Home / Themen / Analysen / Nur wenig Betreiber sind auf IT-Sicherheitsgesetz ausreichend vorbereitet

Nur wenig Betreiber sind auf IT-Sicherheitsgesetz ausreichend vorbereitet

Nur ein Viertel der Betreiber Kritischer Infrastrukturen ist nach eigener Einschätzung aktuell in der Lage, die vom IT-Sicherheitsgesetz geforderten Mindeststandards einzuhalten. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im „Prozess der Vorbereitung“ befinden. Im Umkehrschluss bedeuten diese Zahlen aber auch, dass 30 Prozent sich mit dem Thema überhaupt noch nicht auseinandergesetzt haben beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.

So lauten zentrale Ergebnisse einer aktuellen CyberArk-Untersuchung. „Etwas beunruhigend sind diese Zahlen schon“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. „Natürlich hat das IT-Sicherheitsgesetz zunächst einige Fragen aufgeworfen, vor allem gab es bei etlichen Betreibern die Unsicherheit, ob die eigene Infrastruktur überhaupt als kritisch im Sinne des Gesetzes anzusehen ist. Doch dies gilt zumindest nicht mehr für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, für die inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vorliegt. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen und adäquate Maßnahmen ergreifen – und das nicht nur, um dem Gesetz zu entsprechen, sondern um besser gegen Cyber-Angriffe gewappnet zu sein.“
Was heißt hier „Stand der Technik?“

Im IT-Sicherheitsgesetz wird von Betreibern Kritischer Infrastrukturen gefordert, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

„Das wirft natürlich die Frage auf: Was heißt hier Stand der Technik?“, so Kleist. „Unserer Meinung nach sollte gemäß den Empfehlungen des BSI auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgegriffen werden und vor allem sollten auch die IT-Grundschutzkataloge des BSI zurate gezogen werden.“

Prinzipiell müssen Betreiber Kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden. „Natürlich gibt es vielfältige Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Ein zentraler Bereich, der noch zu oft vernachlässigt wird, sind dabei die privilegierten Benutzerkonten, wie sie Administratoren besitzen. Der Grund: Nahezu alle größeren Angriffe der jüngsten Vergangenheit sind auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückzuführen.“

Auch das BSI weist wiederholt auf die Schwachstelle privilegierte Benutzerkonten hin. Im aktuellen Themenpapier „Ransomware: Bedrohungslage, Prävention & Reaktion“ etwa führt die Bundesbehörde aus, dass „bei Ransomware-Vorfällen (…) Versäumnisse bei der Prävention deutlich aufgezeigt“ werden; explizit genannt werden hier unter anderem „schwache Administrator-Passworte“.

Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es nach CyberArk unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der Benutzerkonten mit erweiterten Rechten verwaltet werden können. Sie sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. „Eine regelmäßige manuelle Änderung von Passwörtern, die sich immer noch findet, kann nicht der Weisheit letzter Schluss sein“, so Kleist, „da dabei menschliche Fehler unvermeidbar sind und Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren werden. Zusätzlich sind oft die Abhängigkeiten von sogenannten Technischen Usern nicht manuell zu beherrschen.“

Leave a Reply

Your email address will not be published. Required fields are marked *

*