Kritische Infrastrukturen (KRITIS)

In einer Gesellschaft wo die technische Abhängigkeit größer ist als jemals zuvor und nahezu jeder Lebensbereich stark durch moderne Technik beeinflusst wird, rückt der Schutz kritischer Infrastrukturen (KRITIS) immer mehr in den Fokus. Dabei handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen und dessen Beeinträchtigung oder sogar kompletter Ausfall, dramatische Folgen hätte.

Grundlegende Versorgungsgüter wären in dem Zusammenhang beispielsweise Strom, der Voraussetzung für die industrielle Produktion ist, Trinkwasser, Lebensmittel aber auch die Kommunikations- und Informationstechnik. Diese sind für einen flüssigen Betrieb zusätzlich auf Basisdienste und Zulieferer angewiesen also so genannte kritische Infrastrukturen (KRITIS).

Welche Bereiche fallen unter KRITIS?

  • Energieversorgung
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur

IT-Sicherheitsgesetz 2.0

Laufen nun auch Software-Hersteller unter KRITIS? Das IT-Sicherheitsgesetz wird erweitert. Dreh- und Angelpunkt ist dabei die Absenkung der Schwelle, ab der eine Organisation, ein Unternehmen oder eine Einrichtung als „Kritische Infrastruktur“ eingestuft wird (von der „Versorgungskritikalität” hin zur „IT-Kritikalität”). Zusätzlich findet eine Ausdehnung auf weitere Branchen statt. Um die gesamte Lieferkette abzusichern, sollen darüber hinaus auch Zulieferer derart eingestufter Unternehmen in die Pflicht genommen werden. Was zur Folge hat, dass diese einer besonderen Meldepflicht unterliegen und müssen daher ein definiertes Mindestmaß an IT-Sicherheit einhalten.

Vor dem erstmaligen Einsatz einer Komponente muss eine Erklärung über die Vertrauenswürdigkeit gegenüber dem Betreiber der KRITIS abgegeben werden.

Wir die OEDIV SecuSys GmbH, als Softwarehersteller im Bereich IT-Sicherheit, werden die KRITIS-Vertrauenswürdigkeitserklärung in dem Zusammenhang und gebunden an die Einhaltung der Modellierungsvorgaben eines bi-Cube Kunden, zum Januar 2020 abgeben.

Anforderungen an die IT-Sicherheit

Anforderungen an die IT-Sicherheit:

  • Auditierbarkeit der aktuellen Rechtevergabe
  • Zyklische Rezertifizierung der Zugriffsrechte
  • Zeitlich begrenzte Administrationsrechte
  • Rollentrennung sowie Risikomanagement

bi-Cube ist als IAM Teil von KRITIS

Die Zunahme der Digitalisierung offenbart neue Risiken. Gesteigerte digitale Kommunikation im und mit Unternehmen, digitalisierte Geschäftsprozesse durch intelligente Maschinen oder auch die Integration von Kunden und Geschäftspartnern in interne Prozesse bietet immer mehr Spielraum für Angriffe auf IT-Systeme. Grundsätzlich versuchen Cyber-Kriminelle durch Eindringen in die Unternehmens-IT, zu internen Usern zu werden. Gerne werden dafür vorhandene Accounts gekapert oder richten sich mit dessen Hilfe einen eigenen ein.

bi-Cube als eine zentrale Steuerungsplattform für Berechtigungen aller User in den von bi-Cube verwalteten Systemen, ist bei sachgerechter Nutzung auch in der Lage, Cyber-Angriffe in konkrete Systeme schnell aufzudecken und zu unterbinden.

Dabei obliegt es dem Kunden, die von bi-Cube angebotenen Sicherheitsmaßnahmen, zu aktivieren und permanent zu nutzen.

Von außerordentlicher Bedeutung sind die durch die OEDIV SecuSys GmbH angebotenen Audits, welche abschließend auch zu einem Zertifikat führen können. Dieses Zertifikat dient als Bestätigung für den Kunden, dass er die bi-Cube internen Sicherheitsmaßnahmen entsprechend der gewählten Risikostufe umgesetzt hat. Mit Einordnung in drei Sicherheitsstufen kann sich ein Unternehmen die eigenen Anforderungen selbst festschreiben.