KRITIS: Beim Zugriffsmanagement ist ein risikobasierter Ansatz die bessere Wahl
Effektives Zugriffsmanagement ist ein drängendes Thema in der IT-Sicherheit. Die meisten Netzwerkangriffe erfolgen durch Privilegienmissbrauch, sei es bei verzeichnisintegrierten Konten oder lokalen Endgeräten. In Unternehmen, die zur kritischen Infrastruktur zählen (KRITIS), müssen nicht nur IT-Netzwerke und Daten geschützt werden, sondern auch gesetzliche Anforderungen erfüllt werden. Wallix bietet einen risikobasierten Ansatz, der beide Ziele schneller und effizienter erreicht, als von den meisten Experten erwartet.
Advertorial
Ein wenig Mehraufwand – mehrfacher Nutzen
Anfang Februar dieses Jahres sorgte ein Report des ARD-Magazins Plusminus für ein kleines Beben in der deutschen KRITIS-Welt: Ein Insider, der im Bereich erneuerbarer Energien arbeitet, entdeckt im Internet eine unzureichend geschützte Solaranlage in Nordrhein-Westfalen mit einer Leistung von 14 Megawatt. Das voreingestellte Passwort wurde nie geändert. Der Insider sucht weiter findet heraus, dass hunderte solcher unverschlüsselter Login-Seiten für Steuerungsportale von Wind- und Solarparks frei im Internet zugänglich sind. Experten schätzen, dass europaweit etwa 2.500 ungesicherte Solaranlagen existieren, was einer Kapazität von etwa 2,8 Gigawatt entspricht. Dieses Sicherheitsrisiko stellt eine Einladung für kriminelle Hacker dar und könnte zu erheblichen Schäden führen. Es gab bereits erfolgreiche Cyber-Angriffe auf Unternehmen in der Windkraftbranche, und ein gezielter Angriff auf erneuerbare Energieanlagen könnte die Netzstabilität der Stromversorgung gefährden.
Wie der Gesetzgeber auf die neue Bedrohungslage reagiert
Der Bericht wirft als Schlaglicht einen Blick auf nur eine einzige Branche. Die Realität zeigt, dass es in anderen KRITIS-Branchen ebenfalls nicht besser aussieht. Besonders das Gesundheitswesen und Versorgungsunternehmen stehen bevorzugt unter Feuer. Selbst der Rüstungskonzern Rheinmetall musste sich in diesem Jahr schon gegen eine Blockade seiner Online-Präsenz verteidigen. Gesetzgeber und Verbände haben reagiert und KRITIS-Unternehmen scharfe Sicherheitsregeln auferlegt. Die relevantesten sind die ISO 27001-Norm – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Form der B3S veröffentlicht, die IEC 62443, die sich mittlerweile als international anerkannter Standard für Security im Umfeld der Prozess- und Automatisierungsindustrie etabliert hat, sowie NIS 2.
Die EU-Richtlinie NIS-2 muss bis Oktober 2024 in nationales Recht umgesetzt werden, in Deutschland durch das IT-Sicherheitsgesetz 3.0. Das Ziel ist ein moderner Rechtsrahmen, um der steigenden Digitalisierung und Cyberkriminalität gerecht zu werden. Unternehmen müssen prüfen, ob sie durch die erweiterte Anwendung der Regelungen auch auf kleine Unternehmen und digitale Plattformen nun betroffen sind. Die bereits beschriebenen Anforderungen bezüglich Cyber-Risikomanagement, Business Continuity Management, Zugangskontrolle, Authentisierung und anderen Sicherheitsmaßnahmen bleiben bestehen. Neu ist die Forderung, die Sicherheit in der gesamten Lieferkette zu berücksichtigen. Das ist in Deutschland jedoch bereits im IT-Sicherheitsgesetz 2.0 festgelegt.
Compliance um den Preis der Sicherheit?
KRITIS beeilen sich nun, Nachweise der Compliance zu erbringen. Beim Thema Zugriffsmanagement scheiden sich jedoch die Geister, auf welche Weise das geschehen soll: CISOs und Compliance-Beauftragte wählen dafür gerne Compliance-basierte Modelle, die sich darauf konzentrieren, Checklisten abzuarbeiten und die bestehenden Maßnahmenkataloge zu erfüllen. Die Betonung liegt also auf dem Bestehen von Audits und der Erfüllung gesetzlicher Anforderungen – die Verringerung tatsächlicher Risiken spielt bestenfalls eine untergeordnete Rolle. Dieses Anliegen steht im Zentrum von risikobasierten Ansätzen, die den Fokus auf der Verringerung tatsächlicher Risiken und Gefährdungen durch Cyberangriffe und Datenschutzverletzungen legen. Bei IT-Sicherheitsteams sind daher risikobasierte Modelle die bevorzugte Wahl.
Bis heute scheitern Ihre Anträge häufig am IT-Management. Dieses rechnet bei solchen Projekten oft mit langen Zeiträumen von zwei bis drei Jahren und einem übermäßigen Aufwand. Hier kommt Wallix ins Spiel. Das Unternehmen hat gezeigt, dass eine rollenbasierte Zugriffsverwaltung mit einem risikobasierten Sicherheitsmodell ohne großen Aufwand in nur zwei bis drei Monaten umgesetzt werden kann. Der einzige vorab erforderliche Aufwand besteht darin, die Kritikalität aller im Unternehmen verwendeten Systeme und gespeicherten Daten sorgfältig zu bewerten. Hierbei bieten gängige BSI- und ISO-Standards sowie entsprechende Tools wertvolle Unterstützung an. Wallix unterstützt darüber hinaus mit Schulungen, Beratung und Workshops. Mithilfe von Expertenberatung werden die geeigneten Risikoklassen ermittelt und individuelle Konzepte entwickelt, die den speziellen Anforderungen des Unternehmens entsprechen. Basierend auf der Risikoklasse werden spezifische Schutzmaßnahmen festgelegt, um den Sicherheitsbedarf angemessen zu decken.
Warum der Mehraufwand sich mehrfach auszahlt
Die Einführung eines risikobasierten Zugriffsmanagementsystems bietet zahlreiche Vorteile. Unternehmen können damit die Zugriffe auf ihre Systeme kanalisieren und kontrollieren. Dadurch erhalten sie eine deutlich höhere Kontrolle über den Zugang zu ihren Ressourcen, insbesondere bei der Einbeziehung externer Mitarbeiter und Dienstleister. Das System schließt vorher bestehende Wissenslücken hinsichtlich der Zugriffe, indem es Informationen darüber liefert, wer wann auf welche Daten zugegriffen hat. Dies ist ein zentraler Aspekt im kontinuierlichen Verbesserungsprozess eines Information Security Management Systems (ISMS).
Ein weiterer Vorteil besteht darin, dass risikobasierte Zugriffsmanagementsysteme die Prozesse vereinfachen und Audit-Trails ermöglichen, um den Zugriff auf interne Systeme nachvollziehbar zu machen. Wallix unterstützt kanalisierte Zugänge, Risikomanagement und die Einteilung in Risikoklassen, was eine schnelle Umsetzung der erforderlichen Prozesse ermöglicht.
Darüber hinaus unterstützt ein risikobasiertes Zugriffsmanagementsystem den CISO dabei, das Spannungsfeld zwischen Compliance- und risikobasiertem Ansatz zu überwinden. Durch die Umsetzung eines solchen Systems können gleichzeitig mehrere Compliance-Punkte im Maßnahmenkatalog erfüllt werden. Dies ist aufgrund der hohen Durchdringung des Zugriffsmanagements im gesamten IT-Bereich möglich, insbesondere im Hinblick auf die Sicherung privilegierter Accounts und hochsensibler Zugangsdaten. Somit wird nicht nur Compliance erreicht, sondern auch ein effektiver Schutz vor möglichen Bedrohungen gewährleistet.
Es ist wichtig im Auge zu behalten, dass die Implementierung eines risikobasierten Zugriffsmanagementsystems eine kontinuierliche Anpassung und Aktualisierung erfordert, da sich die Risikolandschaft ständig ändert. Die Überwachung und regelmäßige Überprüfung des Systems sind unerlässlich, um sicherzustellen, dass es den aktuellen Anforderungen entspricht und effektiv bleibt. Der Aufwand für solche Anpassungen ist – eine sorgfältige Erstklassifizierung vorausgesetzt – überschaubar.
Insgesamt bietet der risikobasierte Ansatz im Zugriffsmanagement eine effektive Strategie für Unternehmen, um Compliance-Anforderungen zu erfüllen, ihre Systeme zu schützen und den ständig wachsenden Bedrohungen in der heutigen digitalen Welt standzuhalten. Wallix hat gezeigt, dass eine solche Implementierung nicht mit einem übermäßigen Aufwand verbunden sein muss und dass die Vorteile, die daraus resultieren, die Mühe mehrfach wert sind.
Mehr zum Thema: Das schlüsselfertige Umsetzungskonzept für kritische Systeme – nach BSI-IT Grundschutz und ISO27001
Stafan Rabben, Area Sales Director DACH & Eastern Europe bei Wallix
Was mit dem risikobasierten Zugriffsmanagement von Wallix erreicht wird
Wallix verfolgt das ehrgeizige Ziel, das Sicherheitsniveau von Unternehmen und ihren Systemen durch fortschrittliches Zugriffsmanagement zu steigern.
Der risikobasierte Ansatz von Wallix ermöglicht präzise Zugriffs- und Interaktionsregeln basierend auf Risikobewertungen und Schutzbedarfsanalysen. Durch die Einschränkung von Zugriffen auf hochriskante Systeme können potenzielle Bedrohungen minimiert werden.
Als Partner von Information Security Management Systemen (ISMS) unterstützt Wallix bei der Einhaltung von Compliance-Anforderungen, insbesondere hinsichtlich Zugriffskontrollen gemäß dem ISO 27001 Framework.
Durch die systematische Klassifizierung von Unternehmenssystemen nach ihrer Kritikalität und die individuelle Festlegung von Risikoklassen bietet Wallix maßgeschneiderte Lösungen, um Zugriffsmanagement effizient umzusetzen und ein hohes Sicherheitsniveau zu gewährleisten.