Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de
IT-Sicherheit

IT-Sicherheitsgesetz: Servicebetreiber schlecht vorbereitet

Seit Juli 2015 gilt das neue IT-Sicherheitsgesetz – dessen Anforderungen längst noch nicht jeder Serviceprovider genügt. Foto: rainer_81 / Fotolia
Anzeige
Nur ein geringer Teil der Betreiber kritischer IT-Infrastrukturen ist nach eigener Einschätzung aktuell in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten: So lautet das zentrale Ergebnis einer aktuellen Studie des Sicherheitssoftware-Anbieters Cyberark.

Cyberark führt jährlich eine globale Untersuchung zu Themen rund um Cyber-Sicherheit durch. In diesem Jahr wurden dabei in Deutschland erstmals auch Betreiber kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Die Untersuchung ergab, dass nur 25 % von ihnen bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können.

Immerhin 45 % bestätigten, dass sie sich gegenwärtig im „Prozess der Vorbereitung“ befinden. Im Umkehrschluss bedeuten diese Zahlen aber auch, dass 30 % sich mit dem Thema überhaupt noch nicht auseinandergesetzt haben beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.
Die Ausrede „Unklarheit“ gilt nicht mehr
„Etwas beunruhigend sind diese Zahlen schon“, erklärt Michael Kleist, Regional Director DACH bei Cyberark in Düsseldorf. „Natürlich hat das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen ist. Doch dies gilt zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliegt. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein.“
Im IT-Sicherheitsgesetz wird von Betreibern kritischer Infrastrukturen gefordert, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“
„Das wirft natürlich die Frage auf: Was heißt hier Stand der Technik?“, so Kleist. „Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden.“
Haupteinfallstor: Schlecht geschützte Admin-Konten
Prinzipiell müssen Betreiber kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden. „Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen. Der Grund: Nahezu alle größeren Angriffe der jüngsten Vergangenheit sind auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen.“
Auch das BSI weist wiederholt auf die Schwachstelle privilegierte Benutzerkonten hin. Im aktuellen Themenpapier „Ransomware: Bedrohungslage, Prävention & Reaktion“ etwa führt die Bundesbehörde aus, dass „bei Ransomware-Vorfällen (…) Versäumnisse bei der Prävention deutlich aufgezeigt“ werden; explizit genannt werden hier unter anderem schwache Administrator-Passworte.
Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es nach Cyberark unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. „Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein“, so Kleist, „da dabei menschliche Fehler unvermeidbar sind und Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren werden. Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen.“
Sandra Hofer ist für die PR-Com GmbH in München tätig.
Anzeige

Konradin Industrie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige