Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Richterhammer auf TastaturNur ein Viertel der Betreiber Kritischer Infrastrukturen ist nach eigener Einschätzung aktuell in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. So lautet ein zentrales Ergebnis einer aktuellen CyberArk-Untersuchung.

Der Sicherheitssoftware-Anbieter CyberArk führt jährlich eine globale Untersuchung zu Themen rund um Cyber-Sicherheit durch. In diesem Jahr wurden dabei in Deutschland erstmals auch Betreiber Kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Die Untersuchung ergab, dass nur 25 Prozent bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im "Prozess der Vorbereitung" befinden. Im Umkehrschluss bedeuten diese Zahlen aber auch, dass 30 Prozent sich mit dem Thema überhaupt noch nicht auseinandergesetzt haben beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.

"Etwas beunruhigend sind diese Zahlen schon", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "Natürlich hat das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen ist. Doch dies gilt zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliegt. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein."

Im IT-Sicherheitsgesetz wird von Betreibern Kritischer Infrastrukturen gefordert, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden."

"Das wirft natürlich die Frage auf: Was heißt hier Stand der Technik?", so Kleist. "Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden."

Prinzipiell müssen Betreiber Kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden. "Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen. Der Grund: Nahezu alle größeren Angriffe der jüngsten Vergangenheit sind auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen."

Auch das BSI weist wiederholt auf die Schwachstelle privilegierte Benutzerkonten hin. Im aktuellen Themenpapier "Ransomware: Bedrohungslage, Prävention & Reaktion" etwa führt die Bundesbehörde aus, dass "bei Ransomware-Vorfällen (...) Versäumnisse bei der Prävention deutlich aufgezeigt" werden; explizit genannt werden hier unter anderem "schwache Administrator-Passworte".

Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es nach CyberArk unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. "Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein", so Kleist, "da dabei menschliche Fehler unvermeidbar sind und Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren werden. Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen."

www.cyberark.de
 

GRID LIST
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Trojaner

Neuer Mining-Trojaner für Linux entdeckt

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist…
Smarte News aus der IT-Welt