Hacker kappen Wasserversorgung: KritisV muss dringend umgesetzt werden

Kritische Infrastrukturen: Wer hat Zugriff und welche Rechte bei Strom, Gas und Wasser

Berlin, 21. Juli 2016 – Das Szenario ist filmreif: Hacker könnten bei höchster Sommerhitze die Wasserversorgung in Großstädten manipulieren – mit dramatischen Folgen. „Jedes Wasserwerk ist heute ein computergesteuertes IT-System und dementsprechend anfällig gegen einen gezielten digitalen Angriff. Richtlinien zur Compliance sind hier überlebenswichtig“, warnt Matthias Schulte-Huxel, CSO für das Berliner ARM-System 8MAN. Die BSI-Kritisverordnung (BSI-KritisV) ist ein erster Entwurf des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Schaffung einer Verordnung, mit der die Verantwortlichkeiten klar geregelt sind. ARM – das Access Rights Management – ist ein wesentlicher Bestandteil zur Absicherung kritischer Infrastrukturen: „Neben dem Feind von außen muss auch der interne Zugriff kontrolliert werden. Wer hat auf welche Systeme Zugriff, wie kann das überwacht werden – und was passiert im Fall eines Angriffs“, sagt Schulte-Huxel. Bereits heute sichert das Berliner System Unternehmen und ihre Netzwerke in unterschiedlichsten Branchen ab, auf Knopfdruck analysiert 8MAN die vorhandene Infrastruktur und legt die Rechtesituation offen.

Access Rights Management erfüllt Nachweispflicht

Unbefugte Zugriffe auf Daten sind eine gefährliche Quelle für unkalkulierbare Risiken. Bei Infrastrukturen, deren Funktion unmittelbar mit dem staatlichen Gemeinwesen verbunden ist, ziehen Ausfälle oder Beeinträchtigungen erhebliche Störungen der öffentlichen Sicherheit und Gesundheit nach sich. Nur eine interne Lösung für das Access Rights Management kann hier den Nachweis führen, wer zu welcher Zeit Zugriff gehabt hat. Ebenso kann bewiesen werden, dass ein Zugriff nicht möglich war. „Zur Zeit ist Fakt, dass jeder Mitarbeiter in einer solchen Infrastruktur einen Satz elektronischer Schlüssel für unkontrollierbar viele Türen hat. Mit denen kann er sich Zugang zu Systemteilen verschaffen, die nicht unmittelbar mit seiner Aufgabe verbunden sind. Und der Fingerabdruck, der dabei entsteht, wenn Mitarbeiter auf Daten zugreifen, die sie eigentlich nicht benötigen, wird bisher nicht analysiert“, beschreibt Matthias Schulte-Huxel von 8MAN die Situation. Auf Knopfdruck macht 8MAN ersichtlich, wer welche Berechtigungen im Unternehmen hat. Diese Funktion erstreckt sich auf sämtliche digitale Systeme und umfasst auch Hintertüren wie Gruppenzugehörigkeiten. Damit schützt das so genannte „Need-to-know-Prinzip“ nicht nur das Unternehmen, sondern im Fall der Fälle auch den einzelnen Mitarbeiter.

Revisionssicherheit mit 8MAN

Die Berechtigungen können ebenso leicht verändert werden, jeder Eingriff wird dabei protokolliert. Über einfache Nutzerschnittstellen können jedoch auch Fachabteilungen individuell Rechte vergeben, ein Vieraugen-Prinzip und volle Protokollierung sichern den Prozess ab. 8MAN erfüllt bereits heute wesentliche Forderungen der Datenschutz-Grundverordnung DS-GVO, die auch für die KritisV verbindlich sein wird. „Mit 8MAN ist ein unbefugter Zugriff auf jede IT-Infrastruktur – ob kritisch oder nicht – ausgeschlossen. Selbst wenn die hochrangigste Person im Unternehmen sich alle Rechte verleiht, sämtliche Daten kopiert oder Manipulationen vornimmt und anschließend die Berechtigungen wieder löscht: 8MAN ist Zeuge, eine Manipulation unserer Lösung ist nicht möglich“, so der 8MAN CSO Schulte-Huxel.

8MAN (www.8man.com) ist eine führende Lösung für Access Rights Management (ARM) in Microsoft- und virtuellen Server-Umgebungen und schützt damit Unternehmen vor unberechtigten Zugriffen auf sensible Daten. Die 8MAN Kernfunktionen umfassen: Permission Analysis, Security Monitoring, Documentation & Reporting, Role & Process Optimization und User Provisioning. Die in Deutschland von Protected Networks entwickelte Software-Lösung setzt Maßstäbe für professionelle Netzwerksicherheit und agile IT-Organisation und bündelt modernste Funktionalität mit der Erfüllung gängiger Sicherheits- und Compliance-Richtlinien.