Basis-Infrastruktur für KRITIS von uniscon

IoT-Geräte stellen – sowohl in Unternehmen als auch in medizinischen Einrichtungen – einfache Ziele für Angreifer dar. Dieses Ergebnis liefert eine Studie, die Unit 42, Palo Altos Forschungsteam für Cyber Security, durchgeführt hat. Dabei haben die Sicherheitsspezialisten Vorfälle in den USA unter die Lupe genommen. Allerdings kommt es auch in Europa zu Angriffen gegen Krankenhäuser, beispielsweise haben Hacker kürzlich die Uniklinik in Brno (Tschechien) lahmgelegt. Solche Ausfälle können, gerade aufgrund der aktuellen Lage, fatale Folgen haben.

Screenshot: Sysbus

Die Frage ist nun: Kann das in Deutschland auch passieren? Wer in Deutschland so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist gesetzlich dazu verpflichtet, IT-Systeme und -Komponenten angemessen zu schützen. Das heißt, die Betreiber müssen entsprechende „technische und organisatorische Maßnahmen“ zum Schutz ihrer Infrastrukturen treffen. Doch gerade organisatorische Schutzmaßnahmen wie etwa ausgeklügelte Zugangs- und Rollenkonzepte in IT-Systemen vermitteln oft ein falsches Gefühl von Sicherheit. Denn sie lassen sich mit verhältnismäßig geringem Aufwand umgehen oder aushebeln, etwa durch Insider-Angriffe oder Social Engineering.

Schwachstellen technisch ausschließen

Sinnvoller sei es daher, auf technische Schutzmaßnahmen zu setzen, sagt Karl Altmann, CEO des Münchner Cloud-Security-Anbieters uniscon. Die TÜV SÜD-Tochter entwickelt sogenannte betreibersichere Infrastrukturen, bei denen vollständig auf privilegierte Zugänge für Administratoren verzichtet wird.

Stattdessen sorgen verschiedene ineinander verzahnte technische Maßnahmen in verkapselten Server-Racks dafür, dass Daten und Anwendungen innerhalb der Infrastruktur zuverlässig gegen Attacken und unbefugte – auch physische – Zugriffe geschützt sind. „Anwendung findet diese hochsichere Zero-Trust-Architektur bereits in Kliniken, staatlichen Einrichtungen und Unternehmen mit besonders hohen Sicherheitsansprüchen, etwa als  File-Sharing-Ersatz oder für die sichere Verarbeitung von IoT-Daten“, sagt Altmann.

Nicht nur sicher, sondern auch skalierbar

Eignen sich solche hochsicheren Cloud-Plattformen also auch für KRITIS-Betreiber? Das haben die Betreiber je nach Fall selbst zu prüfen. Sicher ist: Betreibersichere Zero-Trust-Architekturen entsprechen dem vom Gesetzgeber geforderten „Stand der Technik“ und sind bereits erfolgreich in der Praxis erprobt. Altmann ergänzt: „Hinzu kommt, dass Cloud-Lösungen im Gegensatz zu reinen On-Premise-Lösungen effizient zu implementieren und leicht  skalierbar sind. KRITIS-Betreiber müssten also nicht ihre bestehende IT kostspielig erweitern, sondern können weiterhin mit der bereits vorhandenen Infrastruktur arbeiten.“

Weitere Informationen: www.uniscon.com