Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
KRITIS: Cybersicherheit für Versorgungsunternehmen
Serie „Cybersicherheit & KRITIS“: Bei Versorgungsunternehmen muss das Homeoffice Teil eines ganzheitlichen Sicherheitskonzepts sein
Aktuelle Cyberangriffe zielen auch auf die kritischen Infrastrukturen (KRITIS): Weil der Ausfall von Versorgungsunternehmen gravierende Folgen haben kann, erwarten Cyberkriminelle hohe Lösegelder. Staaten zielen währenddessen darauf ab, den Gegner durch erfolgreiche Cyberattacken zu destabilisieren. Was die Einfallstore sein können und wie mögliche Gegenmaßnahmen aussehen, beleuchten wir in den nächsten Wochen mit mehreren Beiträgen zur Cyber-Bedrohungslage im KRITIS-Bereich.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf eine angespannte Gesamtbedrohungslage in Deutschland hingewiesen, die sich mit Blick auf den Krieg in der Ukraine nochmals verschärft. Auch andere Regierungsstellen wie das britische National Cyber Security Centre (NCSC) oder das US Department of Homeland Security (DHS) haben gemeldet, dass zuletzt die Zahl der Cyberbedrohungen deutlich gestiegen ist. Versorgungsunternehmen brauchen deshalb ganzheitliche Konzepte für die Cybersicherheit. In unserer Serie geben wir erst einen Überblick, bevor wir auf einzelne Aspekte der Cybersicherheit zu sprechen kommen.
IT und OT – Cyber Security der Bedrohungslage anpassen
Die Versorgungsunternehmen betreiben erstens die OT – operative Technologie, zu der Wasserleitungen, Stromleitsysteme, Turbinen etc. gehören. Zahlreiche Anlagen und Systeme stammen noch aus der Vor-Internet-Ära. Doch die OT-Systeme werden digitaler und damit vernetzter. Prozesse werden digital gesteuert und überwacht – was in der heutigen Zeit normal ist. Die Vorteile in Bezug auf Kosten und betriebliche Effizienz sind so groß, dass Unternehmen sie quasi nutzen müssen.
„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit großer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zweitens betreiben Versorgungsunternehmen die IT für die Administration von Netzwerken, Hard- und Software. Mit der IT verwalten sie die Webseite, ERP- und Marketingsoftware, die Kundendaten mit allen persönlichen Informationen wie Adressen, Kontoverbindungen, Verträgen etc. Das unterscheidet Versorgungsunternehmen nicht von den meisten anderen Unternehmen. Die Daten sind einerseits sensibel und anderseits für den Geschäftsbetrieb notwendig, daher ist die IT von zentraler Bedeutung für die Business Continuity und sie braucht Schutzkonzepte, mit denen mögliche Lücken geschlossen werden.
Das BSI rät den Versorgungsunternehmen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der Bedrohungslage anzupassen. Wir starten bei diesem ersten Teil der Serie mit dem Homeoffice.
Exkurs – die sieben Pflichten aus dem IT-Sicherheitsgesetz
Das bisherige IT-Sicherheitsgesetz umfasste fünf Pflichten, doch die KRITIS-Organisationen müssen ab Mai 2023 die schärferen Vorgaben des IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erfüllen.
- Meldepflicht für Störungen oder erhebliche Beeinträchtigungen der IT
- Registrierung kritischer Infrastrukturen beim BSI
- IT-Sicherheit aktuell halten
- Auskunftspflicht gegenüber dem BSI
- Regelmäßige Sicherheitsaudits, Prüfungen und Zertifizierungen
- Kritische Systemkomponenten brauchen eine Garantieerklärung über die Vertrauenswürdigkeit des Herstellers und müssen inventarisiert werden
- Systeme zur Angriffserkennung müssen installiert sein
Homeoffice – VPN sichert Zugriffe ab
Gerade bei Versorgungsunternehmen ist die Sicherheit eine strategische Aufgabe. Jedes Angriffsszenario sollte bewertet werden: Was sind die Risiken? Welche Schäden könnten potenziell entstehen? Weil Homeoffice und mobiles Arbeiten via Laptop zum „New Normal“ geworden sind, schauen wir genauer hin – wie sichern Versorgungsunternehmen das mobile Arbeiten ab?
Schadsoftware kommt beispielsweise auf einen Rechner, wenn der Anwender auf einen Link oder Anhang einer Pishingmail klickt, wenn der Rechner nicht gepatcht ist, die Firewall einen Port offenlässt oder die Antivirensoftware nicht aktuell ist.
Für eine optimale Sicherheit gilt es erstens, die Anwender zu sensibilisieren und zu schulen, damit sie erkennen, wann ein Risiko besteht. Zweitens sollte jegliche Software auf dem neuesten Stand sein. Ein vertrauenswürdiges VPN-System prüft jeden Rechner, jedes Mobilgerät (jeden Client), den sogenannten Endpoint, bevor er eine Verbindung zum Firmennetzwerk herstellt.
Dieser Endpoint Policy Check umfasst bei Lösungen wie der NCP Enterprise Solution nicht nur technische Aspekte wie die Patches: hier wird beispielsweise geprüft, ob die Software und das Betriebssystem aktuell sind. Erfüllt ein Endgerät die Policy-Anforderungen nicht, wird die Verbindung zum Firmenserver so lange verwehrt, bis das Gerät die nötigen Software-Updates erhalten hat.
Die Authentifizierung des Anwenders erfolgt über das Management vorab mithilfe von Multi-Faktor-Authentifizierung (MFA). So kann das System im ergänzenden Abgleich mit Maschinenzertifikaten sicher sein, dass der richtige Anwender Zugriff erhält. Es erkennt, welcher Gruppe er angehört und gewährt die entsprechenden Zugriffsrechte – mal auf mehr Daten, mal auf weniger. Die Rollen werden komfortabel zentral über eine Management-Konsole verwaltet.
Mit solchen Technologien, die über die zentrale Management-Konsole auch gezielt Updates auf allen oder bestimmten Rechnern einspielen, bleiben KRITIS-Unternehmen aktuell, sichern den Datenverkehr und die Business Continuity ab. MFA und Endpoint Policy Checks sind heute ein fester Bestandteil in einem Sicherheitskonzept – gerade bei KRITIS.
Fazit: Cyberschutz prüfen und anpassen
„Die Bedrohungslage im Cyberraum wächst jeden Tag“, sagte Bundesinnenministerin Faeser kürzlich und kündigte eine Cybersicherheitsagenda an, bei der auch vertrauenswürdige Technik eine Rolle spielt – gerade mit Blick auf Angriffe, die auf die komplexe IT-Lieferkette abzielen. Bei diesen Supply-Chain-Angriffen versuchen Hacker Schadcode in die Software zu schleusen, der sich dann über Updates bei den Anwendern schnell ausbreitet. Diese und auch Angriffsszenarien über die Endpoints im Homeoffice müssen Versorgungsunternehmen nun analysieren und Schutzmaßnahmen ergreifen, wenn nötig.
Die Idee hinter dem Modell von Zero-Trust (vertraue keinem User, Endgerät oder Zugriff ungeprüft) ist ab 2025 vorgeschrieben und wird verpflichtend. Moderne VPN-Lösungen tragen ihren Teil dazu bei.
Im nächsten Teil der Serie stellen wir konkrete Cyberangriffe vor und wie die betroffenen KRITIS-Unternehmen sie gemanagt haben.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.