Wie sich kritische Infrastrukturen - KRITIS gegen Cyberattacken absichern können - Cyber Security Services von DriveLock

Wie sich KRITIS-Unternehmen gegen Cyberangriffe absichern können

So erfüllen Sie die IT-Sicherheitsvorgaben an KRITIS-Unternehmen


Fordern Sie hier die Webinaraufzeichnung "Sicherheit für kritische Infrastrukturen (KRITIS)" an:

Download

 

 

DriveLock in der Praxis

Use Case | Kritische Infrastrukturen

 

Die Grundversorgung des Landes im Visier von Angreifern.

Sie bieten die Grundversorgung für das Gemeinwesen mit Millionen von Betroffenen im Falle einer Störung. Kritische Infrastrukturen legen aus gutem Grund ein besonderes Augenmerk auf ihre Sicherheitsmaßnahmen und auch die Gesetzgebung sieht dieses vor: durch strenge Bestimmungen und zwingende Audits. Denn ein Angriff kann schnell zum Dominoeffekt führen. Wir helfen Ihnen sich dagegen zu wappnen!

0

Mio. Bundesbürger, die eine Grundversorgung benötigen

0

Sektoren (z.B. Energie, Gesundheit)

0

Branchen (z.B. Elektrizität, Gas, Mineralöl, medizinische Versorgung)
Quelle: kritis.bund.de

KRITIS-Unternehmen im Visier von Cyberattacken und Vorschriften

Versorgungssicherheit als Prämisse - darum gibt es KRITIS Unternehmen

Im IT Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat, wurden besondere Regelungen für versorgungswichtige Unternehmen des Landes getroffen.

Als KRITIS-Unternehmen, also Betreiber kritischer Infrastrukturen, bezeichnet man Unternehmen, deren Betrieb einen wesentlichen Anteil an der (Grund-)Versorgung des Landes (Ziel: Vermeidung von Versorgungsengpässen) hat oder deren Beeinträchtigung die öffentliche Sicherheit gefährden würde.

KRITIS-Unternehmen kommen aus den folgenden Sektoren:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur


Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der o.g. Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird; z.B. fallen bei Krankenhäusern alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.

Nachweispflicht der funktionsfähigen IT-Sicherheit an KRITIS-Unternehmen

Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass Ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die Wirksamkeit der IT-Maßnahmen ist alle zwei Jahre durch Zertifizierungen oder Audits nachzuweisen.

Das aktuell diskutierte IT-Sicherheitsgesetz 2.0 stellt noch höhere Bußgelder bei Nicht-Einhaltung der Umsetzung, eine Ausweitung der Sektoren und die Definition von weiteren Infrastrukturen im besonderen öffentlichen Interesse in Aussicht. KRITIS weitet sich also aus!

 

Branchenspezifische Sicherheitsstandards als Orientierung - B3S

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Branchen einen Sicherheitsstandard für ihren Bereich zu erarbeiten und veröffentlicht hierfür Orientierungshilfen zu den Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a BSIG. Daraus hat z.B. der Gesundheitssektor Strategiepapiere für Krankenhäuser entwickelt. 

 

Auch für Nicht-KRITIS Unternehmen gibt es Empfehlungen

Achtung: Nicht nur KRITIS-Unternehmen sind betroffen, sondern auch deren Zulieferer. Große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern, um ihrerseits entsprechende Nachweise erbringen zu können.

Der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, hat Best Practise Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen herausgegeben. Sind Sie Zulieferer – dann sollten Sie diese beachten.

 

 

Warum ist DriveLock der richtige Partner?

Erfahren Sie mehr zur Mitarbeitersensibilisierung und Applikationskontrolle durch intelligentes Whitelisting in unserem kostenlosen Whitepaper.

Whitepaper herunterladen

Security Awareness und Application Control mit Predictive Whitelisting

 

 

 

Warum ist der KRITIS Sektor besonders lukrativ für Angreifer?

  • Die Gesellschaft ist abhängig von den Dienstleistungen kritischer Infrastrukturen. Deren Verfügbarkeit und Qualität haben hohen Einfluss auf ein funktionierendes Gemeinwesen. 

  • KRITIS-Sektoren sind voneinander abhängig z.B. Stromversorgung und Informations- und Telekommunikationssektor. Bei Schäden drohen Domino-Effekte zwischen den Sektoren.

Kritische Infrastrukturen sind stark miteinander vernetzt und anfällig für Cyberangriffe

Welche Anforderungen bestehen bzgl. Datenverarbeitung und Datensicherheit?

Aus dem Bereich IT-Sicherheit sind von KRITIS-Unternehmen folgende Themen laut der oben genannten B3S Orientierungshilfe abzudecken:

Asset
Management

Inventarisierung der maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten

Technische Informationssicherheit

Maßnahmenkategorien, u.a. Schnittstellenkontrolle, Schutz vor Schadsoftware, Verschlüsselung, Multi-Faktor-Authentifizierung

 

Vorfallserkennung und -bearbeitung

Detektion von Angriffen,
IT-Vorfällen und Reaktion hierauf sowie Forensik

Dabei sind u.a. folgende Bedrohungskategorien definiert:

  • Hacking und Manipulation
  • Identitätsmissbrauch (Phishing, Skimming, Zertifikatsfälschung)
  • Missbrauch durch Innentäter
  • Manipulation, Diebstahl, Verlust, Zerstörung von IT oder IT-relevanten Anlagen und Anlagenteilen
  • Schadprogramme
  • Social Engineering

 

Wie können Sie mit DriveLock effektiv vorbeugen?

Exemplarisch sind folgende Schwachstellenkategorien und Maßnahmenkategorien zur Technischen Informationssicherheit aus dem Anhang der B3S Orientierungshilfe für branchenspezifische Standards genannt - für die DriveLock Lösungen anbietet.

  • Menschliche Fehlhandlungen, menschliches Versagen (Kategorie A.2.4)
    Security Awareness von DriveLock:

    Sensibilisierung der Mitarbeiter und Angestellten durch Online Lessons und interaktive Trainings z.B. zum Schutz vor Fishing-Attacken und Social Engineering.

  • Schnittstellenkontrolle, Intrusion Detection/Prevention (IDS, IPS) (Kap. A.3.1.6)
    Device Control von DriveLock:

    Datenträgerkontrolle und Datenflusskontrolle (nur authorisierte Verwendung von externen Medien wie z.B. USB Sticks).
    Optional ist auch eine Zwangsverschlüsselung der auf den externen Datenträger geschriebenen Daten möglich.
    Ebenso unterstützt DriveLock eine vollständige Auditierung der Verwendung von externen Datenträgern sowie die Protokollierung des Datenflusses bis hin zu Schattenkopien.

  • Schutz vor Schadsoftware (Kap. A 3.3.4)
    Application Control von DriveLock:

    Intelligentes Whitelisting-Verfahren, d.h. eine Positivliste zugelassener Programme, die dynamisch erweiterbar ist

  • Multifaktor-Authentisierung (Kap. A 3.4.2)

    DriveLock SmartCard Middleware:

    Bereitstellung einer Smartcard Middleware für das effiziente Management von Smartcards (auch bei neuen Versionen). Somit ist eine Zugangs- / Zugriffskontrolle und Mehr-Faktor-Authentifizierung herstellerunabhängig und kostengünstig realisierbar.

  • Verschlüsselung (Kap. A 3.5)
    Verschlüsselung von DriveLock:
    • Transparente und schnelle Festplattenverschlüsselung
    • Zuverlässige Verzeichnis- und Dateiverschlüsselung
    • Verschlüsselung von Wechseldatenträgern wie USB Sticks, CD/DVD oder mobilen Festplatten
    • BitLocker Management
 

Haben Sie Fragen zu unseren Lösungen für KRITIS-Unternehmen

Unsere Spezialisten helfen Ihnen weiter.