SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Richterhammer auf TastaturNur ein Viertel der Betreiber Kritischer Infrastrukturen ist nach eigener Einschätzung aktuell in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. So lautet ein zentrales Ergebnis einer aktuellen CyberArk-Untersuchung.

Der Sicherheitssoftware-Anbieter CyberArk führt jährlich eine globale Untersuchung zu Themen rund um Cyber-Sicherheit durch. In diesem Jahr wurden dabei in Deutschland erstmals auch Betreiber Kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Die Untersuchung ergab, dass nur 25 Prozent bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im "Prozess der Vorbereitung" befinden. Im Umkehrschluss bedeuten diese Zahlen aber auch, dass 30 Prozent sich mit dem Thema überhaupt noch nicht auseinandergesetzt haben beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.

"Etwas beunruhigend sind diese Zahlen schon", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "Natürlich hat das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen ist. Doch dies gilt zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliegt. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein."

Im IT-Sicherheitsgesetz wird von Betreibern Kritischer Infrastrukturen gefordert, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden."

"Das wirft natürlich die Frage auf: Was heißt hier Stand der Technik?", so Kleist. "Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden."

Prinzipiell müssen Betreiber Kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden. "Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen. Der Grund: Nahezu alle größeren Angriffe der jüngsten Vergangenheit sind auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen."

Auch das BSI weist wiederholt auf die Schwachstelle privilegierte Benutzerkonten hin. Im aktuellen Themenpapier "Ransomware: Bedrohungslage, Prävention & Reaktion" etwa führt die Bundesbehörde aus, dass "bei Ransomware-Vorfällen (...) Versäumnisse bei der Prävention deutlich aufgezeigt" werden; explizit genannt werden hier unter anderem "schwache Administrator-Passworte".

Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es nach CyberArk unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. "Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein", so Kleist, "da dabei menschliche Fehler unvermeidbar sind und Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren werden. Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen."

www.cyberark.de
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet