Freitag, 22. November 2024

IT-SicherheitTresor für sensible Daten

[14.10.2021] Betreiber kritischer Infrastrukturen (KRITIS) sind verpflichtet, ihre Systeme gegen Störungen jedweder Art abzusichern. Das zugrundeliegende IT-Sicherheitsgesetz nimmt in seiner neuen Fassung die öffentliche Hand nun noch stärker in die Verantwortung.

Cyber-Angriffe auf kritische Infrastrukturen bedrohen nicht mehr nur private Wirtschaftsunternehmen, sondern immer häufiger auch Einrichtungen von Bund, Ländern und Kommunen. Brandgefährlich werden dieses Hacks, wenn gängige Programme ins Visier genommen werden. So hat Microsoft jüngst eine weitere Attacke auf Regierungsstellen und NGOs in mindestens 24 Ländern gemeldet. Bei den Hackern handelt es sich laut dem Konzern um die Gruppe Nobelium, die auch hinter dem SolarWinds-Angriff steckte. Von diesem waren im vergangenen Jahr Organisationen in der ganzen Welt betroffen: Die Hacker luden sich ein kompromittiertes Software-Update herunter, mit dem sie dann monatelang interne Daten ausspio­nieren konnten.
Im März dieses Jahres drangen Cyber-Kriminelle über Schwachstellen in der Mail-Software von Microsoft wiederum in fremde Netze ein, unter anderem wurden sechs Bundesbehörden Opfer des Angriffs. Die Microsoft-Lücke hat deutsche Organisationen besonders stark getroffen, weil sie oftmals die E-Mail- und Kollaborationsplattform Exchange im eigenen Haus oder in angemieteten Rechenzentren betreiben. Die dabei verwendeten Exchange-Server-Versionen 2013, 2016 und 2019 wurden zum Teil erst mit Verzögerung durch ein Update gesichert.

Gefahr für die öffentliche Sicherheit

Fallen kritische Infrastrukturen zur Versorgung von Bevölkerung und Wirtschaft mit Energie, Wasser, Lebensmitteln, Medizin oder schnellem Internet Hackern zum Opfer, drohen folgenschwere Engpässe und erhebliche Gefahren für die öffentliche Sicherheit. Alle Organisationen, deren Leistungen für das Allgemeinwohl und den Fortbestand der Wirtschaft und Verwaltung in Deutschland unabdingbar sind, unterliegen deshalb den Vorschriften des IT-Sicherheitsgesetzes. Zu den Auflagen gehört es, die IT- und Ausfallsicherheit am aktuellen Stand der Technik auszurichten. Unter die Regelung fallen neben Bundesbehörden auch Städte und Gemeinden sowie kommunale Unternehmen wie Stadtwerke oder Verkehrsbetriebe.
Aktuell hat die Politik das parlamentarische Gesetzgebungsverfahren für die Version 2.0 des IT-Sicherheitsgesetzes (IT-SiG 2.0) beendet. Zwar müssen zentrale ­Detailvorgaben noch über Verordnungen geregelt werden, nach Unterzeichnung durch den Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt Ende Mai 2021 können aber bereits jetzt wichtige Teile kurzfristig in Kraft treten. Gleichzeitig ist das IT-Sicherheitsgesetz ein so genanntes Artikel- oder Mantelgesetz und bildet die Grundlage für Veränderungen in zahlreichen anderen regulatorischen Vorgaben wie der Kritisverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI), dem Energiewirtschaftsgesetz, dem Telemediengesetz oder dem Telekommunikationsgesetz.

Auch mobile Geräte schützen

Das IT-SiG 2.0 stuft nun auch den Bereich Entsorgung als kritische Infrastruktur ein und erweitert damit den Kreis der betroffenen Institutionen. Hintergrund ist, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen können. Daneben verpflichtet die Neufassung Behörden, Stadtverwaltungen und kommunale Einrichtungen, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Lösungen (Security Information and Event Management) für das schnelle Identifizieren von Cyber-Attacken. Kommt es zu Verstößen, werden künftig analog zur Datenschutz-Grundverordnung (DSGVO) Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig. Zudem erhält das BSI als zuständige Kontrollbehörde deutlich mehr Rechte für die Überwachung.
Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, müssen KRITIS-Unternehmen geeignete Sicherheitsmaßnahmen für die größten Schwachstellen ergreifen. Das schließt die mobile Kommunikation ein. Viele Angestellte in öffentlichen Einrichtungen wie Stadtwerken, Verkehrsbetrieben oder Flughäfen sind außerhalb ihrer eigentlichen Dienststelle unterwegs. Smartphones und Tablets machen mobiles Arbeiten möglich, stellen die Verantwortlichen jedoch vor zahlreiche Herausforderungen. Das gilt vor allem dann, wenn dienstliche Geräte auch privat oder private Geräte dienstlich genutzt werden. Richtet beispielsweise ein Mitarbeiter auf seinem eigenen Smartphone ein dienstliches Exchange-Konto ein, vermischen sich private und geschäftliche Daten und Kontakte. Ebenso kritisch ist es zu sehen, wenn sensible Dokumente in einer Dropbox oder anderen unsicheren Apps abgelegt werden. Derartige Vorgehensweisen gefährden die Datensicherheit und stellen einen Verstoß gegen die DSGVO dar. Bei einer BYOD-Regelung (Bring Your Own Device) verliert die IT-Abteilung zudem die Kontrolle: Geht das Smartphone verloren oder scheidet der Mitarbeiter aus, kann sie sensible Daten nicht löschen.

Container als Lösung

Behörden und kommunale Einrichtungen benötigen deshalb ein System, das private und dienstliche Daten sowie Apps strikt voneinander abschottet. Realisieren lässt sich dies mit einer so genannten Container-Lösung. Sollte sich ein Angreifer tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, steht er vor einem verschlossenen Tresor: Die Daten und Dokumente sind nach höchsten Standards verschlüsselt und werden auch verschlüsselt übertragen. Der Zugriff auf den dienstlichen Bereich wird durch eine PIN oder biometrische Verfahren wie Touch- und Face-ID abgesichert. Für höchste Sicherheitsansprüche kann der Zugriff zusätzlich mit einer Smartcard geschützt werden. Das ist auch Voraussetzung bei der BSI-Zulassung für „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD). Eine Container-Lösung garantiert außerdem die Einhaltung der DSGVO, da keine private App auf dienstliche Kontaktdaten zugreifen kann. Mitarbeiter können zudem keine Daten per Copy-and-Paste in den jeweils anderen Bereich übertragen.
Gerade kommunale Einrichtungen haben jedoch oftmals nicht die personellen Ressourcen, um die Kommunikation ihrer Mitarbeiter mit komplizierten Systemen wie einem Mobile Device Management (MDM) zu schützen. Vor diesem Problem standen auch die baden-württembergischen Stadtwerke Bad Saulgau, die rund 17.000 Einwohner mit Gas, Wasser, Strom, Fernwärme und Breitband versorgen. Die Stadtwerke strebten die Zertifizierung ihres Informationssicherheits-Management-Systems (ISMS) nach ISO 27001 an, eine zentrale Forderung des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a Energiewirtschaftsgesetz. So suchten die IT-Verantwortlichen nach einer Lösung für die mobile Kommunikation, die vor allem Monteuren einen sicheren Zugang zu E-Mail, Kontakten und Intranet ermöglichen sollte.
Die Stadtwerke entschieden sich für die Container-Lösung SecurePIM vom Anbieter Virtual Solution, welche die Einhaltung höchster Sicherheitsstandards gewährleistet. Das System ist leicht zu implementieren und sehr benutzerfreundlich. Der Arbeits- und Support-Aufwand für die IT-Abteilung konnte so deutlich reduziert werden.

Sascha Wellershoff

Der Autor, Sascha WellershoffSascha Wellershoff ist Chief Executive Officer (CEO) beim Münchner Sicherheitsspezialisten Virtual Solution. Davor fungierte er als Group CFO beim Informationslogistiker Retarus, hatte verschiedene Positionen bei der Allianz Group inne und war kaufmännischer Leiter bei Telefónica Germany.



Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...