Gesetzgeber gibt strengere Compliance- und IT-Sicherheitsrichtlinien vor
Die Abhängigkeit unserer modernen Gesellschaft von ständig verfügbarem Strom, Wasser, Telekommunikation und Energie ist unbestritten. Es ist daher erschreckend, dass laut aktuellen Untersuchungen viele Stadtwerke und Versorgungsunternehmen ihre Systeme nicht ausreichend vor Angriffen geschützt haben. Dabei sind die Folgen einer temporären und lokalen Unterbrechung der Versorgung sowohl für Privatpersonen als auch für Unternehmen und das Wirtschafts- und Sozialsystem im Allgemeinen verheerend. Die Gefahr durch Cyberangriffe nimmt durch die zunehmende Vernetzung unserer Systeme zu. Allein in 2020 haben über 141 erfolgreiche Angriffe auf KRITIS und KRITIS-nahe Unternehmen stattgefunden. Tendenz steigend.
Der Gesetzgeber verabschiedet für das kommende Jahr ein IT-Sicherheitsgesetz 2.0, welches die Schwellenwerte nach BSI-KritisV senken wird. Durch die Gesetzesänderung werden auch kleinere Versorgungsbetriebe, die dieser bislang nicht zugeordnet wurden, zur kritischen Infrastruktur gezählt. Dadurch sind ab dem kommenden Jahr auch kleine und mittlere Stadtwerke betroffen, die die lokale Bevölkerung versorgen. Die Sicherstellung von Energie-, Strom- und Wasserversorgung sowie weiterer Aufgaben wie Müll- und Abwasserentsorgung sowie dem Betrieb von öffentlichen Verkehrsmitteln stehen im Zentrum der Gesetzesänderung.
Dieser Schwellenwert wird in absehbarer Zeit weiter fallen. Aus diesem Grund sollten sich auch kleinere Stadtwerke und Versorgungsunternehmen bald mit dem Thema IT-Sicherheit befassen. Dabei ist es ratsam, die eigenen Systeme mithilfe moderner Technologien zu sichern.
Der Test-Hacks der Stadtwerke Ettlingen zeigt, wie anfällig Versorgungsunternehmen für Cyberangriffe sind. Es wird klar, dass zusätzlich zu ausfallsicheren physischen Komponenten für die Hochverfügbarkeit der Systeme ganz besonders der softwareseitige Schutz der jeweiligen Informationssysteme und Netzwerke entscheidend ist. Den wesentlichen Baustein für eine nachhaltige IT-Security-Strategie bildet dabei die Abschirmung Ihrer Netzwerke vor einem unerwünschten und damit verheerenden Fremdzugriff. Fremdzugriff, das beinhaltet nicht nur externe Hacker, sondern auch die Verteilung von Zugriffsrechten an Ihre Mitarbeiter. Und dabei steht die nicht-technische Komponente in Ihrem IT-Betrieb ganz klar im Vordergrund: der Faktor Mensch, Ihre Mitarbeitenden.
Die strikte Zugangsbeschränkung zu den verschiedenen Infrastrukturkomponenten ist unabhängig vom Status „kritische Infrastruktur“ essentiell. Wenn es Ihnen gelingt, logische und tiefe Zugangsbeschränkungen aufzubauen und Mitarbeiteridentitäten fälschungssicher zu hinterlegen, schützen Sie nicht nur die dahinterliegenden Komponenten vor einer Attacke, sondern erfüllen gleichzeitig die Compliance- sowie IT-Security-Anforderung des Informationssicherheits-Managementsystems (ISMS).
Die vier Säulen eines kontrollierten Identity und Access Management
- Multi-Faktor Authentifizierung
- Zentrales Zugriffsportal
- Least Priviliges
- Sicherer Dateitransfer
Zur Erfüllung des IT-Sicherheitsgesetzes 2.0 müssen KRITIS-Unternehmen organisatorische und technische Maßnahmen ergreifen, die dem „Stand der Technik“ entsprechen. Durch die Ausweitung des IT-Sicherheitsgesetzes werden die strengen Regularien des BSI weiter ausgerollt, was bedeutet, dass auch Stadtwerke sowie kleinere private Energieversorger eine tiefe technische Absicherung ihrer Systeme vor Cyberangriffen per Gesetz benötigen. Die starke Basis für die Erfüllung von Compliance- und Security-Vorgaben stellt dabei der Schutz der digitalen Mitarbeiteridentitäten dar. Hierzu zählen Zugangsbeschränkungen zu kritischen Systemen und Netzwerken mit einem tiefen Privileged Access Management (PAM) und einer starken Multifaktor Authentifizierung (MFA).
Die Leitnetzwerke sind das Rückgrat der zentralen Versorgungseinrichtungen. Wenn hier eine Störung, ein Ausfall oder eine Manipulation auftritt, ist die Bevölkerung gefährdet. Durch die Verwendung eines Privileged Access Management können die technischen Komponenten strikt von der restlichen IT-Infrastruktur abgegrenzt werden. Nur autorisierte Mitarbeiter mit begrenztem Zugang können auf diese zugreifen. Dies beugt dem Eindringen und der Manipulation des Leitnetzwerkes durch unbefugte Dritte vor und bildet die Grundlage für eine starke Cybersecurity im Umfeld der öffentlichen Versorgungseinrichtungen. Mit der zentralen Lösungen für alle externen und internen schützenswerten Zugangs-Plattform VISULOX können Ihre Mitarbeitenden mit nur einer Anmeldung auf alle ihre Geräte und Applikationen zugreifen, die diese zur Durchführung Ihrer Tatigkeit benötigen. Durch die integrierte Multi-Factor Authentifizierung wird dabei die höchste Sicherheit gewährleistet. Gleichzeitig erleichtert die Plattform den Arbeitsalltag, da eine Protokollierung der Tätigkeiten eine Reproduzierbarkeit und Sicherheit garantiert.
VISULOX bietet, ohne Konfiguration von Agents auf Servern oder Clients, ein zentrales Zugriffsportal, das von überall erreichbar ist und zentrale Kontrolle über alle Tätigkeiten in der IT- und OT Infrastruktur gewährleistet.