:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit mit besonderen Anforderungen Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen (KRITIS)
Die Digitalisierung in Staat, Wirtschaft und Gesellschaft hat Deutschland in nur wenigen Jahren grundlegend verändert. Deutschlands kritische Infrastrukturen sind deshalb nicht nur durch Naturkatastrophen, Unfälle und Terrorismus bedroht, sondern auch durch staatliche und nicht-staatliche Hackerangriffe und Malware-Attacken.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In den letzten zwei Jahren haben wir bei Security-Insider.de nach und nach die Situation von Unternehmen und Einrichtungen beleuchtet, die zu den kritischen Infrastrukturen zählen, also eine wichtige Bedeutung für das staatliche Gemeinweisen haben. Dazu gehören die Bereiche "Energie", "Gesundheit", "Staat und Verwaltung", "Ernährung", "Transport und Verkehr", "Finanz- und Versicherungswesen", "Informationstechnik und Telekommunikation", "Medien und Kultur" sowie "Wasser". In all diesen Branchen und Sektoren sind besondere Anforderungen an die IT-Sicherheit zu erfüllen, die wir jeweils im Detail unter die Lupe genommen haben. Dieser Artikel fasst die ganzen in diesem Zusammenhang erschienen Beiträge kurz zusammen.
Die Serie startete mit einem Grundlagenbeitrag, der sich mit der Netzwerksicherheit im Allgemeinen befasste. Dieser Beitrag, der unter Grundlagen der Netzwerksicherheit zur Verfügung steht, zeigt, welche Maßnahmen Einrichtungen und Organisationen ergreifen sollten, um ihr IT-Netz abzusichern. Die hier beschriebenen Aktionen treffen im Prinzip auf jedes Unternehmen zu, nicht nur auf kritische Infrastrukturen. Da die genannten Sicherheitsmaßnahmen aber auch die Grundlage der IT-Security in den KRITIS-Sektoren darstellen, haben wir sie an dieser Stelle einmal zusammengefasst.
Im Artikel zur Netzwerksicherheit in der Energie- und Wasserwirtschaft sprachen wir mit einem Vertreter des entsprechenden Bundesverbands. Er betonte, dass in dieser Branche die Sicherheit der informationstechnischen Systeme einen traditionell sehr hohen Stellenwert hat, da die Energiewirtschaft zu den am stärksten regulierten Bereichen überhaupt gehört. Außerdem wünscht er sich, die Hersteller der IT-Komponenten stärker in den Schutz kritischer Infrastrukturen einzubinden.
Um uns über den Zustand im Gesundheitssektor zu informieren, kommunizierten wir mit dem Lukaskrankenhaus Neuss. Im Beitrag Netzwerksicherheit in Krankenhäusern informierten wir uns über die Maßnahmen, die das Krankenhaus ergriffen hat, nachdem es Opfer einer Ransomware-Attacke geworden war. Zusätzlich erklärten uns die Verantwortlichen, welche Bedeutung die Netzwerksegmentierung zum Schutz von nicht patchbaren Systemen hat.
Was den Sektor „Staat und Verwaltung“ angeht, so sprachen wir mit insgesamt vier Ansprechpartnern, um möglichst viele Aspekte dieses weitreichenden Feldes abzudecken. Zunächst informierten wir uns auf kommunaler Ebene über die Netzwerksicherheit bei der Stadt Köln. Hier lernten wir, dass Köln eine eigene Infrastruktur betreibt, die die Stadt selbst verwaltet und auch selbst gebaut hat. Auch das Mail-System wird intern gehostet.
Um die Situation auf Landesebene unter die Lupe zu nehmen, sprachen wir mit der Landesverwaltung NRW. Auch die Landesverwaltung Nordrhein-Westfalen verfügt über ein eigenes physikalisches Netz, über das die Behörden untereinander kommunizieren. Der Zugriff auf das Internet erfolgt über eine besonders abgesicherte, zentrale Stelle.
In den letzten beiden Beiträgen zu diesem Sektor befassten wir uns mit länderübergreifenden Institutionen. In diesem Zusammenhang ist zunächst einmal der Deutsche Landkreistag zu nennen. Bei den Landkreisen liegt ein sehr heterogenes Umfeld vor, bei dem auch die Home Office-Nutzung eine große Rolle spielt. Der zweite Beitrag befasst sich mit der Bundeswehr. Die Landesverteidigung steht im Fokus vieler Cyber-Angreifer und bedarf daher besonderen Schutzes. Auch bei der Bundeswehr spielt die Netzwerksegmentierung eine wesentliche Rolle bei Sicherstellen eines hohen Security-Niveaus.
In Bezug auf die Netzwerksicherheit in der Ernährungsbranche sprachen wir mit einem Vertreter des Systemhauses Agotech, das die Verantwortung für die IT der Byodo Naturkost GmbH trägt. Hier wird kaum im Home Office gearbeitet und die IT-Ausstattung des Lagers stellt eine besondere Herausforderung dar. Auch die Logistik hat in der Ernährungsbranche eine fundamentale Bedeutung.
Für den Sektor „Transport und Verkehr“ stellte sich Hapag-Lloyd als Ansprechpartner zur Verfügung. Die Reederei hat einen Outsourcing-Vertrag mit IBM geschlossen und alle ihre Kernanwendungen laufen in einem Dual-Hochverfügbarkeitsrechenzentrum. In den Niederlassungen werden nur Basisdienste bereitgestellt.
Für die Versicherungsbranche ergriff der Branchenvertreter für die Finanz- und Versicherungsbranche im UP-KRITIS-Rat das Wort. Der Gesamtverband der Deutschen Versicherungswirtschaft betreibt ein Krisenreaktionszentrum, das den einzelnen Versicherungen eine Melde- und Informationsdrehscheibe zur IT-Sicherheit zur Verfügung stellt. Über diese tauschen die Unternehmen nicht nur Informationen über Bedrohungen aus, sondern auch Patches und Lösungen.
Was den Sektor „Telekommunikation“ angeht, so war die Deutsche Telekom als Gesprächspartner verfügbar. Zentrales Thema des Interviews: Die Absicherung des Telekommunikationsnetzes mit 35 Millionen Kunden im Mobilfunk- und Festnetzbereich. Auch Consumer-Geräte wie Speed-Ports spielten eine Rolle.
Wenden wir uns nun dem Bereich „Medien und Kultur“ zu. Hier war die ProSiebenSat.1 Media SE unser Ansprechpartner. Zu den wichtigsten Themen gehörten die Anforderungen an die IT-Infrastruktur durch die verschiedenen Segmente wie Fernsehen, Streaming und Vertrieb sowie der Aufbau des verwendeten Netzes mit Speicherkapazitäten, Containern und so weiter.
Für den letzten Sektor „Wasser“, nahmen wir Kontakt mit den Berliner Wasserbetrieben auf. Hier spielen die vielen ins Netz zu integrierenden IoT-Komponenten eine wichtige Rolle. Viele Komponenten wurden in ein getrenntes, so genanntes Automatisierungsnetz ausgelagert, das über keine Schreibzugänge verfügt.
Zum Abschluss der Serie sprachen wir mit dem BSI über unsere aus den anderen Gesprächen gewonnenen Erkenntnisse sowie über Sicherheitsanforderungen, Regulierungen und die aktuelle Bedrohungslage. Der entsprechende Beitrag findet sich unter „Deutschlands kritische Infrastrukturen“.
Es scheint allerdings so, dass diese Serie noch nicht am Ende angekommen ist. Wenn es nach dem Willen der Bundesregierung und dem aktuellen Entwurf des IT-Sicherheitsgesetz 2.0 geht, wird es nicht nur einen neuen KRITIS-Sektor „Abfallwirtschaft geben, sondern auch neue, weitreichende Bestimmungen für Unternehmen und Organisationen, die nicht zu den kritischen Infrastrukturen gehören. „Unternehmen im besonderen öffentlichen Interesse“ müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden.
Alle KRITIS-Artikel noch einmal im Kurzüberblick
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546854/original.jpg "Um ein Netzwerk umfassend abzusichern müssen IT-Sicherheitsverantwortliche viele Entscheidungen treffen und viele Konfigurationsschritte durchführen. (sdecoret - stock.adobe.com)")
Anforderungen der IT-Sicherheit
Grundlagen der Netzwerksicherheit
:quality(80)/images.vogel.de/vogelonline/bdb/1785500/1785543/original.jpg "Die Energieversorgung ist ein zentraler Bereich kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auf Staat, Wirtschaft und Gesellschaft auswirkt. (Thorsten Schier- stock.adobe.com)")
IT-Sicherheit in der Energiewirtschaft
Netzwerksicherheit in der Energie- und Wasserwirtschaft
:quality(80)/images.vogel.de/vogelonline/bdb/1652500/1652598/original.jpg "Die Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen. (gemeinfrei)")
Sicherheit vor Funktionalität im Lukaskrankenhaus
Netzwerksicherheit in Krankenhäusern
:quality(80)/images.vogel.de/vogelonline/bdb/1699800/1699807/original.jpg "Bei der Stadt Köln existiert im Bereich IT-Sicherheit eine enge Zusammenarbeit mit anderen Kommunen, und zwar über den Verband der Kommunalen IT-Dienstleister (KDN). (gemeinfrei)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit bei der Stadt Köln
:quality(80)/images.vogel.de/vogelonline/bdb/1702100/1702148/original.jpg "Die Landesverwaltung Nordrhein-Westfalen verfügt über ein eigenes physikalisches Netz, an das alle 433 Behörden und 115.000 PC-Arbeitsplätze angebunden sind und das der interne Dienstleister „IT.NRW“ betreibt. (Christoph Seelbach)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit bei der Landesverwaltung NRW
:quality(80)/images.vogel.de/vogelonline/bdb/1703700/1703781/original.jpg "Alle Landkreise haben eigene Netze, die einen unterschiedlichen Umfang und auch bei Themen wie der IT-Sicherheit, einen unterschiedlichen Aufbau haben. (galina.legoschina - stock.adobe.com)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit beim Landkreistag
:quality(80)/images.vogel.de/vogelonline/bdb/1714000/1714085/original.jpg "Die Bundeswehr-Netze bestehen nicht nur aus \"normalen\" Netzwerkkomponenten wie Switches oder PCs, sondern umfassen auch Waffensysteme wie z.B. Flugzeuge und Schiffe. (gemeinfrei)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit bei der Bundeswehr
:quality(80)/images.vogel.de/vogelonline/bdb/1675600/1675653/original.jpg "Die Sicherung der Versorgung der Bevölkerung mit Lebensmitteln ist ein wichtiger Teil der kritischen Infrastrukturen. (gemeinfrei)")
Die Mitarbeiter müssen mitspielen
Netzwerksicherheit in der Ernährungsbranche
:quality(80)/images.vogel.de/vogelonline/bdb/1742400/1742494/original.jpg "Hapag-Lloyd hat weltweit mehr als 1,1 Millionen Container (TEU) im Einsatz. Die Schiffe der Reederei sind auf allen Weltmeeren unterwegs. (Hapag-Lloyd AG)")
IT-Sicherheit in Transport und Verkehr
Netzwerksicherheit bei Hapag-Lloyd
:quality(80)/images.vogel.de/vogelonline/bdb/1578800/1578875/original.jpg "An die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt. (Sergey Nivens - stock.adobe.com)")
Kooperation auf vielen Ebenen
Netzwerksicherheit in der Versicherungsbranche
:quality(80)/images.vogel.de/vogelonline/bdb/1665800/1665868/original.jpg "Unternehmen, aber auch Staat und Gesellschaft sind heute zunehmend abhängig von einer funktionierenden Telekommunikationsinfrastruktur. (Funtap - stock.adobe.com)")
IT-Sicherheit bei TK-Unternehmen
Netzwerksicherheit in der Telekommunikation
:quality(80)/images.vogel.de/vogelonline/bdb/1769100/1769179/original.jpg "Rundfunk, Fernsehen und Internet nehmen mit dem Auftrag der Warnung und Information der Bevölkerung in Krisen- und Notlagen eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes wahr. (gemeinfrei)")
IT-Sicherheit in Medien und Kultur
Netzwerksicherheit bei ProSiebenSat.1
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
:quality(80)/images.vogel.de/vogelonline/bdb/1796600/1796637/original.jpg "Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden und in denen die IT-Systeme von Unternehmen besonderen Schutz benötigen. (MH - stock.adobe.com)")
IT-Sicherheit in den KRITIS-Branchen
Deutschlands kritische Infrastrukturen
:quality(80)/images.vogel.de/vogelonline/bdb/1817800/1817817/original.jpg "Das IT-Sicherheitsgesetz 2.0 fordert von „Unternehmen im besonderen öffentlichem Interesse“ mehr Aktivität in Sachen IT-Sicherheit. Ist das eine sinnvolle Neuerung oder nur Mehraufwand ohne Nutzen? (gemeinfrei)")
IT-Sicherheitsgesetz 2.0
Unternehmen im besonderen öffentlichen Interesse
(ID:47361930)
:quality(80)/p7i.vogel.de/wcms/fb/44/fb44ef753bfc3f08ec5578ae3d4356ec/0115098456.jpeg "Mit der zunehmenden Digitalisierung und dem Ausbau von leistungsfähigen Gigabitnetzen sind unsere Wirtschaft, die kritischen Infrastrukturen und nicht zuletzt unsere öffentliche Sicherheit substanziell von widerstandsfähigen Telekommunikationsdiensten abhängig. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/f9/43f910642bd83463fa547d977240d79e/0108873810.jpeg "Das Funktionieren Kritischer Infrastrukturen ist für das Gemeinwesen unverzichtbar (Bild: colorfield – stock.adobe.com)")