Home » Fachbeiträge » KRITIS » KRITIS: Weite Kreise und enge Vorgaben

Warum Dokumentationsmanagement in Rechenzentren zur Chefsache wird: KRITIS: Weite Kreise und enge Vorgaben

Fehler oder Lücken in der Dokumentation von IT-Systemen in Rechenzentren sind riskant, schließlich verzögern sie im Ernstfall schnelles Handeln. Zudem können sie zu erheblichen Strafen führen, sobald Unternehmen zur kritischen Infrastruktur unseres Landes zählen.

4 Min. Lesezeit
Foto: © AdobeStock/Pixel in Mind

Mit der Umsetzung der NIS-2-Richtlinie der Europäischen Union steigt die Zahl der Unternehmen, die in Deutschland den KRITIS-Pflichten unterliegen und somit direkt handeln müssen auf bis zu 29.000 Unternehmen. Die gute Nachricht: Unternehmen, die ihr Dokumentationsmanagementsystem mit der Technologie des Digitalen Zwillings kombinieren, aktualisieren ihre IT-Dokumentation doppelt so schnell und verfügen jederzeit über aktuelle Daten.

Cyberattacken erfordern Handeln

Immer mehr Unternehmen und Organisationen werden Opfer von Cyberattacken – zum Teil mit immensen wirtschaftlichen und gesellschaftlichen Schäden.  Um diese Bedrohungen einzudämmen und einheitliche Sicherheitsstandards in Europa zu forcieren, erweiterte die Europäische Union Ende 2022 die bislang gültige Network and Information Security (NIS) Richtlinie signifikant. NIS 2 fasst nicht nur den Kreis der Organisationen und Unternehmen, die zur kritischen Infrastruktur zählen, deutlich weiter. Sie definiert Mindeststandards, die in Hinblick auf die Cybersicherheit kritischer Infrastrukturen eingehalten werden müssen und legt Strafen fest, sollten diese missachtet werden.

Für die europäischen Mitgliedsstaaten gilt es nun, die Vorgaben des vom Europäischen Rat und dem Europäischen Parlament veröffentlichten Regelwerks bis Oktober 2024 in national geltendes Recht umzusetzen. In Deutschland wurden bereits Teile von NIS 2 im IT-Sicherheitsgesetz vorweggenommen, dessen Übergangsfrist im Mai 2023 endete. Fehlende Bestandteile sollen noch in diesem Jahr durch das NIS-2-Umsetzungsgesetz ergänzt werden. Was bedeuten diese Anpassungen für Unternehmen und Organisationen in Deutschland ganz konkret?

NIS 2 erweitert KRITIS

Ein wesentlicher Unterschied zu dem bisherigen IT-Sicherheitsgesetz sind die definierten Schwellen und Sektoren, die zur kritischen Infrastruktur zählen: Waren bislang nur rund 1.600 Unternehmen als Teil der kritischen Infrastruktur registriert, werden nach dem Inkrafttreten des NIS2-Umsetzungsgesetzes mehr als 29.000 Unternehmen die KRITIS-Kriterien erfüllen. Sie sind damit verpflichtet, sich als Teil der kritischen Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Mit dieser Registrierung als KRITIS-Betreiber gehen Pflichten im Bereich der Cyber-Security einher, die mit einer Frist von zwei Jahren nach der Registrierung umgesetzt werden müssen. Nach §8a des BSI-Gesetzes müssen KRITIS-Betreiber die Einhaltung der Pflichten alle zwei Jahre prüfen lassen, um das Zertifizierungssiegel zu erhalten. Der Aufwand für die Unternehmen ist signifikant, schließlich gehen die Regelungen noch über die ISO27001 Norm hinaus.

Dokumentation kostet Zeit

Jörg Hesselink, CEO Von DC Smarter, erklärt dazu: „Für viele Unternehmen beginnt die Herausforderung bei der Dokumentation der vorhandenen IT-Systeme. Nach dem Motto ‚Du kannst nicht schützen, was Du nicht kennst‘ müssen gerade KRITIS-Betreiber nicht nur wissen, welche IT-Systeme sie betreiben, sie müssen exakt dokumentieren, wo sich die Komponenten befinden.“ Zwar bieten Discovery Tools die Option, Netzwerkscans durchzuführen, allerdings liefern diese nur die logische Struktur des Netzwerks. Wo sich die Komponenten physisch befinden, erkennt die Software nicht. Zudem sind Netzwerk-Scanner in sicheren Netzen häufig nicht erlaubt.

Selbst wenn die Unternehmen ein Data Center Infrastructure Management (DCIM)-System nutzen, lautet die Konsequenz: Sämtliche IT-Systeme müssen in regelmäßigen Abständen über eine klassische Inventarisierung erfasst werden, um die KRITIS-Anforderungen zu erfüllen. „Große Unternehmen rechnen bis zu vier Monate pro Jahr für ein Teammitglied, um die weltweite Dokumentation der IT-Systeme zu pflegen“, weiß Jörg Hesselink. Erfolgt die Inventarisierung zu bestimmten Stichtagen, können zudem Lücken entstehen, in denen die Dokumentation im Notfall nicht auf dem aktuellen Stand ist.

Digitalisierung mit Digitalem Zwilling

Elegant lösen lässt sich dieses Problem mit der Technologie des Digitalen Zwillings, erklärt Jörg Hesselink: „Eine regelmäßige Aktualisierung der Dokumentation über die Technologie des Digitalen Zwillings gewährleistet, dass die Dokumentation jederzeit aktuell ist und halbiert gleichzeitig den zeitlichen Aufwand.“ Das Konzept des Digitalen Zwillings für IT-Systeme im Rechenzentrum basiert auf einer digitalen Abbildung des physischen Rackaufbaus, die mit alle technischen und organisatorischen Informationen zu den verbauten Komponenten angereichert wird. Die entsprechenden Softwarelösungen, wie beispielsweise DC Vision, bieten über Mixed Reality die Option, schnell und einfach auf die Daten zuzugreifen.

Hält man ein mobiles Endgerät vor das Rack, erscheint die exakte 3D-Darstellung aller Komponenten, die relevanten Informationen werden eingeblendet und können direkt aktualisiert werden. Prüfungen und Updates der aktuellen Dokumentation lassen sich damit bei jedem Arbeitsauftrag von IT- oder Technikteam vor Ort – ohne Medienbruch – direkt im entsprechenden System vornehmen. Idealerweise bietet die Software des Digitalen Zwillings Schnittstellen zu allen gängigen DCIM-Tools, so dass sich die Informationen in Echtzeit in die Dokumentation einpflegen lassen. Durch die gemeinsame Datenbasis von Technik und IT werden Reibungspunkte und Informationsverluste vermieden.

Schnelles Handeln ist gefragt

Unternehmen, die gemäß NIS 2 zur kritischen Infrastruktur unseres Landes zählen, sollten jetzt die Digitalisierung ihrer Dokumentationsprozesse starten. Sie schützen sich damit nicht nur effizienter vor realen Bedrohungen im Cyber-Raum, die das BSI im Bericht zur Lage der IT-Sicherheit in Deutschland für 2022 als „so hoch wie nie“ einschätzt (BSI, 2022, S.11), sie vermeiden auch Strafen und sparen langfristig Zeit und Geld.

Einige große Unternehmen haben die Dimension der Herausforderungen schon erkannt, doch ähnlich wie bei der Umsetzung der Datenschutz-Grundverordnung befürchtet Jörg Hesselink, dass vielen Betroffenen die Dringlichkeit erst kurz vor Fristende bewusst werden wird: „Wer jetzt mit der Implementierung eines Digitalen Zwillings startet, ist bis Oktober 2024 gut aufgestellt und sieht dem Termin entspannt entgegen. Gleichzeitig profitieren die Unternehmen sehr schnell von den daraus resultierenden Einsparungen.

Über die Einhaltung rechtlicher Bestimmungen und Schutz vor Bedrohungen hinaus, lassen sich die entsprechenden Softwaresysteme übrigens nutzen, um den Rechenzentrumsbetrieb zu optimieren und nachhaltiger zu gestalten. Werden über die Digital Twin-Anwendungen zusätzlich allgemeine Sensordaten beispielsweise Umgebungsparameter erfasst, können diese mittels Künstlicher Intelligenz ausgewertet werden.“

Jörg Hesselink

Jörg Hesselink ist CEO von DC Smarter und verfügt als erfahrener IT-Leiter über umfangreiche Expertise im Management und Betrieb von IT-Infrastrukturen.

Dagmar Ecker

Dagmar Ecker ist Inhaberin von claro! Text und PR. Als Fachjournalistin schreibt sie überwiegend zu Themen aus den Bereichen IT und Maschinenbau.

Andere interessante Fachbeiträge

Hacker stielt Daten aus Laptop

Learnings aus dem Microsoft Crashdump-Hack

Wenn in einem der sichersten IT-Support-Center der internationalen Softwareindustrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

Porträt Mann mit verwundertem Blick

Raus aus der Opfer-Starre

Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungskräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheitssoftware gefragt. Hier setzen Methoden des Change-Managements an.

Zwei ineinanderliegende Masken, Deepfakes

Wie Cyberkriminelle und der Einsatz von KI unsere Sicherheit bedrohen

Der Global Risk Report des Weltwirtschaftsforums wählte KI-gepowerte Informationsmanipulation zum größten Risiko des Jahres, weil generative künstliche Intelligenz (KI) durch Deepfakes, Fake News und ultrapersonalisierte Wahlwerbung die Demokratie gefährden kann. Doch KI hat noch viel mehr Risiken.