Anzeige

Anzeige

VERANSTALTUNGEN

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Richterhammer auf TastaturNur ein Viertel der Betreiber Kritischer Infrastrukturen ist nach eigener Einschätzung aktuell in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. So lautet ein zentrales Ergebnis einer aktuellen CyberArk-Untersuchung.

Der Sicherheitssoftware-Anbieter CyberArk führt jährlich eine globale Untersuchung zu Themen rund um Cyber-Sicherheit durch. In diesem Jahr wurden dabei in Deutschland erstmals auch Betreiber Kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Die Untersuchung ergab, dass nur 25 Prozent bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im "Prozess der Vorbereitung" befinden. Im Umkehrschluss bedeuten diese Zahlen aber auch, dass 30 Prozent sich mit dem Thema überhaupt noch nicht auseinandergesetzt haben beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.

"Etwas beunruhigend sind diese Zahlen schon", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "Natürlich hat das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen ist. Doch dies gilt zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliegt. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein."

Im IT-Sicherheitsgesetz wird von Betreibern Kritischer Infrastrukturen gefordert, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden."

"Das wirft natürlich die Frage auf: Was heißt hier Stand der Technik?", so Kleist. "Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden."

Prinzipiell müssen Betreiber Kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden. "Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen. Der Grund: Nahezu alle größeren Angriffe der jüngsten Vergangenheit sind auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen."

Auch das BSI weist wiederholt auf die Schwachstelle privilegierte Benutzerkonten hin. Im aktuellen Themenpapier "Ransomware: Bedrohungslage, Prävention & Reaktion" etwa führt die Bundesbehörde aus, dass "bei Ransomware-Vorfällen (...) Versäumnisse bei der Prävention deutlich aufgezeigt" werden; explizit genannt werden hier unter anderem "schwache Administrator-Passworte".

Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es nach CyberArk unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. "Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein", so Kleist, "da dabei menschliche Fehler unvermeidbar sind und Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren werden. Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen."

www.cyberark.de
 

GRID LIST
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…
Richterhammer

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…