:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kritische Infrastrukturen KRITIS – von der Pflicht zum Wettbewerbsvorteil
Mit dem IT-Sicherheitsgesetz und der Definition von Kritischen Infrastrukturen (KRITIS) hat der Gesetzgeber unterschiedlichen Organisationen eine „Motivation“ an die Hand gegeben, sich über die Sicherheit und Ausfallresistenz ihrer IT-Infrastruktur Gedanken zu machen. Viele Fragen sind jedoch bis heute offen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ reagiert auf die Tatsache, dass die zunehmende Vernetzung von Objekten, auch außerhalb klassischer IT-Infrastrukturen, über Netzwerke nicht nur die Effizienz und Wertschöpfungsfähigkeit erhöht. Sie trägt auch dazu bei, dass die vernetzten Strukturen anfälliger für Cyberattacken werden.
Hinzu kommt, dass der Ausfall von Anlagen durch die Verbindung zu anderen Organisationen zu Domino- und Kaskadeneffekten führen kann. In diesem Kontext bedeutet der Ausfall eines Bausteins automatisch den Exitus aller vernetzten Strukturen. Das IT-Sicherheitsgesetz fokussiert sich vor allem auf Branchen und Organisationsbereiche, die für den Fortbestand eines funktionierenden Staatswesens und der Gesellschaft von zentraler Bedeutung sind. Zu den von KRITIS betroffenen Unternehmen gehören solche aus den Branchen Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung sowie Finanz- und Versicherungswesen.
Ein unbeliebtes Thema
Kann aus der Branchenzugehörigkeit zumindest jetzt schon einmal die Betroffenheit von KRITIS abgeleitet werden, sieht es doch bei den Herausforderungen und Optionen noch ganz anders aus. Viele Organisationen wissen nicht, wie sie die IT-Sicherheit und Ausfallsicherheit nach dem „aktuellen Stand der Technik“ gewährleisten sollen und wie sie am besten vorgehen. Hinzu kommt, dass staatliche Auflagen bei Betroffenen selten für Enthusiasmus sorgen. Handelt es sich doch zumeist um Investitionen, die keinen erkennbaren Zugewinn für Wachstum und Innovationsfähigkeit mit sich bringen. Bei KRITIS ist das jedoch anders, sofern man die staatlichen Handlungsaufforderungen mit der Digitalisierungsstrategie in Verbindung setzt. Dann ist es möglich, das Notwendige mit dem Nützlichen zu verbinden und sich auf diese Weise echte Wettbewerbsvorteile zu erarbeiten.
KRITIS ist mehr als IT-Sicherheit
KRITIS ist aktuell sehr stark von den Diskussionen um Cybersicherheit geprägt. Dies liegt daran, dass von Hackern herbeigeführte Blackouts beispielsweise bei der Stromversorgung oder im Klinikbetrieb zu nachvollziehbaren Schreckreaktionen bei der Bevölkerung und auch bei Unternehmen führen. Mindestens genau so realistisch ist jedoch der zweite große Handlungsstrang, der sich um das Thema Ausfallsicherheit dreht. Man kann davon ausgehen, dass bei mindestens 80 Prozent der von KRITIS betroffenen kritischen Infrastrukturen der IT-Betrieb nicht zum Kerngeschäft gehört. Alleine aus betriebswirtschaftlichen Erwägungen heraus wäre es für viele Unternehmen schon vor Jahren an der Zeit gewesen, die IT-Infrastruktur in professionell betriebene Rechenzentren auszulagern. Die Möglichkeit, die eigene IT mit eigenem Personal in einer fremden Rechenzentrumsinfrastruktur zu betreiben, die immer auf dem aktuellen Stand der Technik ist, ist wahrlich nicht neu. Neu ist jedoch das Momentum, das durch das IT-Sicherheitsgesetz in die Debatte kommt und wie ein Katalysator wirkt.
Das Beispiel Stromversorgung
Alleine die Bereitstellung redundanter Stromversorgung für den kontinuierlichen IT-Betrieb ist ein Thema für sich. Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Verteilungsnetzbetreiber bzw. der Energieversorgungsunternehmen. Schon Unterbrechungen von mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Diese Unterbrechungen beruhen einzig auf Störungen im Versorgungsnetz. Hinzu gesellen sich Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten. Welches Unternehmen sieht es als seine Hauptaufgabe an, sich zu einem Experten für Versorgungssicherheit zu mausern, wenn er die Aufgabe auslagern kann? Wir sprechen hier unter anderem über A+B-Versorgung der installierten Systeme ab Hauseingang, Ausschluss geplanter Unterbrechungen der Energieversorgung gleichzeitig auf beiden Versorgungssträngen durch redundante vermaschte Versorgung und externen Energieversorger, N+1-redundante, USV-gesicherte Stromversorgung mit Batteriepufferung für 25 Minuten pro Seite bei Volllast und Notstromdiesel auf jeder Seite sowie Lastübernahme innerhalb von 15 Sekunden. Gleiches gilt für andere Rechenzentrumsthemen wie die gesamte Absicherung der Infrastruktur gegen Zugriffe physischer Natur und die Absicherung der Datenbestände durch Zugangskontrollen und ähnliches.
Die richtige Backup-Strategie fahren
Ähnliche Fragen ergeben sich im Hinblick auf die Sicherung und Verfügbarkeit von Datenbeständen. Wir sprechen an dieser Stelle von Backup-Strategien und Disaster Recovery-Szenarien. Wenn gespeicherter Daten verloren gehen, kann das starken Einfluss auf Geschäftsprozesse und damit auf die gesamte Organisation haben. Die Zerstörung oder Verfälschung geschäftsrelevanter Informationen kann dazu führen, dass Prozesse und Fachaufgaben verzögert und ihre Ausführung verhindert werden. Zusätzlich zum Produktionsausfall und den anfallenden Kosten für die Wiederbeschaffung der Daten sind es vor allem die langfristigen Konsequenzen, die Unternehmen fürchten müssen. Hierzu gehören Vertrauenseinbußen bei Kunden und Partnern sowie ein negatives Image in der Öffentlichkeit. Die direkten und indirekten Schäden durch Datenverluste können Institutionen sogar in ihrer Existenz bedrohen.
Disaster Recovery: Was tun wenn’s brennt?
Ein Daten-Backup an einem separaten Standort ist der erste wichtige Schritt, um die IT im Falle eines Ausfalls weiterführen zu können. Doch das allein genügt nicht: Bei der Etablierung eines Business-Continuity-Plans sollten im Besonderen Disaster Recovery-Lösungen bedacht werden. Im Katastrophenfall wie einem Brand im Rechenzentrum kann es zum Ausfall von Anwendungen und Server-Kapazitäten kommen. Die extern gesicherten Daten allein reichen so nicht mehr aus. Wir sprechen an dieser Stelle von umfassender Absicherung, auch von Anwendungen und Serverkapazitäten im Katastrophenfall, sofortiger Systemverfügbarkeit auch bei Komplettausfall, dem Vorhandensein von Notfallarbeitsplätzen sowie gesetzeskonformen Vorgehen streng gemäß deutscher Datenschutzgesetze.
ISO 27001 weist den Weg
Die hier skizzierten Ansätze sind nur ein Auszug derjenigen Maßnahmen, die im Rahmen des IT-Sicherheitsgesetzes angeschoben werden müssen. Die gute Nachricht ist, dass kein KRITIS-Verantwortlicher hier auf sich alleine gestellt ist. Full IT Service Provider mit eigenem Hochsicherheitsrechenzentrum sind heute in der Lage, Unternehmen mit modularen Service-Angeboten, die nach Quantität und Qualität flexibel skalierbar sind, an die Thematik heranzuführen. Der Goldstandard in diesem Kontext ist die Zertifizierung nach ISO 27001. Hinzu kommen noch technische Richtlinien wie BSI TR-03145, also Sicherheitszertifikate für Stromzähler, Wasserzähler, Smart Home Devices und andere Elemente der Vernetzung, auf die künftig verstärkt geachtet werden sollte. Auf diese Weise vollumfänglich zertifizierte Partner garantieren, dass alle genutzten Services und etablierten Lösungen gesetzeskonform sind. Und das ist es ja, worum es letztlich geht.
Über den Autor: Lars Göbel ist Leiter Strategie & Innovation bei der DARZ GmbH, einem Digital Evolution Provider.
(ID:44616096)
:quality(80)/p7i.vogel.de/wcms/ea/61/ea615fff956d73c3cfdc6f6fafc5f7c1/0112940061.jpeg "Die Uhr zur Umsetzung der NIS2-Richtlinie tickt... KRITIS-Betriebe sollten schon jetzt damit beginnen, die erforderlichen Maßnahmen zu implementieren. (Bild: sorapop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")