IT-Sicherheitsgesetz 2.0 zwischen Vorschrift und Realität Zero Trust muss Grundlage der IT-Sicherheit werden
28. Juli 2022Das IT-Sicherheitsgesetz 2.0 ist bereits letztes Jahr in Kraft getreten und die Sicherheitsinfrastruktur einiger Organisationen hat sich dadurch verändert. Doch wie ist es um die tatsächliche Widerstandsfähigkeit der KRITIS-Betreiber und Lieferkette bestellt?
Mit dem IT-Sicherheitsgesetz 2.0 ist die Verantwortung des BSI gewachsen. Der Bundesbehörde wurde mehr Kompetenz im Bereich der Detektion von Sicherheitslücken wie auch bei der Bedrohungsabwehr zugesprochen. Wir stellen fest, dass sich gleichzeitig immer mehr Unternehmen damit auseinandersetzten, wie sie ihre Operational Technology (OT) schützen können.
Zudem liegt es bei DAX-Konzernen im Trend, Mitarbeiter mit IT-Hintergrund in Führungspositionen einzusetzen. Durch derlei Gesetzesinitiativen steigt zudem das Bewusstsein für IT-Sicherheit und Unternehmer beschäftigen sich schneller mit der Gestaltung einer resilienten Sicherheitsinfrastruktur. Das Wissen um die Gefahren und Konsequenzen eines erfolgreichen IT-Angriffs ist dabei der Schüssel zu besserer IT-Sicherheit, denn kein Verantwortlicher möchte sein Unternehmen zurück zu Stift und Papier führen, bis ein Schaden behoben wurde.
Einführung der Kategorie „im besonderen öffentlichen Interesse“
Mit der Einführung der Kategorie UBI durch das IT-Sicherheitsgesetz 2.0 wurde der Kreis an Organisationen, die sich an bestimmte Prüfungs- und Meldepflichten halten müssen, erweitert. Dadurch wird auch für Unternehmen, die zwar nicht als KRITIS eingestuft werden, aber für unser tägliches Leben unerlässlich sind, ein Mindestmaß an IT-Sicherheitsvorkehrungen vorausgesetzt. Angesichts der angespannten Bedrohungslage müssen wir diversen Bereichen mehr Aufmerksamkeit schenken und von der kurzfristig gedachten Kostenreduzierung als alleinigem Antreiber endlich Abstand nehmen.
Gerade bei kritischen Gerätschaften und Anlagen sollte nicht gespart werden. Um ein anschauliches Beispiel zu nennen: Es gibt Flughäfen, die komplexe Prozesse auf Basis von Excel-Tabellen laufen lassen. Strikte Termine zur Umsetzung von digitalen Mindeststandards sind hier somit sinnvoll. In den USA geht es als Beispiel damit gut voran, auch die Sicherheit zu beachten, da jegliche Initiative die Prinzipien des Konzepts von Zero Trust beinhalten muss. Wie das finanziert und umgesetzt wird, ist nicht immer sofort verständlich, aber zumindest wird festgelegt, wer die Initiative umsetzt und welches Konzept dabei verfolgt werden soll.
Segmentierung der Infrastruktur
Die IT-Systeme vieler Unternehmen sind seit einiger Zeit segmentiert worden, um laterale Bewegungen im Netzwerk zu verhindern. Im Zuge verschiedener Verantwortlichkeiten werden auch bestimmte Infrastrukturen für kritische Umgebungen vorgehalten. Es wird versucht, durch Netzwerksegmentierung die Bereiche und Daten-Kategorien zu trennen, aber bei bestimmten Systemen und Lösungen, die Überschneidungen benötigen, lauert das Risiko an der Schnittstelle. Zum Beispiel sind 51 Prozent der OT-Netzwerke mit den zentralen IT-Netzwerken der Unternehmen verbunden, wie SAP oder Remote Access.
Aus diesem Grund sind Zero Trust und Mikro-Segmentierung die heißen Themen des sicheren IT-Betriebs und die meisten Unternehmen sind für das, was sie tun konnten, schon recht weit gekommen. Die Schutzmechanismen, die beispielweise bei den meisten KRITIS-Betreibern, wie Atomkraftwerken, eingesetzt werden, existieren schon lange Zeit. Allerdings sind die Mechanismen, die dort angetroffen werden, oft physisch oder netzwerkseitig zu bedienen. Sobald man auf die Fern-Kontrolle umsteigt, wird das System etwas geöffnet und an einer Stelle die Abschirmung zerrissen, wodurch ein Einfallstor für Angreifer entsteht.
Mit Zero Trust die Richtlinien erfüllen
Beispiel USA: Nach dem National Institute of Standards and Technology (NIST) müssen Unternehmen dort bei der Zugriffskontrolle eine vom Netzwerk unabhängige Prüfung anhand diverser Kriterien durchführen. Dabei bleiben die Kriterien, unerheblich des Standortes des Nutzers, dieselben. Die Prüfung erfolgt auf Basis dessen, worauf der Zugriff erfolgen soll.
Dabei konzentriert man sich nicht mehr auf den Netzwerkzugriff allein, sondern auf den Anwendungszugriff. Die Anwendungen können in der Cloud, im Rechenzentrum oder am Edge (Edge Computing) sitzen. Das heißt, dass die Sicherheit wegzieht vom Netzwerkfokus hin zum Applikationsfokus. Ein Nutzer erhält bei diesem Konzept immer nur Zugriff zu einer Anwendung und niemals zum Netzwerk an sich. Somit ist weniger sichtbar und damit angreifbar.
Diese Vorgehensweise hilft sehr, weil das Risiko einer lateralen Bewegung im Netzwerk verringert wird. Kann ein Nutzer zum Beispiel auf SAP zugreifen, ohne im Netzwerk zu sein, wird verhindert, dass dieser auf andere Systeme oder Anwendungen zugreifen kann. Dabei geht es nicht um ein Misstrauen gegenüber Mitarbeitern, sondern um den grundlegenden Ansatz, keinem Gerät zu vertrauen, weil jedes Konto eines Mitarbeiters von Hackern übernommen werden könnte oder ein Gerät mit Malware verseucht wurde. Man geht somit pauschal davon aus, dass jedes einzelne Gerät gefährlich sein könnte.
Mit intelligenten Zugriffssystemen können automatisiert für jeden Nutzer die Zugriffsrechte anhand seines Profils festgelegt werden. Bei Abweichungen oder auffälligen Anfragen reagieren die Administratoren und Programme dann sofort. Je nach Sicherheitsinteresse kann zum Beispiel nur der Zugriff mit einer deutschen IP-Adresse erlaubt werden. Dabei kann man aber getrost differenzieren: Wenn es um ein Microsoft-Office-365-Dokument geht, an dem mehrere Mitarbeiter arbeiten wollen, werden andere Sicherheitsmerkmale benötigt, als wenn man versucht, wegen der Fernwartung auf ein Atomkraftwerk zuzugreifen.
Sicherheit der Lieferkette steigt
Die Cloud ist nicht mehr als ein weiterer Ort, an dem Unternehmen ihre Daten speichern können. Es stellt sich jedoch die Frage, wie man seine Daten über alle Speicherorte hinweg schützen kann. Dabei geht es auch um Lieferkettensicherheit: Nehmen wir einen Software-Anbieter als Beispiel, der 20 000 Kunden bedient.
In diesem Fall braucht es nur einen abtrünnigen Support Engineer, der seinen Zugriffsschlüssel verkauft, um an 20.000 Konten zu gelangen. Wie kann man das einschränken? Wie kann man zusätzliche Schutzmechanismen einbauen? Diesen Fragen müssen sich Unternehmer stellen, denn trotz der ISO-Norm zum Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten muss der Kunde der Cloud-Umgebung letztlich entscheiden, wer Zugriff zu den Daten bekommt.
Ein schönes Beispiel dafür ist die USA, wo durch eine Vielzahl an Angriffen auf KRITIS-Betreiber strenge Vorgaben erlassen wurden. Jedes neue IT-System muss Zero Trust als Konzept einführen und in jedem Management Board soll ein Sicherheitsverantwortlicher sitzen, damit man diese Themen fachmännisch behandeln kann und so das Risiko für die Lieferkette gesenkt wird.
Internationale Zusammenarbeit gefordert
Jeder Staat hat eigene Gesetze und Vorgaben zum Datenschutz und zur IT-Sicherheit. Auf Behördenseite fehlen teilweise noch die Kräfte, um effektiv gegen Bedrohungen vorgehen zu können, aber wir beobachten dahingehend eine positive Entwicklung: Das BSI bekommt mehr Kompetenz und Kapazität.
Sogar der Bundesrechnungshof hat angewiesen, IT-Sicherheit mit hoher Priorität durchzusetzen. Wir sehen also behördenübergreifend eine Bereitschaft, das Blatt zu wenden. Auch die Abteilungen beim Landeskriminalamt und Bundeskriminalamt sind in guter Größe vorhanden. Es ist eher die internationale Kapazität, die noch nicht gegeben ist.
Wenn man eine Hacker-Gruppe lahmlegen will, gilt es, länderübergreifend zusammenzuarbeiten, Muster zu erkennen und im richtigen Moment zuzuschlagen. Wenn ein deutsches Unternehmen eine Hacker-Gruppe in Vietnam verklagen möchte, stellen sich viele Fragen: Welche juristische Person wird verklagt beziehungsweise welche natürliche Person steckt dahinter? Inwiefern ist die polizeiliche und justizielle Zusammenarbeit mit anderen Ländern geregelt? Das ist oft unklar, je nach Bündnis oder politischer Beziehung.
Interessant dabei auf technischer Ebene: Das größte Risiko stellen nicht Malware-Gruppen dar, die bereits bekannt sind, sondern die Bedrohungen, die noch keiner kennt, sogenannte Zero-Day-Attacken. Anhand der Historie von Gruppierungen kann man deren Vorgehen einschätzen und mit Künstlicher Intelligenz (KI) Muster erkennen. Die Art und Weise des Angriffs ist vielleicht unbekannt, man erkennt aber Muster und kann dann diese einer Gruppe zuordnen.
Das IT-Sicherheitsgesetz 2.0 ist somit ein guter Schritt in die Richtung der virtuellen Widerstandskraft deutscher KRITIS-Betreiber und Lieferketten. Es gibt hier einige gute Bestrebungen von Seiten der Unternehmen als auch der Behörden zu verzeichnen.
National kann man Deutschland nun als gut aufgestellt bezeichnen. Angesichts der weltweiten Bedrohungslage brauchen wir aber mehr internationale Zusammenarbeit – und Zero Trust als präventiv angelegtes Konzept in jeder Organisation. Nur so können Unternehmen, Behörden und Einrichtungen jedem Angreifer langfristig standhalten.
Kevin Schwarz ist Director Transformation Strategy bei Zscaler.