Der Inside-Out-Sicherheits Blog Blog   /     /  

Nur gut für kritische Infrastrukturen? Warum IT-Sicherheit strategische Priorität braucht

Nur gut für kritische Infrastrukturen? Warum IT-Sicherheit strategische Priorität braucht

IT-Sicherheitsgesetz für kritische Infrastrukturen

Am 12. Juni 2015 hat der Bundestag das seit über zwei Jahren diskutierte IT-Sicherheitsgesetz verabschiedet und am 10. Juli 2015 passierte es anstandslos den Bundesrat. Grundlage des Gesetzestextes ist die Entwurfsfassung vom Februar 2015 inklusive der vom Innenausschuss empfohlenen Änderungen. Mit auslösend für den Charakter dieses Entwurfs waren vor allem die Angriffe auf sogenannte „kritische Infrastrukturen“, KRITIS. Welche Empfehlungen und Anforderungen mit diesem neuen Gesetz verbunden sind, damit hatten wir uns bereits in einem früheren Beitrag beschäftigt.

Mit „kritischen Infrastrukturen“ sind vor allem solche gemeint, die dafür sorgen, dass ein Gemeinwesen funktioniert. Also Energieversorger, Betreiber von Krankenhäusern, Banken und Versicherungen, Transport- und Logistikfirmen, aber auch IT- und Telekommunikationsunternehmen. Die branchenübergreifenden Regeln sollen denn nicht nur für ein einheitliches, sondern vor allem für ein besseres Sicherheitsniveau sorgen. Dazu existieren schon eine ganze Reihe von Rahmenwerken wie die ISO-Normenreihe, die IT-Grundschutzkataloge des BSI und Empfehlungen wie die der amerikanischen NIST. Welche technischen Maßnahmen konkret zu ergreifen sind, um eine kritische Infrastruktur zu schützen, hat der Gesetzgeber allerdings offen gelassen.

Ein neues Whitepaper des TÜV Süd befasst sich unter anderem mit diesem Thema. Nicht ohne insbesondere darauf hinzuweisen, dass trotz der einschneidenden Datenschutzvorfälle zahlreiche Unternehmen und Organisationen auf zukünftige Herausforderungen gleich in zweierlei Hinsicht nicht ausreichend vorbereitet sind. Zum einen ist vielfach nicht bekannt wie hoch der bereits existierende Level von Richtlinien und Regularien ist und mit welchen Folgen Unternehmen rechnen müssen, die sie nicht einhalten. Zum anderen wird vielerorts unterschätzt, dass nur ein holistischer IT-Sicherheitsansatz in der Lage ist auf die aktuelle (und zukünftige) Bedrohungslandschaft zu reagieren. Eine Studie von PriceWaterhouseCoopers1 hatte bereits 2014 ermittelt, dass die Zahl der gemeldeten Sicherheitsverstöße um 43 % auf beinahe 43 Millionen angestiegen war. Das entspricht einer durchschnittlichen Zahl von 117.000 Cyberattacken an einem einzigen Tag. Und diese Zahlen sind umso erschreckender, wenn man davon ausgehen kann, dass laut PwC etwa 71 % solcher Attacken ohnehin unbemerkt bleiben.

Die allseits bekannten Angriffe auf die sogenannten kritischen Infrastrukturen haben Regierungen bewogen Richtlinien und Anforderungen deutlich zu verschärfen. Zu diesem Industriebereichen gehören nach Definition der USA und der EU vor allem der Finanzsektor, die Informationstechnologie selbst, das Gesundheitswesen, Telekommunikation, Energie/Energieversorger, aber auch Logistikunternehmen und die beiden Bereiche Luftfahrt und Militär.

Das kann aber nicht darüber hinwegtäuschen, dass jedes Unternehmen einem hohen Risiko ausgesetzt ist und ganz im Gegensatz zu frühen Einschätzungen gerade auch kleine und mittelständische Unternehmen.

Bedrohte Sicherheit und die Folgen

Neben dem rein finanziellen Schaden haben die Geschädigten aber noch mit einer ganzen Reihe weiterer Folgen zu kämpfen. Das sind der nicht zu unterschätzende Schaden eines möglicherweise ramponierten Rufs bei Kunden und Dienstleistern, der Verlust von vertraulichen und geschäftskritischen Informationen und bei kritischen Infrastrukturen kommen die physischen Schäden noch dazu.

Hundertprozentige Sicherheit kann und wird es nicht mehr geben, davon geht auch der TÜV Süd in seinem aktuellen Whitepaper aus. Allerdings kann ein umfassender und kombinierter Ansatz die Risiken senken und die Folgen potenzieller Datenschutzverstöße mildern. Die Experten schlagen dazu eine Kombination aus präventiven und reaktiven Methoden vor, die an ein Rahmenwerk für die IT-Sicherheit gekoppelt sind.

Grundlage sind beispielsweise die Normen ISO/IEC 27001, ISO 22301, ISO/IEC 20000, TL 9000 und Datenschutzstandards für bestimmte Branchen wie die PCI-Compliance.

Die Mehrzahl der existierenden Verordnungen und Standards sind sowohl auf kritische Infrastrukturen als auch auf alle anderen Industriezweige anwendbar. Trotzdem ist unbestritten, dass Behörden, Regierungsinstitutionen, die Finanz- und Gesundheitsbranche stärker reguliert sind als andere. Einfach deswegen, weil man von einem proportional stärker steigenden Risiko gegenüber anderen Branchen ausgehen kann. Und die Konsequenzen potenzieller Datenschutzverstöße durch erfolgreiche Cyberattacken werden hier als ungleich weitreichender eingeschätzt.

Kritische Infrastrukturen in der EU

Wie der TÜV Süd in seinem Whitepaper ausführt, definiert die EU Council Direktive 2008/114/EC2 einen Prozess, der kritische Infrastrukturen im Speziellen betrifft und der Mechanismen festlegt, die das Überprüfen und Überwachen von sicherheitsrelevanten Bereichen gewährleisten sollen. Ziel ist es das Risiko von Cyberangriffen in diesen Bereichen zu senken. Neben der Fülle von Richtlinien und Verordnungen, die kritische Infrastrukturen besser schützen sollen, setzen die Verantwortlichen zusätzlich auf eine besser funktionierende Kooperation zwischen den Behörden und der Privatwirtschaft. Hierzu zählen die Meldepflicht von Sicherheitsverstößen und mehr oder weniger auf Freiwilligkeit beruhende Initiativen zur gegenseitigen Informationspflicht. An dieser Stelle wird der international gültige ISO 27001-Standard immer wieder ins Spiel gebracht.

Welches sind die Schwachstellen?

Verschiedene Faktoren begünstigen, dass Schwachstellen entstehen oder bestehende besser (und mit einem höheren Schadenspotenzial) ausgenutzt werden. Neben der steigenden Konnektivität zwischen unterschiedlichen Netzwerken sind das eine Vielzahl neuer Komponenten und Applikationen, die zwar internetfähig und leicht zu bedienen sind, aber nicht unbedingt so entwickelt wurden, dass der Sicherheitsaspekt die oberste Priorität hat, drahtlose Netze und Mobilität sowie der Austausch vertraulicher Daten über diese Systeme und nicht zuletzt der Mensch als schwächstes Glied in der Kette.

Sei es, dass ein Insider selbst zum Täter wird – und dafür gibt es eine Reihe von Motiven – sei es, dass die Anmeldeinformationen eines mit den entsprechenden Zugriffsrechten ausgestatten Mitarbeiters in die Hände Dritter gelangt sind. Und sich diese Dritten dann im Netzwerk bewegen wie ein ganz normaler Angestellter.

Was tun? Die Empfehlungen des TÜV Süd

Für die Experten des TÜV Süd ist offensichtlich, dass Unternehmen sich mit dem Gedanken anfreunden sollten, ein IT-Sicherheits-Framework in ihrem Betrieb zu etablieren. Und zwar nicht nur in einzelnen Bereichen, sondern grundsätzlich. Genannt werden beispielsweise:

  • Unternehmensweit geltende Richtlinien und Prozesse um sensible Daten zunächst zu identifizieren, zu finden und im Nachgang besser schützen zu können
  • Firmen sollten Analytiken und intelligente Tools einsetzen, die in der Lage sind, solche kritischen Bereiche auf unterschiedlichen Ebenen zu überwachen
  • Der TÜV Süd empfiehlt Softwareplattformen einzusetzen, die speziell daraufhin entwickelt worden sind, potenzielle Sicherheitsverstöße mit geeigneten Mitteln aufzudecken, Risiken zu priorisieren und schließlich Maßnahmen anbieten zu können, um den möglicherweise bereits entstandenen Schaden zu begrenzen.
  • Und schlussendlich empfehlen die Autoren Risikobewertungen und Audits um Compliance mit Gesetzen, Richtlinien und Branchenstandards zu gewährleisten.

Für eine erfolgreiche Umsetzung rät der TÜV Süd:

  • sich der Zustimmung des Managements zu versichern
  • IT-Sicherheitsmaßnahmen direkt an geschäftliche Anforderungen und Prozesse anzukoppeln
  • ein komplettes IT-Sicherheitsmanagement-System zu implementieren
  • Chancen und Risiken neuer Technologien zu evaluieren, bevor sie im Unternehmen tatsächlich eingesetzt werden
  • bewusstseinsbildende Maßnahmen in allen Bereichen des Unternehmens voranzutreiben
  • bewährte Konzepte und Standards zu nutzen.

Angesichts der sich weiter rasant verändernden Bedrohungslandschaft ist es nicht nur für kritische Infrastrukturen das Gebot der Stunde IT-Sicherheit zu einer strategischen Priorität zu machen.

1 “2014 Trustwave Global Security Report,” Trustwave Holdings, Inc., 2014. Available at http://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_ Report.pdf?aliId=39035740. (As of 30 January 2015)

2 “Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection,” Official Journal of the European Union, 12 December 2008. Available at http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32008L0114.
(As of 13 February 2015)

Wir sind Varonis.

Seit 2005 schützen wir, mit unserer Datensicherheits- plattform, wertvolle Daten von Unternehmen in aller Welt, vor feindlichen Übergriffen.

Wie Varonis funktioniert