ohne Google Anlaytics
. .

Kritische Infrastrukturen schutzlos gegen Hackerangriffe

20.12.2016

Nur ein Viertel der Betreiber kritischer Infrastrukturen ist nach eigener Einschätzung derzeit in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. Das hat eine Untersuchung des Sicherheitsunternehmens CyberArk ergeben.

Laut den Studienergebnissen sind lediglich 25 Prozent der Betreiber bereits ausreichend gerüstet sind, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im »Prozess der Vorbereitung« befinden. 30 Prozent der Betroffenen haben sich hingegen offenbar noch nicht mit dem Thema auseinandergesetzt und auch noch kein entsprechendes Sicherheitsprojekt gestartet.

»Etwas beunruhigend sind diese Zahlen schon«, sagt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. Zwar habe das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen sei. Doch das gelte zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliege. »Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein«, rät Kleist.

Das IT-Sicherheitsgesetz fordert von Betreibern kritischer Infrastrukturen, »angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.« Das wirft nach Ansicht von Kleist die Frage auf, was in diesem Zusammenhang Stand der Technik heiße. »Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden«, so Kleist.

Im Prinzip sind Betreiber kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz dazu verpflichtet, ihre Netzwerke künftig nach Mindeststandards abzusichern, das in regelmäßigen Audits nachzuweisen und Hackerangriffe an das BSI zu melden. »Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen«, meint Kleist. Denn alle größeren Angriffe der jüngsten Vergangenheit seien auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen.

Kleist rät zur Implementierung einer Lösung im Bereich Privileged Account Security, mit deren Hilfe Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. »Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein«, so Kleist. Menschliche Fehler seien unvermeidbar, so dass Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren würden. »Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen«, ist Kleist sicher. Infos zum IT-Sicherheitsgesetz stellt das BSI online zur Verfügung.


Aktuelles von Verlaat

Net at Work veröffentlicht Version 12 von NoSpamProxy

Neues Senderreputationssystem und Anlagenmanagement verbessern E-Mail-Sicherheit dort, wo...

weiterlesen »
Die gemeinsame Geschichte wird fortgeschrieben...

Die Kieler Zeitung Verlags- und Druckerei KG–GmbH & Co. setzt ein weiteres IT-Projekt mit..

weiterlesen »

Kunden sagen

Sehr geehrte Herren Verlaat, sehr geehrter Herr Cassens,

Wir möchten Ihnen hiermit unsere herzlichen Glückwünsche zu Ihrem Jubiläum übermitteln.

weiterlesen »
Sehr geehrte Damen und Herren,

zum 30. Firmenjubiläum möchte ich Ihnen auf diesem Wege meine besten Wünsche und meine Gratulation...

weiterlesen »

Remote-Support

Remote-Support

YouTube

YouTube

Facebook

Facebook

Ticketsystem

Ticketsystem

Xing

Kontakt

Kontakt
  • Landesprogramms Wirtschaft SH
  • CrefoZert 2017 Bonitätszertifikat, gültig bis 2018

Hauptsitz

Jens Verlaat Services GmbH
Am Redder 4
24558 Henstedt-Ulzburg

Tel.: 04193 - 75 75 75
Fax: 04193 - 75 75 70
info(at)verlaat.de