DriveLock in der Praxis
Use Case | Kritische Infrastrukturen
Im IT Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat, wurden besondere Regelungen für versorgungswichtige Unternehmen des Landes getroffen.
Als KRITIS-Unternehmen, also Betreiber kritischer Infrastrukturen, bezeichnet man Unternehmen, deren Betrieb einen wesentlichen Anteil an der (Grund-)Versorgung des Landes (Ziel: Vermeidung von Versorgungsengpässen) hat oder deren Beeinträchtigung die öffentliche Sicherheit gefährden würde.
KRITIS-Unternehmen kommen aus den folgenden Sektoren:
Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der o.g. Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird; z.B. fallen bei Krankenhäusern alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.
Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass Ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die Wirksamkeit der IT-Maßnahmen ist alle zwei Jahre durch Zertifizierungen oder Audits nachzuweisen.
Das aktuell diskutierte IT-Sicherheitsgesetz 2.0 stellt noch höhere Bußgelder bei Nicht-Einhaltung der Umsetzung, eine Ausweitung der Sektoren und die Definition von weiteren Infrastrukturen im besonderen öffentlichen Interesse in Aussicht. KRITIS weitet sich also aus!
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Branchen einen Sicherheitsstandard für ihren Bereich zu erarbeiten und veröffentlicht hierfür Orientierungshilfen zu den Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a BSIG. Daraus hat z.B. der Gesundheitssektor Strategiepapiere für Krankenhäuser entwickelt.
Achtung: Nicht nur KRITIS-Unternehmen sind betroffen, sondern auch deren Zulieferer. Große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern, um ihrerseits entsprechende Nachweise erbringen zu können.
Der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, hat Best Practise Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen herausgegeben. Sind Sie Zulieferer – dann sollten Sie diese beachten.
Aus dem Bereich IT-Sicherheit sind von KRITIS-Unternehmen folgende Themen laut der oben genannten B3S Orientierungshilfe abzudecken:
Inventarisierung der maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten
Maßnahmenkategorien, u.a. Schnittstellenkontrolle, Schutz vor Schadsoftware, Verschlüsselung, Multi-Faktor-Authentifizierung
Detektion von Angriffen,
IT-Vorfällen und Reaktion hierauf sowie Forensik
Dabei sind u.a. folgende Bedrohungskategorien definiert:
Exemplarisch sind folgende Schwachstellenkategorien und Maßnahmenkategorien zur Technischen Informationssicherheit aus dem Anhang der B3S Orientierungshilfe für branchenspezifische Standards genannt - für die DriveLock Lösungen anbietet.
Sensibilisierung der Mitarbeiter und Angestellten durch Online Lessons und interaktive Trainings z.B. zum Schutz vor Fishing-Attacken und Social Engineering.
Datenträgerkontrolle und Datenflusskontrolle (nur authorisierte Verwendung von externen Medien wie z.B. USB Sticks).
Optional ist auch eine Zwangsverschlüsselung der auf den externen Datenträger geschriebenen Daten möglich.
Ebenso unterstützt DriveLock eine vollständige Auditierung der Verwendung von externen Datenträgern sowie die Protokollierung des Datenflusses bis hin zu Schattenkopien.
Intelligentes Whitelisting-Verfahren, d.h. eine Positivliste zugelassener Programme, die dynamisch erweiterbar ist
Bereitstellung einer Smartcard Middleware für das effiziente Management von Smartcards (auch bei neuen Versionen). Somit ist eine Zugangs- / Zugriffskontrolle und Mehr-Faktor-Authentifizierung herstellerunabhängig und kostengünstig realisierbar.
DriveLock ist mit seinen Endpoint Security Lösungen seit über 15 Jahren erfolgreich am Markt aktiv. Das Unternehmen mit Sitz in München ist mittlerweile einer der international führenden Spezialisten für IT- und Datensicherheit.
+49 (89) 546 36 49-0
DriveLock SE, Landsberger Str. 396
81241 München, Germany
©2021 DriveLock SE | All rights reserved