Kritische Infrastrukturen (KRITIS) sind in den letzten Jahren immer öfter Opfer von Cyberangriffen geworden. Vor dem Hintergrund der sich zuspitzenden Situation im Russland-Ukraine-Konflikt verschärft sich die Lage weiter. Daher sind KRITIS-Unternehmen derzeit gefordert, nochmal verstärkt ihre IT-Sicherheit zu erhöhen. Vor allem unzureichend abgesicherte Mitarbeiterzugänge bringen enorme Gefahren mit sich. Wir geben Tipps an die Hand, wie KRITIS-Unternehmen ihre Zugänge sicher und flexibel schützen können sowie die Anforderungen des BSI erfüllen.
Was sind KRITIS?
Zu den sogenannten Kritischen Infrastrukturen zählen systemrelevante Organisationen sowie Unternehmen, die im IT-Sicherheitsgesetz (IT-SiG) definiert sind. Dazu zählen Unternehmen aus den Branchen:
- Energie
- Wasser
- IT und Telekommunikation
- Ernährung
- Transport und Verkehr
- Gesundheit
- Finanzen und Versicherung
- Medien und Kultur
- Staat und Verwaltung
- Und seit Neuestem auch Abfallwirtschaft
KRITIS sind besonderen IT-Sicherheitsvorkehrungen unterworfen, die im IT-SiG und einzelnen Branchenstandards beschrieben werden. Dabei stößt man immer wieder auf die Anforderung, die Maßnahmen im Bereich IT-Sicherheit sollen dem „aktuellen Stand der Technik“ entsprechen. Was das genau bedeutet, dazu gleich mehr. Zuerst aber noch ein paar Worte zum neuen IT-Sicherheitsgesetz 2.0.
IT-Sicherheitsgesetz 2.0 – was ändert sich?
Im Mai 2021 ist das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) in Kraft getreten. Neben einer Stärkung der Kompetenzen des BSI (Bundesamt für Sicherheit in der Informationstechnik) wurden Regelungen für den Einsatz „Kritischer Komponenten“ getroffen. Eine Liste kritischer Funktionen befindet sich momentan noch im Entwurfsstadium. Zudem wurde der Kreis der KRITIS-Unternehmen um den Sektor Abfallentsorgung erweitert. Desweiteren wurden Schwellenwerte für bestehende Branchen angepasst und die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ wurde eingeführt. Diese Unternehmen zählen zwar nicht direkt zu den KRITIS, unterliegen aber ähnlichen Rechten und Pflichten.
Was bedeutet „Stand der Technik“?
Das IT-Sicherheitsgesetz fordert die Orientierung der IT-Sicherheit am Stand der Technik. Was darunter zu verstehen ist, wird im Gesetz aber nicht weiter konkretisiert. Eine genaue Erläuterung, was Stand der Technik im Bezug auf das IT-Sicherheitsgesetz bedeutet sowie konkrete Maßnahmen, geben einzelne Branchenstandards und die Handreichung des Bundesverbands IT-Sicherheit e.V. (TeleTrust), zu der MTRIX mit fachlicher und herstellerunabhängiger Expertise beigetragen hat.
Die Handreichung können Sie hier kostenlos herunterladen.
Sichere Authentisierung für KRITIS-Unternehmen
Mitarbeiterzugänge sind eine der größten Schwachstellen bei der Absicherung von IT-Systemen. In den meisten Organisationen erfolgt der Zugang noch über Benutzername und Passwort. Dies entspricht allerdings nicht mehr dem Stand der Technik. In den meisten Branchenstandards wird derzeit mindestens eine Mehrfaktor-Authentisierung (MFA) bei Admin-Konten und Konten mit Zugang zu kritischen Systemen gefordert. Hierbei werden mehrere Faktoren aus den drei Kategorien kombiniert:
- Wissen (z.B. Passwort, Pin, Sicherheitsfragen)
- Besitz (z.B. OTP-Token, FIDO, SmartCard) und
- Biometrie (z.B. Fingerabdruck, Gesichtserkennung, Handvenenscan)
Die Verwendung aller Faktoren hat Vor- und Nachteile. Daher sollte der konkrete Einsatz je nach Anwendungsszenario evaluiert werden.
Die Möglichkeit MFA zu aktivieren, ist mittlerweile in vielen Anwendungen direkt integriert. Ist dies nicht der Fall oder werden in einer Organisation mehrere sicherheitskritische Applikationen betrieben, die mit MFA geschützt werden sollen, empfehlen wir den Einsatz einer zentralen Authentifizierungslösung. Mehrere Insel-Lösungen sollten auf Grund von zunehmender Komplexität, höheren Kosten und erhöhtem Administrationsaufwand vermieden werden.
Moderne MFA-Lösungen bieten neben einer großen Auswahl an möglichen Authentifizierungsmethoden und unterstützten Endgeräten, eine zentrale Authentisierungsinstanz für alle Nutzer, Anwendungen und Systeme. Darüber hinaus ermöglichen einige Lösungen einen dynamischen Ansatz zur Benutzer-Authentisierung (Adaptive Authentifizierung). Hierbei wird die Kombination der Faktoren nicht mehr statisch, sondern situationsabhängig und flexibel festgelegt, abhängig von Faktoren wie Standort, Geräte-ID oder der typischen Arbeitszeit des Benutzers.
MTRIX ist herstellerübergreifender Experte für professionelle Authentisierung. Wir analysieren gemeinsam mit Ihnen Ihre IT-Infrastruktur und geben Empfehlungen an die Hand, mit welchen Methoden und Anwendungen Sie Ihre Zugänge sicher schützen und die Anforderungen des IT-Sicherheitsgesetzes umsetzen können.