Zero Trust: Best Practices for Preventing Misunderstandings and Mistakes
Zero Trust can be perplexing when it devolves into just another marketing buzzword. Let’s clarify what it really means.
Die Energie- und Rohstoffkrise zeigt, wie bedeutend kritischen Infrastrukturen sind. Versorger, Stadtwerke und Verkehrsunternehmen sehen sich aber nicht nur mit steigenden Rohstoffpreisen und Lieferproblemen konfrontiert, sie stehen auch einem erhöhten Risiko für ihre IT-Sicherheit gegenüber. Der Absicherung ihrer Remote-Access-Verbindungen kommt dabei eine besonders wichtige Rolle zu.
Die letzten Jahre werden vielen Menschen lange in Erinnerung bleiben: Erst hat die Coronakrise die Gesundheitsbranche in den Fokus gerückt. Dann zeigte der Konflikt zwischen Russland und der Ukraine, wie wichtig die Energiebranche sowie unsere Versorger und Stadtwerke sind. Die in den genannten Bereichen aktiven Unternehmen gehören allesamt zu den sogenannten KRITIS.
Die Abkürzung KRITIS steht für „Kritische Infrastrukturen“. Damit sind Unternehmen und Organisationen gemeint, die für die Versorgung der Bevölkerung mit alltäglichen, lebensnotwendigen Dingen unerlässlich sind. Sie bilden damit nach einer Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) „die Grundlage für das Funktionieren unserer Gesellschaft“.
Schon im Jahr 2005 wurde UP KRITIS gegründet, eine „öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen“. Mehrere hundert Mitglieder sind mittlerweile im UP KRITIS aktiv. Sie arbeiten in unterschiedlichen Gremien sowohl sektorspezifisch als auch sektorübergreifend an technischen und organisatorischen Fragestellungen, etwa an der „Vorbereitung auf und Verhinderung von Sicherheitsvorfällen und Versorgungsausfällen“.
Die Mitglieder können sich dort zudem über aktuelle Vorfälle informieren und an Übungen teilnehmen. Zu den wichtigsten Themen im UP KRITIS zählt die Cybersicherheit. Neben der Sicherheit von IT und OT (Operational Technology) stehen auch die für den Betrieb eines ISMS (Information Security Management System) erforderlichen Prozesse im Vordergrund.
2011 haben sich der Bund und die Länder erstmals auf eine einheitliche Definition verständigt, was unter dem Begriff KRITIS überhaupt zu verstehen ist. Dabei legten sie neun Sektoren fest, die 2021 noch einmal um einen weiteren Sektor erweitert wurden.
Insgesamt gibt es damit zehn KRITIS-Sektoren:
Die einzelnen Sektoren wurden weiter in Branchen unterteilt. So gehören beispielsweise die Branchen Elektrizität, Gas, Mineralöl und Fernwärme zum Energiesektor. Die Dienstleistungen dieser Firmen reichen von der Versorgung mit Wärme und Kraftstoffen bis hin zum Strom. Die aktuellen Lieferengpässe, die auf den Ukraine-Konflikt zurückgehen, zeigen, wie unverzichtbar etwa die Versorgung mit Wärme ist. Niemand will im Winter frieren. Der öffentliche Nahverkehr, die Schifffahrt und der Flugverkehr sind für moderne Gesellschaften ebenso unverzichtbar. Sie müssen in jedem Fall ihre Business Continuity sicherstellen.
Aber nicht nur die unzureichende Versorgung mit Rohstoffen stellt eine Gefahr für die Betreiber kritischer Infrastrukturen dar. 2015 und 2016 erfolgten erstmals mehrere Cyberangriffe auf lokale Energieversorger sowie einen Übertragungsnetzbetreiber in der Ukraine. Damals kam es nach Angaben des BBK erstmals zu „bestätigten Stromausfällen durch Cybersabotage“. 2016 wurde auch der Industriekonzern Thyssenkrupp das Opfer einer groß angelegten Cyberattacke.
Vergangenes Jahr musste dann der amerikanische Pipeline-Betreiber Colonial Pipeline wegen einer umfangreichen Attacke mit Ransomware vorübergehend seinen Betrieb einstellen. Die US-Regierung erklärte daraufhin in Teilen des Landes den Notstand. Zahllose Tankstellen im Westen der USA konnten nicht mehr mit Treibstoff beliefert werden.
2015 trat in Deutschland das neue IT-Sicherheitsgesetz in Kraft. Es soll die „IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit machen“. Das hat für die Betreiber kritischer Infrastrukturen zur Folge, dass sie ihre IT-Systeme „angemessen sichern“ und auf dem „aktuellen Stand der Technik“ halten müssen. Wer das nicht schafft, muss mit empfindlichen Strafen rechnen. „Nur Virenscanner und Merkblätter reichen für eine gelebte IT-Sicherheit nicht aus“, betont Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Er fordert darüber hinaus, dass das Thema IT-Sicherheit tief in den Managementprozessen von Firmen verankert sein muss.
Betreiber kritischer Infrastrukturen müssen nach Ansicht des zuständigen Bundesamts für Sicherheit in der Informationstechnik (BSI) nach dem IT-Sicherheitsgesetz, dem BSI-Gesetz und der BSI-KRITIS-Verordnung folgende Maßnahmen umsetzen:
Aber wie sieht das in der Praxis aus? Eine der wichtigsten Schutzmaßnahmen für Versorgungsnetze ist, sie in Kapseln zu isolieren. Das erschwert aber nicht nur Angriffe, auch die Steuerung durch Mitarbeiter aus der Ferne wird komplizierter.
KRITIS benötigen eine leistungsstarke, sichere und professionelle Remote-Access-Umgebung, um ihre Mitarbeiter im Homeoffice abzusichern und ihre Produktivität nicht zu gefährden. NCP hat dafür mit der NCP Secure Enterprise Solution eine geeignete Lösung entwickelt. Die modular aufgebaute Plattform umfasst ein zentralisiertes Remote-Access-Management, ein hybrides SSL/IPSec-VPN-Gateway sowie ebenfalls zentral verwaltete Personal Firewalls.
Im Kern besteht die Lösung aus einem Management-Server sowie einer Management-Konsole mit grafischer Oberfläche. Für alle wichtigen Betriebssysteme (Windows, macOS, iOS, Android und Linux) stehen gehärtete Clients zur Verfügung, die sich vom Management-Server aus verwalten und konfigurieren lassen. Optional ist auch ein Back-up-Management-Server verfügbar, der gerade in kritischen Umgebungen die Hochverfügbarkeit der Lösung garantiert. Ein integrierter Replikationsdienst sorgt dafür, dass sich der Back-up-Server immer auf dem aktuellen Stand befindet.
Derzeit scheint eine Krise auf die andere zu folgen. Das hat die Betreiber kritischer Infrastrukturen weiter ins Visier von Cyberangreifern gerückt. Aber die Behörden haben auch die geltenden Gesetze und Bestimmungen verschärft. KRITIS, die sich nicht an sie halten und zum Beispiel ihre Remote-Verbindungen nicht ausreichend vor Attacken schützen, drohen nicht nur direkte Schäden. Sie müssen nun auch mit empfindlichen Strafen rechnen.
Jetzt mehr erfahren zur NCP Secure Enterprise Solution!