Kritische Infrastrukturen (KRITIS)

In einer Gesellschaft wo die technische Abhängigkeit größer ist als jemals zuvor und nahezu jeder Lebensbereich stark durch moderne Technik beeinflusst wird, rückt der Schutz kritischer Infrastrukturen (KRITIS) immer mehr in den Fokus. Dabei handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen und dessen Beeinträchtigung oder sogar kompletter Ausfall, dramatische Folgen hätte.

Grundlegende Versorgungsgüter wären in dem Zusammenhang beispielsweise Strom, der Voraussetzung für die industrielle Produktion ist, Trinkwasser, Lebensmittel aber auch die Kommunikations- und

Informationstechnik. Diese sind für einen flüssigen Betrieb zusätzlich auf Basisdienste und Zulieferer angewiesen also so genannte kritische Infrastrukturen (KRITIS).

Herausforderungen für Branchen aus dem KRITIS-Bereich

Welche Bereiche fallen unter KRITIS?

  • Energieversorgung
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur

IT-Sicherheitsgesetz 2.0

Laufen nun auch Software-Hersteller unter KRITIS? Das IT-Sicherheitsgesetz wird erweitert. Dreh- und Angelpunkt ist dabei die Absenkung der Schwelle, ab der eine Organisation, ein Unternehmen oder eine Einrichtung als „Kritische Infrastruktur“ eingestuft wird (von der „Versorgungskritikalität” hin zur „IT-Kritikalität”). Zusätzlich findet eine Ausdehnung auf weitere Branchen statt. Um die gesamte Lieferkette abzusichern, sollen darüber hinaus auch Zulieferer derart eingestufter Unternehmen in die Pflicht genommen werden. Was zur Folge hat, dass diese einer besonderen Meldepflicht unterliegen und müssen daher ein definiertes Mindestmaß an IT-Sicherheit einhalten.

Vor dem erstmaligen Einsatz einer Komponente muss eine Erklärung über die Vertrauenswürdigkeit gegenüber dem Betreiber der KRITIS abgegeben werden.

Wir, die OEDIV SecuSys GmbH, haben als Softwarehersteller im Bereich IT-Sicherheit die KRITIS-Vertrauenswürdigkeitserklärung in dem Zusammenhang und gebunden an die Einhaltung der Modellierungsvorgaben eines SecuIAM Kunden im Januar 2020 abgeben.

Papierflieger

Anforderungen an die IT-Sicherheit:

  • Auditierbarkeit der aktuellen Rechtevergabe
  • Zyklische Rezertifizierung der Zugriffsrechte
  • Zeitlich begrenzte Administrationsrechte
  • Rollentrennung sowie Risikomanagement

SecuIAM ist als IAM Teil von KRITIS

Die Zunahme der Digitalisierung offenbart neue Risiken. Gesteigerte digitale Kommunikation im und mit Unternehmen, digitalisierte Geschäftsprozesse durch intelligente Maschinen oder auch die Integration von Kunden und Geschäftspartnern in interne Prozesse bietet immer mehr Spielraum für Angriffe auf IT-Systeme. Grundsätzlich versuchen Cyber-Kriminelle durch Eindringen in die Unternehmens-IT, zu internen Usern zu werden. Gerne werden dafür vorhandene Accounts gekapert oder Angreigfende richten sich mit dessen Hilfe einen eigenen ein.

SecuIAM, als eine zentrale Steuerungsplattform für Berechtigungen aller User in den von SecuIAM verwalteten Systemen, ist bei sachgerechter Nutzung auch in der Lage, Cyber-Angriffe in konkrete Systeme schnell aufzudecken und zu unterbinden.

Dabei obliegt es dem Kunden, die von SecuIAM angebotenen Sicherheitsmaßnahmen, zu aktivieren und permanent zu nutzen.

Bedeutung von Präventionsmaßnahmen

Betroffenen fällt ein Sicherheitsleck oftmals erst auf, wenn Unbefugte ihr Unwesen mit Firmendaten treiben. In dem Moment ist der Schadensfall bereits eingetreten und es gilt, diesen schleunigst einzudämmen. Resultierende Imageeinbußen können häufig nicht mehr abgewendet werden oder aber dies ist mit einem immensen Aufwand verbunden.

Soweit muss es nicht kommen! Wer erkennt, dass Schutzmaßnahmen vor allem als Prävention und nicht erst als Reaktion sinnvoll sind, kann Angriffe und Schäden frühzeitig abwehren.