Nur ein Viertel der Unternehmen ist auf das IT-Sicherheitsgesetz vorbereitet

Bei Kritischen Infrastrukturen kann aktuell lediglich ein Viertel der Betreiber die vom IT-Sicherheitsgesetz geforderten Mindeststandards einhalten. Das zeigt eine CyberArk-Studie. Als Schwachpunkte gelten privilegierte Benutzer-Accounts.

Erstmals hat der Sicherheitssoftware-Anbieter CyberArk in seiner globalen Untersuchung zum Thema Cyber-Sicherheit auch Betreiber Kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Das Ergebnis: Lediglich 25 Prozent der Unternehmen sind bereits ausreichend gerüstet, um die Anforderungen des Gesetzes umfassend erfüllen zu können. Immerhin 45 Prozent bestätigten, dass sie sich gegenwärtig im ‚Prozess der Vorbereitung‘ befinden. Im Umkehrschluss bedeuten diese Zahlen, dass 30 Prozent der Unternehmen sich mit dem Thema überhaupt noch nicht auseinandergesetzt beziehungsweise noch kein entsprechendes Sicherheitsprojekt gestartet haben.

„Diese Zahlen lassen aufhorchen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. Zunächst habe das IT-Sicherheitsgesetz viele Fragen aufgeworfen. Etliche Betreiber seien sich gar nicht sicher, ob die eigene Infrastruktur im Sinne des Gesetzes als kritisch anzusehen ist. „Diese Unsicherheit gilt aber nicht für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung, denn dafür liegt inzwischen eine entsprechende Rechtsverordnung mit klaren Spezifizierungen vor. Betroffene Betreiber sollten sich unverzüglich mit dem Thema Sicherheit beschäftigen, um gegen Cyber-Angriffe gewappnet zu sein.“

Der Gesetzgeber fordert angemessenen technischen Schutz

Das IT-Sicherheitsgesetz fordert von Betreibern Kritischer Infrastrukturen, eine „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“ Dabei soll der Stand der Technik eingehalten werden. Der Begriff ‚Stand der Technik‘ ist laut Kleist allerdings vielerorts unklar. „Unserer Meinung nach sollten die Unternehmen auf vorhandene nationale oder internationale Standards wie DIN oder ISO zurückgreifen. Darüber hinaus empfehlen wir, dass die Verantwortlichen die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik zurate ziehen.“

Gemäß IT-Sicherheitsgesetz müssten Betreiber Kritischer Infrastrukturen ihre Netzwerke künftig nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Zur Abwehr von Cyber-Angriffen gebe es vielfältige Sicherheitsmaßnahmen. „Ein oft vernachlässigter Bereich sind die privilegierten Benutzerkonten, wie sie Administratoren besitzen“, erläutert Kleist. „Nahezu alle größeren Angriffe der jüngsten Vergangenheit lassen sich nämlich auf die missbräuchliche Nutzung von Administrator-Passwörtern zurückführen.“

Privilegierte Benutzerkonten sind eine Schwachstelle

Auch das BSI selbst weist auf die Schwachstelle privilegierte Benutzerkonten hin. Im Themenpapier Ransomware: Bedrohungslage, Prävention & Reaktion führt die Bundesbehörde aus, dass „bei Ransomware-Vorfällen Versäumnisse bei der Prävention deutlich aufgezeigt“ werden. Explizit nennt das Themenpapier schwache Administrator-Passworte.

Um die gesetzlichen Vorgaben zuverlässig zu erfüllen, ist es laut CyberArk unerlässlich, eine Lösung im Bereich Privileged Account Security zu implementieren, mit der sich Benutzerkonten mit erweiterten Rechten verwalten lassen. Diese Lösung sollte eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter sicherstellen. „Viele Unternehmen ändern ihre Passwörtern manuelle“, berichtet Kleist. „Das kann nicht der Weisheit letzter Schluss sein, da dabei menschliche Fehler unvermeidbar sind. Zudem dürften Aufsichtsbehörden solche Verfahren künftig kaum mehr akzeptieren.“ Außerdem ließen sich bei manuellen Verfahren die Abhängigkeiten von sogenannten Technischen Usern kaum beherrschen. Jürgen Frisch

Kommentare sind deaktiviert