Wer in Deutschland so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist gesetzlich dazu verpflichtet, IT-Systeme und -Komponenten angemessen zu schützen[3]. Das heißt, die Betreiber müssen entsprechende „technische und organisatorische Maßnahmen“ zum Schutz ihrer Infrastrukturen treffen[4]. Doch gerade organisatorische Schutzmaßnahmen wie etwa ausgeklügelte Zugangs- und Rollenkonzepte in IT-Systemen vermitteln oft ein falsches Gefühl von Sicherheit. Denn sie lassen sich mit verhältnismäßig geringem Aufwand umgehen oder aushebeln, etwa durch Insider-Angriffe oder Social Engineering.
Schwachstellen technisch ausschließen
Sinnvoller sei es daher, auf technische Schutzmaßnahmen zu setzen, sagt Karl Altmann, CEO des Münchner Cloud-Security-Anbieters uniscon. Die TÜV SÜD-Tochter entwickelt sogenannte betreibersichere Infrastrukturen, bei denen vollständig auf privilegierte Zugänge für Administratoren verzichtet wird.
Stattdessen sorgen verschiedene ineinander verzahnte technische Maßnahmen in verkapselten Server-Racks dafür, dass Daten und Anwendungen innerhalb der Infrastruktur zuverlässig gegen Attacken und unbefugte – auch physische – Zugriffe geschützt sind[5]. „Anwendung findet diese hochsichere Zero-Trust-Architektur bereits in Kliniken, staatlichen Einrichtungen und Unternehmen mit besonders hohen Sicherheitsansprüchen, etwa als File-Sharing-Ersatz oder für die sichere Verarbeitung von IoT-Daten“, sagt Altmann.
Nicht nur sicher, sondern auch skalierbar
Eignen sich solche hochsicheren Cloud-Plattformen also auch für KRITIS-Betreiber? Das haben die Betreiber je nach Fall selbst zu prüfen. Sicher ist: Betreibersichere Zero-Trust-Architekturen entsprechen dem vom Gesetzgeber geforderten „Stand der Technik“[6] und sind bereits erfolgreich in der Praxis erprobt. Altmann ergänzt: „Hinzu kommt, dass Cloud-Lösungen im Gegensatz zu reinen On-Premise-Lösungen effizient zu implementieren und leicht skalierbar sind. KRITIS-Betreiber müssten also nicht ihre bestehende IT kostspielig erweitern, sondern können weiterhin mit der bereits vorhandenen Infrastruktur arbeiten.“
Weiterführende Informationen erhalten Sie auf Anfrage bei presse@uniscon.de.
[1] https://unit42.paloaltonetworks.com/iot-threat-report-2020/
[2] https://www.heise.de/security/meldung/Waehrend-Coronavirus-Pandemie-Cyberangriff-legt-tschechisches-Krankenhaus-lahm-4683370.html
[3] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[4] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
[5] https://de.wikipedia.org/wiki/Sealed_Cloud
[6] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html