München, Starnberg, 06. April 2020 - Wer „Kritische Infrastrukturen“ (KRITIS) betreibt, ist verpflichtet, IT-Systeme angemessen zu schützen; TÜV SÜD-Tochter uniscon unterstützt...
Zum Hintergrund: Gerade IoT-Geräte in medizinischen Einrichtungen und Unternehmen sind ein leichtes Ziel für Hacker und Cyberkriminelle. Zu diesem Ergebnis kommt eine Studie von Unit 42, dem Forschungsteam für Cybersicherheit von Palo Alto Networks[1]. Untersucht haben die Security-Spezialisten dabei IoT-Vorfälle in den USA. Doch auch in Europa geraten Krankenhäuser in den Fokus von Angreifern, wie ein Fall aus Tschechien zeigt[2]. Dort haben Hacker den Betrieb der Uniklinik in Brno vorübergehend lahmgelegt. Angesichts der aktuellen Pandemie können solche Ausfälle in Krankenhäusern und medizinische Einrichtungen fatale Folgen haben.
Wer in Deutschland so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist gesetzlich dazu verpflichtet, IT-Systeme und -Komponenten angemessen zu schützen[3]. Das heißt, die Betreiber müssen entsprechende „technische und organisatorische Maßnahmen“ zum Schutz ihrer Infrastrukturen treffen[4]. Doch gerade organisatorische Schutzmaßnahmen wie etwa ausgeklügelte Zugangs- und Rollenkonzepte in IT-Systemen vermitteln oft ein falsches Gefühl von Sicherheit. Denn sie lassen sich mit verhältnismäßig geringem Aufwand umgehen oder aushebeln, etwa durch Insider-Angriffe oder Social Engineering. Karl Altmann, CEO der Münchner TÜV SÜD-Tochter uniscon erklärt, warum es aus seiner Sicht sinnvoll ist, auf privilegierte Admin-Zugänge zu verzichten. "Sinnvoller sei es daher, auf technische Schutzmaßnahmen zu setzen", so Altmann.
Stattdessen sorgen verschiedene ineinander verzahnte technische Maßnahmen in verkapselten Server-Racks dafür, dass Daten und Anwendungen innerhalb der Infrastruktur zuverlässig gegen Attacken und unbefugte – auch physische – Zugriffe geschützt sind[5]. „Anwendung findet diese hochsichere Zero-Trust-Architektur bereits in Kliniken, staatlichen Einrichtungen und Unternehmen mit besonders hohen Sicherheitsansprüchen, etwa als File-Sharing-Ersatz oder für die sichere Verarbeitung von IoT-Daten“, sagt Altmann.
Nicht nur sicher, sondern auch skalierbar
Eignen sich solche hochsicheren Cloud-Plattformen also auch für KRITIS-Betreiber? Das haben die Betreiber je nach Fall selbst zu prüfen. Sicher ist laut Anbieter: Betreibersichere Zero-Trust-Architekturen entsprechen dem vom Gesetzgeber geforderten „Stand der Technik“ und sind bereits erfolgreich in der Praxis erprobt. CEO Altmann ergänzt: „Hinzu kommt, dass Cloud-Lösungen im Gegensatz zu reinen On-Premise-Lösungen effizient zu implementieren und leicht skalierbar sind. KRITIS-Betreiber müssten also nicht ihre bestehende IT kostspielig erweitern, sondern können weiterhin mit der bereits vorhandenen Infrastruktur arbeiten...“
Quellenangabe:
[1] > https://unit42.paloaltonetworks.com/iot-threat-report-2020/
[3] > https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[4] > https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
[5] > https://de.wikipedia.org/wiki/Sealed_Cloud
Querverweis:
Unser Beitrag > Checkliste: Welche Daten sollen und dürfen in die Cloud? Identifikation der Daten und Prozesse
Unser Beitrag > Homeoffice Sicherheit: eco Verband rät dringend zu mehr Cyber-Hygiene in Corona-Zeiten