Erfüllt privilegiertes Zugangsmanagement die neuen KRITIS-Regularien?
Die Folgen von Sicherheitsverletzungen in kritischen Infrastrukturen können schwerwiegenden Folgen haben, warnt Marcus Scharra von Senhasegura.
Die Risiken, die mit Cyber-Bedrohungen für kritische Infrastrukturen verbunden sind, werden durch bestimmte Faktoren verschärft: Der zunehmende Einsatz digitaler Technologien und die Konvergenz von IT und OT schafft neue Schwachstellen und Angriffsflächen. Hinzu kommt die zunehmende Abhängigkeit von Drittanbietern und Partnern in der Lieferkette, die zusätzliche Risiken und Komplexitäten mit sich bringen können. Und natürlich spielt auch das rasche Tempo des technologischen Wandels eine wichtige Rolle, da es für Unternehmen immer schwieriger wird, mit den sich entwickelnden Bedrohungen Schritt zu halten und eine solide Sicherheitslage aufrechtzuerhalten. Angesichts dieser Herausforderungen ist es für Unternehmen wichtiger denn je, umfassende Sicherheitsmaßnahmen zu implementieren, um ihre kritische Infrastruktur zu schützen.
Neue Regularien machen ein Umdenken notwendig
Das IT-Sicherheitsgesetz 2.0 und die Änderungen durch die KRITIS-Verordnung 2.0 zeigen, dass Cybersicherheit in Deutschland endlich ernst genommen wird. Sie betonen die Notwendigkeit robuster Zugangskontrollen, proaktiver Bedrohungserkennung und umfassender Compliance-Berichterstattung. Organisationen, die in kritischen Infrastrukturen tätig sind, müssen sich an diese Vorschriften halten, um sich vor Cyber-Bedrohungen zu schützen und das Vertrauen ihrer Stakeholder zu erhalten. Das BSI empfiehlt „aufgrund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.“
Das IT-Sicherheitsgesetz (IT-SIG) 2.0 und KRITIS 2.0 sind Fortsetzungen der bestehenden Regularien in Deutschland, die darauf abzielen, die IT-Sicherheit kritischer Infrastrukturen zu stärken. Das IT-SiG 2.0 spricht erstmals von Systemen zur Angriffserkennung, die seit dem 1. Mai 2023 verpflichtend sind (§ 8a (1a) BSIG). Die wichtigsten Neuerungen:
- Erweiterter Anwendungsbereich
Das IT-SIG 2.0 und KRITIS 2.0 erweitern den Anwendungsbereich auf weitere Sektoren, die als kritisch eingestuft werden, wie beispielsweise den Gesundheitssektor oder die Finanzindustrie. Unternehmen in diesen Bereichen müssen nun ebenfalls die Anforderungen erfüllen.
- Verpflichtende Meldepflicht
Unternehmen müssen Sicherheitsvorfälle und Bedrohungen unverzüglich melden. Es gibt klare Vorgaben, welche Informationen gemeldet werden müssen und an wen.
- Risikoanalyse und -management
Unternehmen müssen regelmäßig Risikoanalysen durchführen, um potenzielle Schwachstellen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. Ein Risikomanagementkonzept ist nun obligatorisch.
- IT-Sicherheitsmaßnahmen
Es werden konkrete Anforderungen an die IT-Sicherheit gestellt, wie die Implementierung von Zugangskontrollen, Verschlüsselung, Incident Response-Verfahren und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
- Zertifizierung und Prüfung
Unternehmen müssen möglicherweise Zertifizierungsverfahren durchlaufen oder regelmäßige Prüfungen ihrer IT-Sicherheitsmaßnahmen durch unabhängige Stellen durchführen lassen.
Welche Rolle spielt Zugangsschutz und Privileged Access Management?
Vor dem Hintergrund des rasanten Wachstums von Cloud- und Mobiltechnologien, durch das die traditionelle Abgrenzung von Unternehmensnetz und World Wide Web sich zunehmend auflöst, hat sich die Identität als die einzige Konstante und die zuverlässigste Kontrollinstanz zur Absicherung der
eigenen digitalen Ressourcen herauskristallisiert. T-Sicherheitsmanagement ohne Identitäts-Management ist heute nicht mehr denkbar. PAM-Lösungen (Privileged Access Management) sind besonders wichtig für KRITIS (Kritische Infrastrukturen), da diese Sektoren von besonderer Bedeutung für das Funktionieren einer Gesellschaft sind. Durch den Einsatz von PAM-Lösungen können Unternehmen die Sicherheit ihrer IT-Infrastrukturen verbessern, privilegierte Konten effektiv verwalten, Compliance-Anforderungen erfüllen und das Risiko von Sicherheitsvorfällen reduzieren.
Hier sind einige Gründe, warum PAM-Lösungen für KRITIS unverzichtbar sind:
- Schutz vor internen Bedrohungen
In KRITIS-Umgebungen haben privilegierte Konten, wie beispielsweise Administrator- oder Systemkonten, erhebliche Rechte und Zugriffsmöglichkeiten auf kritische Systeme und Daten. Ein Missbrauch oder unbefugter Zugriff auf diese Konten kann schwerwiegende Folgen haben. PAM-Lösungen bieten einen Schutzmechanismus, um sicherzustellen, dass nur autorisierte Personen auf diese privilegierten Konten zugreifen können und dass ihre Aktivitäten überwacht und protokolliert werden.
- Compliance-Anforderungen erfüllen
KRITIS-Unternehmen unterliegen oft strengen Compliance-Anforderungen, einschließlich der Anforderungen des IT-Sicherheitsgesetzes und anderer branchenspezifischer Regularien. PAM-Lösungen unterstützen Unternehmen bei der Erfüllung dieser Anforderungen, indem sie eine lückenlose Überwachung und Protokollierung privilegierter Aktivitäten ermöglichen, Zugriffsrichtlinien implementieren und Passwortverwaltungsfunktionen bereitstellen.
- Schutz vor externen Angriffen
KRITIS-Organisationen sind häufig Ziel von gezielten Angriffen von externen Angreifern, die versuchen, Zugriff auf sensible Systeme zu erlangen. PAM-Lösungen bieten zusätzliche Sicherheitsschichten, um diese Angriffe abzuwehren. Sie können starke Zugriffskontrollen, Multi-Faktor-Authentifizierung und Session Recording-Funktionen bereitstellen, um sicherzustellen, dass nur autorisierte Personen auf privilegierte Konten zugreifen können.
- Notfallwiederherstellung und Incident Response
Im Falle eines Sicherheitsvorfalls oder einer Störung ist es entscheidend, dass KRITIS-Organisationen schnell handeln und geeignete Maßnahmen ergreifen können. PAM-Lösungen ermöglichen eine effektive Incident Response, indem sie eine umfassende Überwachung der privilegierten Aktivitäten ermöglichen, forensische Analysen erleichtern und die Wiederherstellung privilegierter Konten unterstützen.
- Schutz vor Insider-Bedrohungen
Insider-Bedrohungen, sei es durch absichtliches oder unbeabsichtigtes Fehlverhalten von Mitarbeitern, stellen eine reale Gefahr für KRITIS dar. PAM-Lösungen bieten Funktionen wie Session Monitoring und Privilege Elevation mit Genehmigung, um das Risiko von Insider-Bedrohungen zu minimieren.
PAM verringert Angriffsflächen
Insgesamt sind PAM-Lösungen im Kontext der neuen Regularien von entscheidender Bedeutung, um den Schutz kritischer Infrastrukturen zu verbessern, potenzielle Bedrohungen zu mindern, Compliance-Anforderungen zu erfüllen und die Widerstandsfähigkeit gegenüber Sicherheitsvorfällen zu erhöhen. Durch die Implementierung von PAM werden die Angriffsflächen verringert, da der Zugriff auf privilegierte Konten eingeschränkt und kontrolliert wird. PAM ermöglicht es Unternehmen, den Zugriff auf privilegierte Konten nur auf diejenigen Benutzer zu beschränken, die ihn wirklich benötigen, und minimiert so das Risiko von unbefugtem Zugriff und Missbrauch.
Marcus Scharra
ist CEO beim brasilianischen Hersteller Senhasegura.