Anwendungen – Apps, Fachartikel

IT-Sicherheitsgesetz wird Nutzung starker Authentifizierung unumgänglich machen

IT-Sicherheitsgesetz wird Nutzung starker Authentifizierung unumgänglich machen

Logische Zugangskontrolle (Quelle: HID Global)

Das neue IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, dass sie adäquate „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ ergreifen. Ausdrücklich gefordert wird dabei eine Einhaltung des „Stands der Technik“. Und da liegt bei vielen Behörden und Unternehmen noch einiges im Argen – vor allem im Hinblick auf starke Authentifizierungsverfahren im Umfeld sicherheitskritischer Anwendungsbereiche.

Seit 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es hat wichtige Weichenstellungen hinsichtlich der Notwendigkeit gebracht, umfassende Sicherheitsmaßnahmen zu ergreifen. Das betrifft alle Betreiber kritischer Infrastrukturen. Eine exakte Begriffsdefinition findet sich im Gesetz nicht, allerdings wird hierzu noch eine entsprechende Rechtsverordnung folgen, deren Erarbeitung durch das Bundesministerium des Innern bis Ende 2015 erfolgen soll. Doch der Begriff ist auf jeden Fall sehr weit gefasst, da im Gesetzestext bereits die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen genannt werden. Dass nahezu alle staatlichen Einrichtungen und eine große Anzahl von Unternehmen darunter fallen, liegt auf der Hand. Im Gesetzentwurf der Bundesregierung wird auf aktuelle Schätzungen verwiesen, die von einer Anzahl von 2.000 meldepflichtigen Betreibern kritischer Infrastrukturen ausgehen. Andere Untersuchungen kommen allerdings zu erheblich höheren Werten, die bei weit über 10.000 liegen.

Im neuen Gesetz wird ausgeführt, dass die Betreiber kritischer Infrastrukturen künftig verpflichtet sein werden, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

Die ActivID Appliance von HID Global ist eine vielseitige, einfach zu installierende Lösung für die Multi-Faktor-Authentifizierung zum sicheren Zugriff auf Unternehmensnetzwerke und -anwendungen. (Quelle: HID Global)

Doch was heißt hier konkret „Stand der Technik“? Das BSI (Bundesamt für Sicherheit in der Informationstechnik) meint hierzu: „Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Stan-dards wie DIN oder ISO-Standards (...) ermitteln.“ In Deutschland sind hier vor allem auch die IT-Grundschutzkataloge des BSI zu beachten. In ihnen finden sich viele Standards für die IT-Sicherheit, die gerade für Betreiber von kritischen Infrastrukturen relevant sind und die vielfach noch nicht ausreichend berücksichtigt werden. Das haben zahlreiche Sicherheitsvorfälle und erfolgreiche Cyber-Attacken der letzten Vergangenheit ganz klar gezeigt. IT-Security etwa, die nur auf einer klassischen Perimeter-Sicherheit mit Firewall und Antivirenlösungen sowie einem einfachen Passwortschutz basiert, ist vielfach an ihre Grenzen gestoßen. Vor allem Cyber-Angriffe über passwortgeschützte privilegierte Benutzerkonten von Administratoren konnten damit nicht verhindert werden – selbst wenn ein Unternehmen eine strikte Passwort-Policy verfolgt hat, eventuell sogar mit einer automatischen, regelmäßigen Änderung aller Passwörter. Gerade für Betreiber kritischer Infrastrukturen sind derartige Ansätze völlig unzureichend, denn sie entsprechen weder dem Stand der Technik noch den Mindeststandards für IT-Sicherheit im Sinne des neuen Gesetzes. In den Maßnahmenkatalogen des IT-Grundschutzes heißt es im Hinblick auf die Identifizierung und Authentifizierung der Benutzer von IT-Systemen und -Anwendungen: „Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte.“

<< Erste < Vorherige 1 2 3 4 Nächste > Letzte >>

Diesen Artikel empfehlen

Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN

Problematischer jedoch ist, dass auch sieben Tage danach noch 620 davon anfällig waren. Innerhalb einer Woche haben also nur 33 Service-Anbieter die Sicherheitslücke beseitigt. Verglichen mit den Reaktionen auf andere SSL-Schwachstellen mit ähnlicher Tragweite - beispielsweise Heartbleed oder...

TÜV Süd & IT Sicherheit

Für alle gilt aber, dass sie sich bewusst sein müssen, welche Gefahren durch die Digitalisierung unserer Welt bestehen, was ihre Folgen sind und wie sie ihnen begegnen können. Außerdem ist es gerade für global tätige Firmen und insbesondere für jene aus dem Bereich Critical Infrastructure wichtig,...

Studie: Wahrnehmung und Bedenken von IT-Sicherheitsverantwortlichen

James Carder von LogRhythm fasst die sieben zentralen Punkte der Studie zusammen: 1. Unternehmen sehen Informationssicherheit mittlerweile als geschäftstreibenden Faktor – und damit essenziell für strategische Entscheidungen. In diesem Jahr werden fast 60 Prozent der Unternehmen mehr als 11...

Threat Hunting, Unknown und Shadow Assets, Cybersecurity Framework

Auf der RSA Conference in San Francisco hat Tenable heute drei neue Lösungen vorgestellt, die Kunden dabei helfen, deren Sicherheit zu transformieren und gängige Herausforderungen mittels einer strategischen Vision anzugehen.„Die Branche hat sich seit Jahrzehnten auf das Defense-in-Depth-Modell...

FireEye: mehr Marktpräsenz mit zwei neuen Produkten

FireEye Power richtet sich an Organisationen mit ausgereifter IT-Sicherheit. Mit einem integrierten Security-Workflow und hoher kontextueller Intelligence bietet es umfassenden Schutz und eine hohe Sichtbarkeit über das ganze Unternehmen hinweg. FireEye Essentials ist für Organisationen, die...

Massive Datenschutzbedenken gegen die Begrenzung von Bargeldzahlungen

Datenschutz Aus Sicht des Datenschutzes sind die informationelle Selbstbestimmung und das Grundrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz massiv betroffen. Je mehr Zahlungen (gezwungenermaßen) in den bargeldlosen Zahlungsverkehr verlagert werden, desto mehr entsteht die...

Mehrfaktor-Authentifizierung: Mehr Komfort oder mehr Sicherheit?

Um die Usability bei der Authentifizierung zu verbessern, werden immer mehr  „adaptive“ Mehrfaktor-Verfahren angeboten. Ursprünglich diente dieser Ansatz dazu, bei erhöhten Sicherheitsanforderungen „adaptiv“ eine weitere Sicherheitsschranke vor zuschalten. Einige adaptive Zweifaktor-Lösungen...

Verstecktes Internet

Im White Paper „Das versteckte Internet“ skizzieren die Expertinnen und Experten des Forschungsverbunds „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ die aus Sicht des Privatheitsschutzes problematischen Aspekte smarter Technologien und zeigen mögliche Gestaltungspotenziale...

Fünf größte Irrtümer über DDoS

Als Anbieter von DDoS- und ATP-Lösungen (Advanced Threat Protection) zum Schutz der Netzwerke von Unternehmen und Service-Providern verfügt Arbor Networks über die umfassendsten und aktuellsten Informationen zur internationalen Bedrohungslage des digitalen Datenverkehrs. Das einzigartige Arbor...