21.07.2016

Hacker kappen Wasserversorgung: KritisV muss dringend umgesetzt werden

Hacker kappen Wasserversorgung:
KritisV muss dringend umgesetzt werden

Kritische Infrastrukturen:
Wer hat Zugriff und welche Rechte bei Strom, Gas und Wasser

Berlin, 21. Juli 2016 – Das Szenario ist filmreif: Hacker könnten bei höchster
Sommerhitze die Wasserversorgung in Großstädten manipulieren – mit dramatischen
Folgen. „Jedes Wasserwerk ist heute ein computergesteuertes IT-System und dementsprechend
anfällig gegen einen gezielten digitalen Angriff. Richtlinien zur Compliance
sind hier überlebenswichtig“, warnt Matthias Schulte-Huxel, CSO für das
Berliner ARM-System 8MAN. Die BSI-Kritisverordnung
(BSI-KritisV) ist ein erster Entwurf des Bundesamtes für Sicherheit in der
Informationstechnik (BSI) zur Schaffung einer Verordnung, mit der die
Verantwortlichkeiten klar geregelt sind. ARM – das Access Rights Management –
ist ein wesentlicher Bestandteil zur Absicherung kritischer Infrastrukturen:
„Neben dem Feind von außen muss auch der interne Zugriff kontrolliert werden.
Wer hat auf welche Systeme Zugriff, wie kann das überwacht werden – und was
passiert im Fall eines Angriffs“, sagt Schulte-Huxel. Bereits heute sichert das
Berliner System Unternehmen und ihre Netzwerke in unterschiedlichsten Branchen
ab, auf Knopfdruck analysiert 8MAN die vorhandene Infrastruktur und legt die
Rechtesituation offen.

Access Rights Management erfüllt Nachweispflicht

Unbefugte Zugriffe auf Daten sind eine
gefährliche Quelle für unkalkulierbare Risiken. Bei Infrastrukturen, deren
Funktion unmittelbar mit dem staatlichen Gemeinwesen verbunden ist, ziehen
Ausfälle oder Beeinträchtigungen erhebliche Störungen der öffentlichen
Sicherheit und Gesundheit nach sich. Nur eine interne Lösung für das Access
Rights Management kann hier den Nachweis führen, wer zu welcher Zeit Zugriff
gehabt hat. Ebenso kann bewiesen werden, dass ein Zugriff nicht möglich war. „Zur
Zeit ist Fakt, dass jeder Mitarbeiter in einer solchen Infrastruktur einen Satz
elektronischer Schlüssel für unkontrollierbar viele Türen hat. Mit denen kann
er sich Zugang zu Systemteilen verschaffen, die nicht unmittelbar mit seiner
Aufgabe verbunden sind. Und der Fingerabdruck, der dabei entsteht, wenn Mitarbeiter
auf Daten zugreifen, die sie eigentlich nicht benötigen, wird bisher nicht
analysiert“, beschreibt Matthias Schulte-Huxel von 8MAN die Situation. Auf
Knopfdruck macht 8MAN ersichtlich, wer welche Berechtigungen im Unternehmen hat.
Diese Funktion erstreckt sich auf sämtliche digitale Systeme und umfasst auch
Hintertüren wie Gruppenzugehörigkeiten. Damit schützt das so genannte
„Need-to-know-Prinzip“ nicht nur das Unternehmen, sondern im Fall der Fälle auch
den einzelnen Mitarbeiter.

Revisionssicherheit mit 8MAN

Die Berechtigungen können ebenso leicht
verändert werden, jeder Eingriff wird dabei protokolliert. Über einfache
Nutzerschnittstellen können jedoch auch Fachabteilungen individuell Rechte
vergeben, ein Vieraugen-Prinzip und volle Protokollierung sichern den Prozess
ab. 8MAN erfüllt bereits heute wesentliche Forderungen der
Datenschutz-Grundverordnung DS-GVO, die auch für die KritisV verbindlich sein
wird. „Mit 8MAN ist ein unbefugter Zugriff auf jede IT-Infrastruktur – ob
kritisch oder nicht – ausgeschlossen. Selbst wenn die hochrangigste Person im
Unternehmen sich alle Rechte verleiht, sämtliche Daten kopiert oder
Manipulationen vornimmt und anschließend die Berechtigungen wieder löscht: 8MAN
ist Zeuge, eine Manipulation unserer Lösung ist nicht möglich“, so der 8MAN CSO
Schulte-Huxel.

8MAN (www.8man.com) ist eine führende Lösung für Access Rights Management (ARM)
in Microsoft- und virtuellen Server-Umgebungen und schützt damit Unternehmen vor
unberechtigten Zugriffen auf sensible Daten. Die 8MAN Kernfunktionen umfassen:
Permission Analysis, Security Monitoring, Documentation & Reporting, Role
& Process Optimization und User Provisioning. Die in Deutschland von
Protected Networks entwickelte Software-Lösung setzt Maßstäbe für
professionelle Netzwerksicherheit und agile IT-Organisation und bündelt
modernste Funktionalität mit der Erfüllung gängiger Sicherheits- und
Compliance-Richtlinien.

Weitere Informationen:

Protected Networks GmbH, Evelyn Seeger,

Alt-Moabit 73, 10555 Berlin, Deutschland,

Tel.: +49 (0)30 390 63 45 62, Fax: +49 (0)30 390 63 45 51,

E-Mail: presse@protected-networks.com, Web: www.protected-networks.com

euromarcom public relations GmbH,

Mühlhohle 2, 65205 Wiesbaden, Deutschland,

Tel.: +49 (0)611 973150, Fax: +49 (0)611 719290,

E-Mail: 8MAN@euromarcom.de, Web: www.euromarcom.de