- Sicherheitsbehörden verzeichnen einen Anstieg von Hackerangriffen auf KRITIS-Betreiber, wobei das Ziel weniger die Erpressung, sondern vielmehr die Störung des Geschäftsbetriebs ist, besonders in kritischen Bereichen wie der Wasser- und Stromversorgung.
- Die Befragung von CISOs, CIOs und IT-Sicherheitsbeauftragten im Rahmen des VeSiKi-Projekts zeigt, dass KRITIS-Betreiber die eigene Sicherheit oft optimistisch einschätzen, obwohl die Bedrohungslage insgesamt als hoch oder sehr hoch bewertet wird.
- Trotz des hohen Sicherheitsbewusstseins bei KRITIS-Verantwortlichen müssen die Schutzmaßnahmen angesichts neuer Sicherheitsvorfälle angepasst und verstärkt werden, einschließlich der Schaffung einer Sicherheitskultur und der Implementierung von Lösungen sicherheitsbewusster Anbieter.
- In diesem Artikel erfahren Sie, wie KRITIS-Betreiber und Softwarehersteller auf die wachsende Gefahr von Hackerangriffen reagieren sollten, um maximale Sicherheit und Schutz zu gewährleisten.
NEHMEN VERANTWORTLICHE DIE GEFAHR ERNST GENUG?
Laut Recherchen der WELT AM SONNTAG beobachteten Sicherheitsbehörden im Vergleich zum letzten Jahr einen eindeutigen Anstieg von Angriffen auf die IT-Infrastruktur von Organisationen. Die Attacken, hinter denen oftmals ausländische Geheimdienste vermutet werden, zielen neuerdings weniger darauf ab, Geld zu erpressen – vielmehr ist das Ziel, den Geschäftsbetrieb möglichst effektiv zu stören. Beispielsweise werde die Wasser- und Stromversorgung manipuliert. Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe eine neue Qualität erreicht. Auch wenn selbstverständlich nicht jeder Störfall mit einem Hack gleichzusetzen sei, wie das BSI betont, sei die Zahl der Vorfälle doch deutlich gestiegen – von 145 im Berichtszeitraum Juni 2017 bis Ende Mai 2018 auf ganze 157 Meldungen in der zweiten Hälfte des Jahres 2018. Hiervon haben 19 dieser Vorfälle den Energiesektor betroffen.
Der Anstieg in diesem Bereich ist erschreckend im Hinblick auf die besondere Sensibilität der betroffenen Branchen – schließlich bringt hier ein möglicher Ausfall die Sicherheit und Gesundheit sowie das soziale Wohlergehen der Bevölkerung in Gefahr. Doch wie schätzen die Betreiber selbst die Situation ein? Mitte letzten Jahres veröffentlichte das Projekt VeSiKi (Vernetzte IT-Sicherheit Kritischer Infrastrukturen), einem Begleitprojekt im Forschungsschwerpunkt ITS/KRITIS des Bundesministeriums für Bildung und Forschung den Bericht „Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen.“ Befragt wurden hier CISOs, CIOs, weitere Mitglieder des Managements und IT-Sicherheitsbeauftragte, u.a. aus KRITIS- Branchen wie Wasserversorgung, Informations- und Kommunikationstechnik, Energie und Gesundheit – aber auch KMUs und Betriebe mit über 250 Mitarbeitern. Die Publikation macht deutlich, dass die KRITIS-Betreiber die eigene Sicherheit oftmals optimistisch einschätzen und sich gut abgesichert fühlen.
Dabei wird allerdings deutlich, dass die Teilnehmer die Gefahr insgesamt durchaus ernst nehmen. Gefragt nach der Einschätzung der Bedrohungslage im Bereich Cybersicherheit, differenziert nach dem Wirtschaftsraum Deutschland, der eigenen Branche, und der eigenen Organisation wurde die Bedrohung konstant als „hoch“, bzw. „sehr hoch“ eingeschätzt. Allerdings wird die Gefährdungslage für die eigene Organisation als geringer wahrgenommen als diese für die jeweilige Branche oder für den Standort Deutschland insgesamt. Die Einschätzung der Gefahr für Gesamtdeutschland wird zu 35% als sehr hoch eingeschätzt, 65% schätzen diese als hoch ein – bezogen auf die einzelne Branche sind es 15% (sehr hoch), 70% (hoch) und weitere 15% (gering). Am Positivsten fällt die Einschätzung der eigenen Organisation aus: 10% sehen hier zwar eine sehr hohe Gefahr, etwas mehr als 70% sehen ein hohes Bedrohungspotenzial, aber knapp unter 20% geben an, nur eine geringe Gefahr wahrzunehmen.
Um zukünftig gegen Gefahren für die IT-Sicherheit gewappnet zu sein, sollten Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen ihr Schutzniveau konstant hochhalten und die Bedrohung zu keinem Zeitpunkt unterschätzen. Aber auch Softwarehersteller, die den Bereich KRITIS bedienen, sollten ihre Verantwortung ernst nehmen und die hohe Datensensibilität in ihre Produkte miteinfließen lassen. Hierzu gehört beispielsweise, sein Produkt durch Sicherheitszertifizierungen unabhängig prüfen zu lassen, hier seinen etwa die ISO 27001 oder das European Privacy Seal (EuroPriSe) erwähnt. Aber auch Features wie eine clientseitige Verschlüsselung und ein durchdachtes Berechtigungssystem, bei dem bestimmten Personen der Zugriff auf Daten erteilt, bzw. verwehrt werden kann, sorgen schon von Vornherein für maximal mögliche Datensicherheit.
Insgesamt deutet vieles darauf hin, dass die Verantwortlichen im Bereich KRITIS zwar über ein hohes Sicherheitsbewusstsein verfügen, allerdings müssen angesichts der immer wieder neu auftretenden Sicherheitsvorfälle innerhalb der letzten Monate die Schutzmaßnahmen angepasst und erhöht werden. Dazu gehört neben der Schaffung einer Kultur der Sicherheit innerhalb des Betriebs durch Aufklärung und Schulungen auch die Implementierung von Lösungen, deren Hersteller das hohe Bedrohungspotenzial bereits bei der Entwicklung in ihr Produkt haben einfließen lassen.
Artikel nach Kategorien
- News (84)
- Produkt & Features (75)
- Datenschutz & DSGVO (72)
- Compliance (70)
- Wertvolle Tipps & Use Cases (48)
- Compliance, Datenschutz & DSGVO (35)
- Datenaustausch & Datentransfer (35)
- Integration & Partner (23)
- API (22)
- Gesundheitswesen (20)
- Finanzwesen (13)
- Auszeichnungen (11)
- Behörden & Kommunen (11)
- THE NEXT STEP (11)
- Finance (9)
- KRITIS (8)
- Human Resources (7)
- Steuerberater (6)
- Steuerberater, Wirtschaftsprüfer & Rechtsanwälte (6)
- Wirtschaftsprüfer & Rechtsanwälte (6)
- Women in IT (5)
- Microsoft Office365 (4)
- Compliance, Data Privacy & GDPR (3)
- Health (3)
- 6 Fragen an... (2)
- Authorities and Communes (2)
- Outlook (2)
- Teams & Co. (2)
- Valuable Tips & Use Cases (2)
- Product & Features (1)
Warnschuss für Gesundheitswesen: Patientendaten jahrelang einsehbar
Laut Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica sind hochsensible medizinische Daten von Patienten aus...
Millionen Patientendaten im Darknet: Viele Praxen nicht geschützt
Wie Recherchen des IT-Journalisten Ronald Eikenberg des Magazins c’t kürzlich zeigten, sind digitale Krankenakten mehrere Millionen von Patienten...
Emotet – Sind Nutzer von Microsoft Office 365 potentiell gefährdet?
Wie diese Wochebekannt wurde, fehlt in einem der weitverbreitetsten Business-Softwareprogramme eine wichtige Sicherheitsfunktion – eine Tatsache,...