Aufrufe
vor 1 Woche

BWK_10_2019_App

  • Text
  • Energien
  • Meter
  • Wasserstoff
  • Energie
  • Beispielsweise
  • Digitale
  • Digitalisierung
  • Energiewende
  • Deutschland
  • Unternehmen

D I G I T A L F O R U M

D I G I T A L F O R U M I T - S i c h e r h e i t Mehr Informationssicherheit für Kritis-Betreiber Software bahnt den Weg Die Cyber-Bedrohungslage für Betreiber Kritischer Infrastrukturen (Kritis) wird komplexer, die Vernetzung von Geräten und Infrastrukturen nimmt zu. Die professionelle Steuerung von Informationssicherheit ist für Kritis-Betreiber unerlässlich. Doch wie lässt sich das praxisnah umsetzen? Experten der Kölner Infodas GmbH erläutern, wie auch kleineren und mittelständischen Kritis-Betreibern die systematische Steuerung der Informationssicherheit sicher gelingt. Um ihren Versorgungsauftrag dauerhaft und unterbrechungsfrei erfüllen zu können, sind Kritis- Betreiber durch das IT-Sicherheitsgesetz verpflichtet, ihre Sicherheitsrisiken für die Informationstechnik auf ein Minimum zu reduzieren, ihre IT-Systeme entsprechend abzusichern und Cyber-Attacken der Behörde zu melden. Ohne die Implementierung eines Informationssicherheits- Managementsystems (ISMS) ist dies nicht möglich. Die Einführung einer Sicherheitsarchitektur mit den erforderlichen Prozessen und Maßnahmen schützt die Vertraulichkeit von Information, hat schwerpunktmäßig aber vor allem Verfügbarkeit und Integrität der IT-Infrastrukturen im Blick. Außerdem ermöglicht sie idealerweise die Prävention und Detektion von Kompromittierungen sowie das Eingrenzen damit verbundener möglicher Schäden bis hin zum kompletten Betriebsausfall. Wie so oft unterscheidet sich die Praxis aber von der Theorie. Während Ein ISMS-Tool unterstützt im Idealfall alle Bereiche des Informationssicherheitsmanagements in Unternehmen. größere Unternehmen ihre Informationsverbünde gehärtet haben, haben Kritis-Betreiber mit einer kleineren IT- Sicherheitsabteilung den damit verbundenen Aufwand offenbar vielfach unterschätzt. Denn die Einführung und systematische Steuerung von Informationssicherheit durch ein ISMS ist kein Projekt, dass im Tagesgeschäft nebenbei zu erledigen ist. Je nach Größe und gewählter Methodik können Einführung und Zertifizierung bis zu zwei oder drei Jahre dauern. So konnten einige Kritis- Betreiber den Stichtag 30. Juni 2019 nicht halten – weil Kapazitäten oder Expertise fehlten. 30 BWK BD. 71 (2019) NR. 10

I T - S i c h e r h e i t D I G I T A L F O R U M Lösungsbasierte ISMS-Einführung Die ISMS-Software macht beispielsweise die IT-Struktur und ihren Schutzbedarf im Detail transparent. Bilder (3): Infodas Das wirft zwei Fragen auf. Wie lässt sich das Problem mangelnder Inhouse-Expertise lösen? Unternehmen wie Behörden können auf Managed Services und kompetente Dienstleister oder mittelfristig auf Weiterbildung setzen – oder am besten gleich auf eine geeignete Kombination. Erfahrungsgemäß erwerben Mitarbeiter in Zusammenarbeit mit externen Dritten, die branchenübergreifende Erfahrung im Bereich Cyber Security im Gepäck haben, so wertvolles Wissen „on the job“. Die zweite Frage: Wie lässt sich der Aufwand zur Einführung eines ISMS so gering wie möglich halten? Prinzipiell lässt sich ein ISMS zwar auf Basis von Office-Programmen dokumentieren, die Komplexität der Zusammenhänge treibt diese jedoch schnell an ihre Grenzen. Je nach Organisation sind beim BSI IT- Grundschutz (BSI-Standards 200-1 bis 200-3 sowie 100-4) 500 bis 800 Anforderungen oder mehr zu prüfen und bei mangelhaften Umsetzungen Schwachstellen durch zusätzliche Maßnahmen zu beseitigen. Jedes IT-System ist zu analysieren, und neben rein technischen Maßnahmen gilt es auch, organisatorische Festlegungen zu treffen, beispielsweise Prozesse für das Einspielen von Patches zu definieren. Alle Maßnahmen zur Absicherung sind zu dokumentieren und gegebenenfalls Risikoanalysen durchzuführen. Bei der DIN ISO/IEC 27001 sind es zwar nur knapp über 100 Prüfaspekte in 14 Kategorien, aber auch hier dauert die Einführung und Zertifizierung eines ISMS schnell ein Jahr, weil die grundsätzliche Betrachtungsweise dieselbe ist. Unternehmen, die diese vielfach redundanten und inkrementellen Prüf-, Optimierungs- und Dokumentationsaufgaben „zu Fuß“ mit Excel-Listen und den Gesetzestexten auf dem Schoß bewältigen wollen, riskieren schnell eine Überforderung ihres IT-Sicherheitspersonals. Zudem laufen sie Gefahr, mögliche Schwachstellen zu übersehen. Das kann nicht nur ein Risiko für den Prüfungs- beziehungsweise Zertifizierungsprozess bergen, sondern auch zu viel gravierenderen Auswirkungen im Betrieb führen – bis hin zur Betriebsunterbrechung. Systematischer, gründlicher sowie letztlich sicherer und schneller gelingt die Einführung eines ISMS mit einer ISMS-Lösung. Leistungsumfang bei ISMS-Lösungen variiert In der Regel bilden solche Lösungen die komplexe Materie der BSI- und ISO- Standards komplett ab und können die Wir verbinden Kompetenz mit Effizienz Digitalisierung mit Sicherheit ■■ ■■ ■■ ■■ Systemhärtung und sichere Netze Security Management Schwachstellenanalysen Awareness www.telent.de Besuchen Sie uns in Nürnberg Halle 9, Stand 9-506 Bild: © adobe.com

Ausgabenübersicht