Wie sich kritische Infrastrukturen - KRITIS gegen Cyberattacken absichern können - Cyber Security Services von DriveLock

Wie sich KRITIS-Unternehmen gegen Cyberangriffe absichern können

So erfüllen Sie die IT-Sicherheitsvorgaben an KRITIS-Unternehmen

 

DriveLock in der Praxis

Use Case | Kritische Infrastrukturen

 

Die Grundversorgung des Landes im Visier von Angreifern.

Sie bieten die Grundversorgung für das Gemeinwesen mit Millionen von Betroffenen im Falle einer Störung. Kritische Infrastrukturen legen aus gutem Grund ein besonderes Augenmerk auf ihre Sicherheitsmaßnahmen und auch die Gesetzgebung sieht dieses vor: durch strenge Bestimmungen und zwingende Audits. Denn ein Angriff kann schnell zum Dominoeffekt führen. Wir helfen Ihnen sich dagegen zu wappnen!

0

Mio. Bundesbürger, die eine Grundversorgung benötigen

0

Sektoren (z.B. Energie, Gesundheit)

0

Branchen (z.B. Elektrizität, Gas, Mineralöl, medizinische Versorgung)
Quelle: kritis.bund.de


Die DriveLock-Lösungen Device Control und Application Control erhielten die Common Criteria Zertifizierung von der unabhängigen schwedischen CSEC Behörde.

 

KRITIS-Unternehmen im Visier von Cyberattacken und Vorschriften

Versorgungssicherheit als Prämisse - darum gibt es KRITIS Unternehmen

Im IT Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat, wurden besondere Regelungen für versorgungswichtige Unternehmen des Landes getroffen.

Als KRITIS-Unternehmen, also Betreiber kritischer Infrastrukturen, bezeichnet man Unternehmen, deren Betrieb einen wesentlichen Anteil an der (Grund-)Versorgung des Landes (Ziel: Vermeidung von Versorgungsengpässen) hat oder deren Beeinträchtigung die öffentliche Sicherheit gefährden würde.

KRITIS-Unternehmen kommen aus den folgenden Sektoren:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur


Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der o.g. Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird; z.B. fallen bei Krankenhäusern alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.

Nachweispflicht der funktionsfähigen IT-Sicherheit an KRITIS-Unternehmen

Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass Ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die Wirksamkeit der IT-Maßnahmen ist alle zwei Jahre durch Zertifizierungen oder Audits nachzuweisen.

Das 2021 verabschiedete Sicherheitsgesetz 2.0 beinhaltet noch höhere Bußgelder bei Nicht-Einhaltung der Umsetzung und eine Ausweitung der Sektoren um den Sektor Siedlungsabfallentsorgung. Daneben müssen  Unternehmen "im besonderen öffentlichen Interesse" (beispielsweise Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.

 

Branchenspezifische Sicherheitsstandards als Orientierung - B3S

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Branchen einen Sicherheitsstandard für ihren Bereich zu erarbeiten und veröffentlicht hierfür Orientierungshilfen zu den Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a BSIG. Daraus hat z.B. der Gesundheitssektor Strategiepapiere für Krankenhäuser entwickelt. 

 

Auch für Nicht-KRITIS Unternehmen gibt es Empfehlungen

Achtung: Nicht nur KRITIS-Unternehmen sind betroffen, sondern auch deren Zulieferer. Große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern, um ihrerseits entsprechende Nachweise erbringen zu können.

Der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, hat Best Practise Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen herausgegeben. Sind Sie Zulieferer – dann sollten Sie diese beachten.

 

Sehen Sie sich unseren Webcast an: "Sicherheit für kritische Infrastrukturen (KRITIS)."

HubSpot Video

 

 

Warum ist DriveLock der richtige Partner?

Erfahren Sie mehr zur Applikationskontrolle durch intelligentes Whitelisting in unserem kostenlosen Whitepaper.

Download

240x335-Application-Control-Whitepaper-english

 

 

 

Warum ist der KRITIS Sektor besonders lukrativ für Angreifer?

  • Die Gesellschaft ist abhängig von den Dienstleistungen kritischer Infrastrukturen. Deren Verfügbarkeit und Qualität haben hohen Einfluss auf ein funktionierendes Gemeinwesen. 

  • KRITIS-Sektoren sind voneinander abhängig z.B. Stromversorgung und Informations- und Telekommunikationssektor. Bei Schäden drohen Domino-Effekte zwischen den Sektoren.

Kritische Infrastrukturen sind stark miteinander vernetzt und anfällig für Cyberangriffe

Welche Anforderungen bestehen bzgl. Datenverarbeitung und Datensicherheit?

Aus dem Bereich IT-Sicherheit sind von KRITIS-Unternehmen folgende Themen laut der oben genannten B3S Orientierungshilfe abzudecken:

Asset
Management

Inventarisierung der maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten

Technische Informationssicherheit

Maßnahmenkategorien, u.a. Schnittstellenkontrolle, Schutz vor Schadsoftware, Verschlüsselung, Multi-Faktor-Authentifizierung

 

Vorfallserkennung und -bearbeitung

Detektion von Angriffen,
IT-Vorfällen und Reaktion hierauf sowie Forensik

Dabei sind u.a. folgende KRITIS-relevante elementare Gefährdungen definiert:

  • Diebstahl und Verlust von Geräten und Datenträgern und Dokumenten
  • Identitätsdiebstahl und Missbrauch von Berechtigungen
  • Manipulation von Informationen, Hardware und Software
  • Schadprogramme
  • Social Engineering
  • Integritätsverlust schützenswerter Informationen

 

Wie können Sie mit DriveLock effektiv vorbeugen?

Exemplarisch sind folgende Schwachstellenkategorien und Maßnahmenkategorien zur Technischen Informationssicherheit aus dem Anhang der B3S Orientierungshilfe für branchenspezifische Standards genannt - für die DriveLock Lösungen anbietet.

 

Haben Sie Fragen zu unseren Lösungen für KRITIS-Unternehmen

Unsere Spezialisten helfen Ihnen weiter.