ANZEIGE
Kritische Infrastrukturen (KRITIS) müssen in besonderem Maße gegenüber Cyber-Gefahren abgesichert sein. Eine Schlüsselrolle spielen dabei Lösungen für privilegiertes Zugriffsmanagement. Auch in Bezug auf NIS2 sind Kommunen damit auf der sicheren Seite.
Der Betrieb kritischer Infrastrukturen stellt Kommunen vor große Herausforderungen. Aufgrund ihrer entscheidenden Bedeutung für das Gemeinwohl müssen sie in besonderer Weise geschützt werden. Im Falle einer Störung entsprechender Einrichtungen drohen gravierende Versorgungsengpässe für die Bevölkerung sowie eine massive Gefährdung der öffentlichen Sicherheit. Ein hohes Bedrohungspotenzial geht dabei von Cyber-Angriffen aus – Tendenz weiter steigend. Kriminelle Hacker entwickeln mit zunehmender „Kreativität“ immer gefährlichere Strategien, um sich illegalen Zugang zu Anlagen, Kontrollsystemen und sensiblen Daten zu verschaffen.
Den Weg hierfür ebnet vor allem die Digitalisierung, die auch im kommunalen Sektor mit rasantem Tempo wächst. Eng verbunden ist dieser Trend mit der durchgängigen Vernetzung von System-Komponenten und dem vermehrten Einsatz neuer, digitaler Technologien. Dazu kommt die zunehmende Verschmelzung von Informationstechnologien (IT) und Betriebstechnologien (OT) in kommunalen Infrastrukturen. Diese Entwicklungen erleichtern es Cyber-Kriminellen, in kritischen Systemen und Infrastrukturen immer mehr Schwachstellen zu identifizieren, die letztendlich als Einfallstor für schwerwiegende Angriffe dienen.
Compliance-Regelungen erhöhen Schutzniveau
Um auf dieses erhöhte Bedrohungspotenzial angemessen zu reagieren, hat der Gesetzgeber einige Bestimmungen auf den Weg gebracht und bestehende Regelungen verschärft. Diese tragen dazu bei, den Schutz von KRITIS und weiteren sensiblen kommunalen Einrichtungen auf eine neue Ebene zu heben. Zu den Regelwerken zählen beispielsweise das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) und die neue KRITIS-Verordnung. Eine weitere wichtige Compliance-Vorschrift ist NIS2. Diese umfasst – verglichen mit der ursprünglichen NIS-Richtlinie – auch sogenannte wesentliche und wichtige Einrichtungen sowie Institutionen der öffentlichen Verwaltung. So nimmt NIS2 also auch kommunale Einrichtungen stärker in die Pflicht. Diese müssen alle sicherheitsrelevanten Vorfälle unverzüglich melden – sowohl in konventionellen IT-Systemen und Netzwerken als auch in KRITIS. Darüber hinaus sind die Institutionen verpflichtet, verschiedene Kontrollverfahren durch Aufsichtsbehörden zu ermöglichen.
Kommunale Unternehmen stehen nun vor der Herausforderung, die neuen und verschärften Vorschriften adäquat umzusetzen und somit die geforderte Compliance in ausreichendem Maße sicherzustellen. Wird etwa NIS2 nicht beachtet, drohen drakonische Bußgelder von bis zu zehn Millionen Euro. Dabei ist die Umsetzung der Richtlinie mit einem hohen organisatorischen Aufwand verbunden und erfordert in der Regel eine tiefgreifende Anpassung der IT-Infrastrukturen. Verantwortliche in den Kommunen müssen entsprechende Risiken bewerten und typische Cyber-Bedrohungen für KRITIS realistisch einschätzen. Zudem besteht die Verpflichtung, Präventiv-Maßnahmen zur effektiven Abwehr von Cyber-Attacken zu entwickeln und umzusetzen.
PAM-Lösungen als Schlüssel für effektiven Schutz von KRITIS
Zur Erfüllung dieser Aufgaben sind kommunale Einrichtungen auf durchdachte technische Lösungen angewiesen. Eine zentrale Rolle spielen dabei Systeme für die privilegierte Zugriffskontrolle (Privileged Access Management, PAM). Denn für den effektiven Schutz von KRITIS ist es insbesondere wichtig, Identitäten und Berechtigungen innerhalb des IT-Ökosystems auf den Prüfstand zu stellen und bedarfsgerecht zu verwalten. Anhand eines undurchlässigen dreistufigen Sicherheitsverfahrens aus Identifizierung, Authentifizierung und Autorisierung muss sichergestellt werden, dass ausschließlich berechtigte Nutzer Zugang zu sensiblen Daten und Anwendungen haben.
Zudem fordert NIS2 eine umfassende Zuweisung von Zugriffsrechten auf privilegierte Konten. Denn vor allem privilegierte User sind mit speziellen Administratorrechten ausgestattet, woraus ein besonders hohes Bedrohungspotenzial resultiert. Und genau hier setzt der PAM4ALL-Ansatz von Wallix an: Er ermöglicht die zentrale Verwaltung sämtlicher Benutzer und Systeme. Dies stellt sicher, dass ausschließlich legitimierte Personen im richtigen Zeitpunkt zum Zugriff auf kritische Ressourcen und Informationen befugt sind. IT-Administratoren können in diesem Kontext auch Regeln und Bedingungen für die Authentifizierung definieren, sodass sich automatisiert der Zugang zu den Daten und Systemen gezielt gewähren oder verweigern lässt. Dadurch sind kommunale Einrichtungen in der Lage, drohende Cyber-Gefahren rechtzeitig zu erkennen und wirksame, präventive Maßnahmen dagegen zu ergreifen.
Webinare gewähren tiefere Einblicke in KRITIS und NIS2
Um die Thematik rund um KRITIS und NIS2 näher zu beleuchten, veranstaltet WALLIX zwei Webinare: Am 29. November 2023 (10:00 bis 11:00 CET) geht es um die Bedeutung von Access Management für die Cyber-Sicherheit und Compliance von KRITIS. Und ein Webinar am 7. Dezember 2023 (10:00 bis 11:00 CET) hilft, die Auswirkungen der NIS2-Richtlinie auf die Sicherheit von Informationssystemen besser zu verstehen. Beide Info-Webinare sind für Teilnehmer selbstverständlich kostenfrei.
Kontakt:
WALLIX GmbH
Prinzregentenstraße 91
81677 München
Tel.: 089 52036568
E-Mail: sales-dach@wallix.com
www.wallix.de
