IT-Sicherheitsgesetz
Kritische Infrastrukturen schutzlos gegen Hackerangriffe
Kritische Infrastrukturen in Deutschland sind nach wie vor gefährdet. Denn nur die wenigsten Betreiber erfüllen die vom IT-Sicherheitsgesetz geforderten Mindeststandards.
Nur ein Viertel der Betreiber kritischer Infrastrukturen ist nach eigener Einschätzung derzeit in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. Das hat eine Untersuchung des Sicherheitsunternehmens CyberArk ergeben.
Laut den Studienergebnissen sind lediglich 25 Prozent der Betreiber bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im »Prozess der Vorbereitung« befinden. 30 Prozent der Betroffenen haben sich hingegen offenbar noch nicht mit dem Thema auseinandergesetzt und auch noch kein entsprechendes Sicherheitsprojekt gestartet.
»Etwas beunruhigend sind diese Zahlen schon«, sagt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. Zwar habe das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen sei. Doch das gelte zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliege. »Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein«, rät Kleist.
Was ist angemessen?
Das IT-Sicherheitsgesetz fordert von Betreibern kritischer Infrastrukturen, »angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.« Das wirft nach Ansicht von Kleist die Frage auf, was in diesem Zusammenhang Stand der Technik heiße. »Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden«, so Kleist.
Im Prinzip sind Betreiber kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz dazu verpflichtet, ihre Netzwerke künftig nach Mindeststandards abzusichern, das in regelmäßigen Audits nachzuweisen und Hackerangriffe an das BSI zu melden. »Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen«, meint Kleist. Denn alle größeren Angriffe der jüngsten Vergangenheit seien auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen.
Kleist rät zur Implementierung einer Lösung im Bereich Privileged Account Security, mit deren Hilfe Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. »Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein«, so Kleist. Menschliche Fehler seien unvermeidbar, so dass Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren würden. »Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen«, ist Kleist sicher. Infos zum IT-Sicherheitsgesetz stellt das BSI online zur Verfügung.
Lesen Sie mehr zum Thema
