Medizinische Technologie
#Digital Infrastructures

IT-Sicherheit für kritische Infrastrukturen

Feature
5 Min.

Es trifft uns alle hart, wenn kritische Infrastrukturen (KRITIS) wie Krankenhäuser und Energieversorger ausfallen oder nur noch eingeschränkt arbeiten. Aufgrund der hohen Anforderungen an die Sicherheit dieser Infrastrukturen ist die IT-Sicherheit in diesen Bereichen gesetzlich geregelt. Von den Sicherheitstechnologien, die für KRITIS konzipiert wurden, können auch andere Unternehmen profitieren, die mit sensiblen Daten umgehen,  beispielsweise bei der Nutzung von Cloud-Lösungen.

Wie wäre es, wenn in einem Krankenhaus aufgrund einer Cyberattacke zwei Wochen lang keine Notfallpatientinnen und -patienten aufgenommen werden können? Dieser Fall ist nicht nur ein theoretisches Gedankenspiel, sondern 2021 tatsächlich eingetreten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte von Juni 2020 bis Mai 2021 rund 144 Millionen neue Schadprogramm-Varianten – ein Plus von 22 Prozent gegenüber dem Vorjahreszeitraum. Besonders stark zugenommen haben Attacken mit Ransomware – Schadsoftware, die Daten verschlüsselt (und damit unbrauchbar macht), wenn kein Lösegeld gezahlt wird. Dies war auch beim Angriff auf das Krankenhaus der Fall. Dieses Beispiel lässt erahnen, wie verheerend die Folgen eines solchen Angriffs sein können.

Dr. Marius Feldmann, COO der Cloud&Heat Technologies GmbH und CEO der secustack GmbH, erläutert: „Die IT-Sicherheit ist nicht einfach ein Zustand, den man final erreicht. Vielmehr ist es ein dauerhafter Prozess, zu dem auch ein dauerhafter Aufbau von Kompetenzen  gehört – gemeinsam mit den Akteuren vor Ort.“ Unternehmen und Betreiber dürfen IT-Sicherheit niemals als einmalige Investition sehen, sondern als kontinuierlichen Prozess, um den Schaden zu begrenzen und zukünftige Manipulationen und Angriffe zu verhindern.

Das neue Gesetz als große Chance

Im Mai 2021 trat in Deutschland das neue IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft. Es sieht nicht nur strengere Vorschriften für KRITIS vor, sondern erweitert auch den Kreis der betroffenen Einrichtungen auf „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Doch auch wenn der Katalog der Mindestanforderungen für diese Unternehmen umfangreicher geworden ist, bleibt die Frage dieselbe: Wodurch wird eine IT-Infrastruktur wirklich sicher?

Das IT-SiG 2.0 enthält einige sehr konkrete Vorgaben: KRITIS-Organisationen müssen Abwehrsysteme einrichten, durch die Angriffe im Idealfall gar nicht erst in die Systeme der Unternehmen vordringen können, weil sie bereits frühzeitig erkannt und gestoppt werden. Zudem müssen sicherheitsrelevante Netzwerk- und Systemkomponenten von vertrauenswürdigen Herstellern bezogen werden, die bestimmte Kriterien erfüllen.

Bei der Ausgestaltung der Sicherheitsmaßnahmen stehen die konkreten Anforderungen der jeweiligen Organisation im Vordergrund. Voraussetzung ist eine gründliche Analyse aller Komponenten, um mögliche Einfallstore zu erkennen und die Systemverwendung zu definieren. Nur so können langfristige Interessen berücksichtigt werden. Als Nächstes müssen die vor Ort benötigten Kompetenzen identifiziert werden, um die erforderlichen Systemanforderungen zu bestimmen – gegebenenfalls mit geeigneten Partnern. Vor allem bei strategischen Entscheidungen zahlt es sich daher aus, langfristig zu denken. Auch wenn immer wieder einzelne Schwachstellen gezielt geschlossen werden können, zeigen die letzten Jahrzehnte, dass IT-Sicherheit nicht nur ein akutes Problem, sondern eine ständige Herausforderung ist.

Selbst wenn ein Unternehmen die Sicherheitskriterien kennt, gibt es oft intern nicht die notwendige Expertise, um die benötigten IT-Infrastrukturen selbst aufzusetzen oder zu verwalten. Es kommt also darauf an, die richtigen Partner zu wählen – und dabei unnötige Abhängigkeiten zu vermeiden. Ein Beispiel: Die Integration einer neuen Cloud-Infrastruktur in bestehende Systeme ist ein langwieriger und kostenintensiver Prozess, sodass ein nachträglicher Wechsel zu einem anderen Anbieter sehr schwierig sein kann. Diese „Vendor Lock-in“-Szenarien können jedoch vermieden werden, wenn bei Entscheidungen nicht die unmittelbaren Kostenvorteile, sondern die mittel- und langfristigen Strategien im Mittelpunkt stehen.

“Die IT-Sicherheit ist nicht einfach ein Zustand, den man final erreicht. Vielmehr ist es ein dauerhafter Prozess, zu dem ein dauerhafter Kompetenzaufbau gehört.“
Dr. Marius Feldmann
COO der Cloud&Heat Technologies GmbH und CEO der secustack GmbH

Sicherheit von Anfang an

Zwei wichtige Säulen einer sicheren IT-Infrastruktur sind das Systemdesign und die verwendeten Standards. Dabei geht es um die Frage, ob Hersteller schon während der Entwicklung an Sicherheit und den Schutz vor äußeren Einflüssen gedacht haben.

„Secure by design“ und „secure by default“ sind nicht nur Schlagwörter, sondern eine wichtige Strategie: Solche Systeme zeichnen sich durch eine sichere Konfiguration ab dem Zeitpunkt der Installation aus. Mit diesem Designansatz entwickelte Systeme sind grundsätzlich gegen Angriffe von außen geschützt und besitzen Vorkehrungen, um menschliche Fehlentscheidungen zu verhindern oder zumindest zu minimieren.

Eine Ärtzin steht an einem Computer

Mehr Sicherheit durch Automatisierung

Bei der Entwicklung eines sicheren IT-Systems müssen die Fehlentscheidungen, die Menschen manchmal treffen, berücksichtigt werden. Es gilt, die Risiken durch mögliche Phishing- oder Social-Engineering-Angriffe zu vermeiden. Dr. Kai Martius, CTO von secunet, erklärt: „Es ist sehr wichtig, mögliche Fehlentscheidungen im Vorfeld zu verhindern und Systeme auch in dieser Hinsicht möglichst sicher zu konstruieren. Dabei hat die kritische Industrie in ihrem angestammten Feld sehr viel Erfahrung. Doch diese Möglichkeiten wurden noch längst nicht in allen IT-Systemen umgesetzt. Hier können Cloud-Technologien durch ein hohes Maß an Automatisierung weiterhelfen.“

Wenn diese hoch automatisierten und sicheren Cloud-Infrastrukturen nach einem festen Schema konfiguriert werden, sind menschliche Fehler fast ausgeschlossen. Die digitale Souveränität in der Cloud ist ein wichtiges Merkmal des Portfolios von secunet. 

Mit der Sicheren Inter-Netzwerk-Architektur (SINA) von secunet können Unternehmen bei der Arbeit mit sensiblen Daten und Dokumenten die vom BSI geforderte Absicherung erreichen. Verwenden Geräte die sichere Inter-Netzwerk-Architektur, können die Beschäftigten von jedem Standort aus auf die Daten zugreifen, ohne die Sicherheit der Daten zu gefährden. SINA lässt sich problemlos an die spezifische Benutzerumgebung anpassen, um beispielsweise die Sicherheitsanforderungen von KRITIS-Unternehmen und UBI zu berücksichtigen.

Darüber hinaus bietet secunet monitor CRITIS ein passgenaues Netzwerk-Monitoring-System für KRITIS-Unternehmen, das die Anforderungen des IT-Sicherheitsgesetzes 2.0 erfüllt. Mithilfe der signaturbasierten Angriffserkennung mittels Netzwerk- und Log-Analyse erfüllt das System die MUSS-Anforderungen gemäß der vom BSI veröffentlichten Orientierungshilfe zum IT-Sicherheitsgesetz 2.0.

Das Angebot von secunet umfasst Beratungen, Penetrationstests und digitale Forensik, um Unternehmen zu befähigen, Angriffe abzuwehren und aktuelle und zukünftige Schwachstellen zu erkennen und zu beseitigen.

Vertrauenswürdigkeit spielt in der IT-Sicherheit eine große Rolle. IT-Sicherheit als Prozess zu verstehen, bedeutet auch, aus Angriffen zu lernen und so potenzielle Risiken weiter zu minimieren. Dieses Verständnis sollten alle Partner in einem Unternehmen mit hohen Sicherheitsanforderungen teilen.

Veröffentlicht: 09.05.2023

Diesen Artikel teilen

Abonnieren Sie unseren Newsletter

Verpassen Sie nicht die neusten Artikel von G+D SPOTLIGHT: Wenn Sie unseren Newsletter abonnieren, bleiben Sie immer auf dem Laufenden über aktuelle Trends, Ideen und technische Innovationen – jeden Monat direkt in Ihr Postfach.

Bitte geben Sie Ihre Daten an: