen zu den Zielgruppen, die häufig auf das Tool zurückgreifen.

Der Gedanke hinter dem Cybersecurity Navigator ist einfach: Anwender*innen sollen eine erste Orientierung bekommen, wenn es darum geht, Cybersecurity im Unternehmen zu integrieren oder auch zu erweitern. Kurz gesagt: Auch dem Geschäftsführer ohne Jura-Kenntnisse soll es möglich sein, auf den ersten Blick zu erkennen, wie der jeweilige Rechtsrahmen für den individuellen Anwendungsfall aussieht und welche Normen und Standards relevant sind.

Was macht den Cybersecurity Navigator so besonders?

Ohne den Cybersecurity Navigator müssten sich Unternehmen alle Informationen einzeln im Internet zusammensuchen und hätten keine Garantie, dass Rechtsvorschriften sowie Normen und Standards am Ende vollständig sind.

Aktualisierung der Datenbank und Entwicklung neuer Features

Der Cybersecurity Navigator verfügt aktuell über etwa 3.000 Dokumente. Die Dokumente in Form von Rechtsvorschriften sowie Normen und Standards werden stetig erweitert und aktualisiert. Die juristische Expertise liefert das Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen. Die Expertise zu Normen und Standards liefert CERT@VDE.

Die Liste weiterer geplanter Features ist lang: Es soll unter anderem eine KI-gestützte Filterfunktionen entwickelt werden, mit der Anwender*innen ihre Anfragen im Klartext formulieren können, um die Bedienung des Tools noch intuitiver und einfacher zu gestalten. Darüber hinaus ist geplant, weitere Visualisierungen zu implementieren und den Cybersecurity Navigator um einen Log-in-Bereich zu erweitern, in dem Nutzer beispielsweise aufgerufene Dokumente speichern und bei Bedarf erneut aufrufen können. An den geplanten Features ist bereits ersichtlich, dass vor allem die Usability zukünftig weiter in den Vordergrund rücken wird.

Bildergalerie zum Cybersecurity Navigator


Interessiert an weiteren Inhalten zu Cybersecurity?

Fokusbild Cybersecurity

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Bereich Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren. Weitere Inhalte zu diesem Fachgebiet finden Sie im

DKE Arbeitsfeld Cybersecurity

Beispiele für die hohe Bedeutung von Datensicherheit und Datenschutz