Anzeige

KRITIS

Weil sie für den reibungslosen Betrieb unserer Gesellschaft so wichtig sind, stellen Kritische Infrastrukturen besonders beliebte Ziele für Cyber-Angriffe dar.

Die Angst vor der Manipulation der COVID-Impfstoffversorgung oder der aktuellen Ransomware-Angriffe gegen Kraftstoff-Pipeline-Systeme sind nur zwei hochaktuelle Beispiele für die Cyber-Herausforderungen, denen sich Betreiber von Kritischen Infrastrukturen (KRITIS) gegenübersehen. Wie sich KRITIS effektiv absichern können, verrät Tanja Hofmann, Lead Security Engineer bei McAfee Enterprise.

Die jüngsten Vorfälle zeigen: Immer mehr Branchen und Unternehmen mit Kritischen Infrastrukturen – selbst jene, von denen man es auf dem ersten Blick nicht erwarten würde – sind von Informationssystemen abhängig, um den Betrieb und somit auch die Gesellschaft aufrechtzuerhalten. Mit zunehmender Digitalisierung und Vernetzung machen sie sich jedoch auch angreifbarer für Cyber-Kriminelle.

Unter Kritischen Infrastrukturen – kurz KRITIS – versteht man Unternehmen bzw. Einrichtungen, die einen essentiellen Beitrag zum staatlichen Gemeinwesen leisten. Diese lassen sich laut Bund neun Sektoren zuordnen: Staat und Verwaltung, Energie, Wasser, Gesundheitswesen, Informationstechnik und Telekommunikation, Transport und Verkehr, Finanz- und Versicherungswesen, Ernährung sowie Medien und Kultur. Kommt es in Unternehmen dieser Branchen zu erheblichen Störungen oder gar Ausfällen, kann sich dies durch Versorgungsengpässe oder die Beeinträchtigung der öffentlichen Sicherheit schwerwiegend und nachhaltig auf die Gesellschaft auswirken.

Handlungsmaßnahmen zur Absicherung Kritischer Infrastrukturen

Das IT-Sicherheitsgesetz des Bundesministeriums trat 2015 in Kraft und legt verbindliche Mindestanforderungen an die IT-Sicherheit Kritischer Infrastrukturen fest und erst im vergangenen Mai billigte der Bundesrat das IT-Sicherheitsgesetz 2.0, um Schutzmechanismen und Abwehrstrategien weiter zu erhöhen. Außerdem stehen betroffene Unternehmen seitdem in der Pflicht, IT-Sicherheitsvorfälle zu melden. Auf diese Weise soll sichergestellt werden, dass KRITIS zunehmenden Cyber-Bedrohungen effektiv entgegenwirken können. Trotzdem ist zu bedenken, dass jede Branche aufgrund unterschiedlicher Regulierungsgrade ihre eigenen, individuellen Anforderungen besitzen, um ihre Netzwerke abzusichern.

 

 

Mithilfe der folgenden drei Maßnahmen können Organisationen und Unternehmen wesentlich zur Verbesserung ihrer Sicherheit beitragen:

1. Security by Design: Sicherheit von Anfang an

Oftmals können die IT-Systeme Kritischer Infrastrukturen später nicht mehr gepatcht oder geändert werden, da Unternehmen dann mit schwerwiegenden Ausfällen zu rechnen haben. Nachträgliche Änderungen der Systeme können außerdem dazu führen, dass sie – oder zumindest bestimmte Komponenten der Systeme – damit ihre ursprüngliche Betriebserlaubnis verlieren. Daher ist es wichtig, bereits vor der Installation dieser IT-Umgebungen Hersteller und Anbieter zu wählen, die den Sicherheitsaspekt von Anfang an und während des gesamten Entwicklungsprozesses berücksichtigen. Durch diesen „Security-by-Design“-Ansatz erhalten KRITIS Gerätschaften oder Systeme an die Hand, die vorkonfiguriert und sicher einsatzbereit sind.

2. Mehrschichtige Strategie und technische Lösungen: Ganzheitlich sicher

Sollte doch erst im Nachhinein, also nach Installation, für Sicherheitsmaßnahmen gesorgt werden müssen, bedarf es technischer Lösungen, die den Betrieb bereits bestehender Kritischer Infrastrukturen nicht gefährden und gleichzeitig ganzheitlich schützen. Netzwerksegmentierung und Whitelisting-Lösungen sind erste wichtige Elemente, reichen allein jedoch nicht aus. Um die gesamte IT-Umgebung Kritischer Infrastrukturen nachhaltig und effektiv zu schützen, braucht es eine mehrschichtige und ganzheitliche Sicherheitsstrategie. Diese reicht von der Bewertung bereits existierender Cyber-Sicherheitsmaßnahmen über IT-Pentests – also die Simulation eines Cyber-Angriffs im Betriebskontext – bis hin zu technischen Lösungen. Security Information and Event Management Tools (SIEM) erkennen Anomalien in Datenströme und identifizieren dadurch potenzielle Bedrohungen. In Sachen Cyber-Sicherheit darf die Absicherung von Cloud-Systemen heutzutage nicht zu kurz kommen: Ganzheitliche Cloud- und Device-to-Cloud-Lösungen nutzen die Stärken von Data Loss Prevention (DLP), Cloud Access Security Brokern (CASB) und Secure Web Gateways, um für umfassende Sicherheit zu sorgen – und das, ohne Ausfallzeiten riskieren zu müssen.

3. Cyber-Sicherheitsverbände: Gemeinsam stark

Unternehmen mit Kritischen Infrastrukturen können von einer Mitgliedschaft in Verbänden oder Kooperationen maßgeblich profitieren. So konzentriert sich beispielsweise der öffentlich-private Umsetzungsplan (UP) KRITIS vornehmlich auf KRITIS und fördert den Austausch dieser zumeist privaten Unternehmen. Zentrale Ziele des UP KRITIS sind unter anderem die Kommunikation über Cyber-Vorfälle, die Sensibilisierung und Aufklärung hinsichtlich der aktuellen Bedrohungslage, der Ausbau von Krisen-Management-Strukturen sowie die Durchführung von Notfallübungen.

www.mcafee.com/de


Artikel zu diesem Thema

Digitalisierung
Jun 15, 2021

Wachsende Unzufriedenheit mit Digitalisierungsgrad

Die Unzufriedenheit vieler Bürger mit der schleppenden Digitalisierung der öffentlichen…
Ransomware
Mai 10, 2021

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke…
Sicherheit - Gesetz
Apr 23, 2021

IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf

Der Bundestag berät heute (Freitag, 23.04. ) abschließend über das IT-Sicherheitsgesetz…

Weitere Artikel

Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…
Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.
Cyber Security

Cyber-Sicherheit 2021 bis 2025 – „Große Chance verpasst!”

CyberDirekt, eine digitale Vertriebsplattform für Cyber-Versicherungen, zieht anlässlich der Vorstellung des Koalitionsvertrags der zukünftigen Regierungsparteien SPD, Bündnis90/Die Grünen und FDP ein ernüchterndes Fazit. Die deutsche Wirtschaft, Garant für…
Cyber Security

US-Regierung sollte bei Privatwirtschafts-Schutz größere Rolle spielen

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner aktuellen Umfrage vor. Darin wurden die Maßnahmen der US-Bundesregierung zur Verbesserung der Cybersicherheit im Jahr 2021 evaluiert.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.