Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
itsa 2025 36 itsa Magazine 2025 www markttechnik de Cybersecurity in Militärund KRITIS-Anwendungen »Security muss im Systemkern verankert sein« Für Anwendungen in Militär und kritischer Infrastruktur KRITIS ist Cybersecurity besonders wichtig Doch wo genau liegen die Herausforderungen wie lässt sich ihnen begegnen und welche Normen und Regularien gibt es hierzu? Dennis Nejdrowski Geschäftsführer und CCO der iesy GmbH informiert itsa Magazine Welche Herausforderungen für die Cybersecurity in militärischen und KRITIS-Anwendungen gibt es derzeit? Dennis Nejdrowski Generell hat sich das Angriffsrisiko wegen der Zunahme auch staatlich gesteuerter Angriffe auf militärische und KRI-TIS-Lokalitäten durch Sabotage oder Spionage erhöht Die Komplexität der Angriffsflächen ist ebenfalls gewachsen Durch verstärkte Vernetzung unterschiedlicher Systeme etwa Data Center mobile Endgeräte und Clouds entstehen mehr potenzielle Einfallstore Viele kritische Systeme sind zudem veraltet und halten gängigen Angriffsszenarien nicht ohne weiteres Stand Unter physischen Angriffen sind Manipulation Side-Channel-Angriffe und Firmware-Tampering zu verstehen Hinzu kommen Risiken in der Supply Chain und zwar die Manipulation von Hardwareund Software-Komponenten entlang globaler Lieferketten sowie geopolitische Abhängigkeiten wie etwa der schwelende China-Taiwan-Konflikt oder bestehende Exportkontrollen Hohe regulatorische Anforderungen vor allem auf nationaler Ebene führen ferner dazu dass Commercialofftheshelf-Lösungen COTS oft nicht ohne Weiteres einsetzbar sind Folglich müssen Fulloder Semi-Custom-Solutions entwickelt werden was zu einem zeitlichen Verzug führen kann Welche Herausforderungen sind in absehbarer Zukunft zu erwarten? Zukünftige Herausforderungen entstehen beispielsweise aus Quantencomputing und Post-Quanten-Kryptographie Bestehende Verschlüsselungs-Mechanismen müssen stets weiterentwickelt werden Auch autonome Systeme und KI eröffnen potenziell mehr Angriffsflächen – man denke an autonome Drohnen Fahrzeuge und Entscheidungsunterstützungs-Systeme Mehr noch KI kann auch direkt Cyberangriffe unterstützen und automatisierte Angriffe mit Hilfe von KI sind schwer erkennbar Ein immer wichtigeres Szenario sind Cyber-Physical Attacks also die zunehmende Kombination physischer und digitaler Angriffe auf KRITIS Mit welchen technologischen organisatorischen oder strategischen Ansätzen lässt sich diesen Herausforderungen wirksam begegnen? Zu den technologischen Ansätzen gehört Security by Design Eine auf Security ausgerichtete Architektur mit Merkmalen wie zum Beispiel Trusted Boot Secure Enclaves und Hardware-Rootof-Trust ist von Beginn an einzuplanen Wichtig ist auch die Härtung von Embedded-Systemen also deren Schutz vor Manipulation unter anderem mittels Secure Firmware kryptografisch signierter Updates und physischen Schutzes Ein weiterer wesentlicher Aspekt ist Monitoring und Anomalie-Erkennung – hier können meines Erachtens KIbasierte Systeme künftig zur Angriffserkennung entscheidende Unterstützung leisten Auf organisatorischer Ebene spielen die Schulung und Sensibilisierung der Mitarbeiter eine zentrale Rolle Alle Beschäftigten sollten regelmäßig zu Cyber-Bedrohungen typischen Angriffsmethoden z B Phishing und sicherem Verhalten im Arbeitsalltag geschult werden Ziel ist es ein hohes Sicherheitsbewusstsein in der gesamten Organisation zu verankern damit potenzielle Gefahren frühzeitig erkannt und gemeldet werden können Zu den strategischen Ansätzen gehört Resilienz statt nur Prävention Systeme sind so zu designen dass sie Angriffe erkennen abmildern und proaktiv abwehren können Als bedeutsam erweisen sich stets auch Kooperationen und Partnerschaften mit nationalen und internationalen Partnern die unterschiedliche Schwerpunkte setzen Welche regulatorischen Vorgaben Normen und Standards sind im Bereich Cybersecurity für Defenseund KRITIS-Anwendungen aktuell maßgeblich? Wie entwickeln sie sich derzeit weiter? Aus Sicht unserer Kunden und somit in Bezug auf unsere Produktlösungen maßgeblich sind der vom Bundesamt für Sicherheit in der Informationstechnik BSI entwickelte IT-Grundschutz und die BSI-KRITIS-Verordnung die festlegt welche Anlagen und Dienste in Deutschland als »Kritische Infrastrukturen« gelten Sie beide bilden ein Rahmenwerk für die IT-Sicherheit Auf der internationalen Ebene grundlegend sind die ISO IEC-Normen 27001 und 62443 für Informationssicherheits-Management und industrielle Automatisierung Für spezifische militärische Anforderungen etwa an Verschlüsselung und Interoperabilität sind die NATO-STANAGs Standardization Agreements und MIL-Standards entscheidend In Zukunft werden aus meiner Sicht die NIS-2-Richtlinie und der Cyber Resilience Act CRA der EU verbindlich anzuwenden sein Die Post-Quanten-Kryptographie wird vermutlich von der Standardisierung des National Institute of Standards and Technology NIST in den USA abgedeckt werden – für die Zukunft ist also auch eine Anpassung von Krypto-Standards zu erwarten Dennis Nejdrowski iesy „ Nur wenn Sicherheit im Systemkern verankert ist ist sie wirklich robust “