IT-Sicherheit für KRITIS (Kritische Infrastrukturen) und Auswirkung von Cyberangriffen
Covid-19 stellt auch die Betreiber Kritischer Infrastrukturen (KRITIS) vor besondere Herausforderungen. Die Verlagerung dienstlicher Tätigkeiten ins Homeoffice bringt zum einen Engpässe bei dienstlichen Geräten, gesicherten Fernzugriffen, aber auch serverbasierten Telekommunikationsdienstleistungen wie Telefon- und Videokonferenzangeboten mit sich. Eine naheliegende Art der Abhilfe liegt im Hinzuziehen von privaten Geräten oder offenen Leitungen. Dies wiederum vergrößert die mögliche Angriffsfläche.
Insgesamt 252 Angriffe auf KRITIS
Dabei zählen KRITIS ohnehin schon zu den bevorzugten Zielen. So verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland“ im Zeitraum von 1. Juni 2018 bis 31. Mai 2019 insgesamt 252 Angriffe auf Kritische Infrastrukturen, darunter unter anderem zwei Angriffe auf kerntechnische Anlagen, 47 im Gesundheitswesen und 60 im Finanzsektor.
Dabei zählen KRITIS ohnehin schon zu den bevorzugten Zielen. So verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland“ im Zeitraum von 1. Juni 2018 bis 31. Mai 2019 insgesamt 252 Angriffe auf Kritische Infrastrukturen, darunter unter anderem zwei Angriffe auf kerntechnische Anlagen, 47 im Gesundheitswesen und 60 im Finanzsektor.
Die Abhängigkeiten zwischen einzelnen Sektoren verstärken das Risiko von Ausfällen. Eine besondere hohe Abhängigkeit besteht von der Stromversorgung oder von Informations- und Telekommunikationssystemen. Sind sie betroffen, werden oftmals auch andere Sektoren in Mitleidenschaft gezogen, zum Beispiel die Wasserversorgung. Durch die Digitalisierung und den vermehrten Einsatz des Internet of Things (IoT) wird die Bedeutung der kritischen Infrastrukturen für das Leben hierzulande noch weiter zunehmen. Künftig werden Energiesysteme immer stärker mit Informationstechnik wie intelligenten Stromnetzen, so genannten Smart-Grids, vernetzt werden.
KRITIS erfordern ein Mindestsicherheitsniveau
Deren ordnungsgemäße Funktion setzt eine verlässliche Datenübertragung voraus. Um eine beständige Versorgung der Gesellschaft zu gewährleisten, ist ein Mindestsicherheitsniveau für Betreiber Kritischer Infrastrukturen unerlässlich. Deshalb wurde die sogenannte Kritisverordnung (KritisV), basierend auf dem seit Juli 2015 gültigen IT-Sicherheitsgesetz (IT-SiG), entwickelt.
Demnach sind die Betreiber, bspw. von Krankenhäusern, verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.
Operationen mussten verschoben werden
Denn immer öfter geraten Krankenhäuser ins Visier der Cyberkriminellen. So schränkte ein Computervirus das Klinikum Fürth im Dezember vergangenen Jahres massiv ein. Das Virus ist vermutlich per E-Mail in die Computersysteme eingedrungen. Als Reaktion wurde die Internetverbindung des Klinikums vorsorglich gekappt. Das Klinikum konnte vorübergehend keine neuen Patienten mehr aufnehmen und musste Operationen verschieben.
Wenige Monate zuvor waren Krankenhäuser und andere Einrichtungen des Deutschen Roten Kreuzes in Rheinland-Pfalz und im Saarland von einem Cyberangriff betroffen. Das Netzwerk des Verbundes wurde von einer Schadsoftware befallen, die Server und Datenbanken kryptisch verschlüsselte. In der Folge geschah die Aufnahme der Patienten mit Bleistift, Kugelschreiber und Papier.
Eingriff ins digitale Gesundheitswesen kann tödlich enden
Wie weit sich diese kritischen Netzwerke ausdehnen und wie hoch der Grad der Digitalisierung bereits ist, zeigt sich an der elektronischen Gesundheitskarte (eGK) in Verbindung mit der Telematikinfrastruktur (TI). Um die bessere Versorgung der Kartenbesitzer zu gewährleisten, nimmt die Vernetzung von unterschiedlichen Leistungsträgern zu.
Ein Fokus liegt derzeit auf der Entwicklung und dem kommenden Einsatz von neuen Anwendungen wie zum Beispiel das Notfalldatenmanagement, dem eMedikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit und der elektronischen Patientenakte (ePa). Finden Hacker hier Schwachstellen und ändern beispielsweise Medikamente, kann das im schlimmsten Fall mit dem Tod von Menschen enden.
Sicherer Datentransfer kann Abhilfe schaffen
Um jederzeit die Kontrolle über die Daten zu behalten und das wichtigste Gut – das Wissen – vor den Augen Dritter zu schützen, ist eine Lösung zum sicheren und einfachen Datentransfer für Kritische Infrastrukturen heute ein Muss. Eine solche Lösung muss nicht nur sicher und einfach sein, sondern sich auch schnell in wichtige Verwaltungsprozesse der KRITIS integrieren lassen.
Zwar gibt es keinen hundertprozentigen Schutz, denn potenzielle Angreifer haben viele Mittel zur Verfügung, um ihr Ziel zu erreichen. Aber es gibt heute technische und organisatorische Möglichkeiten, die Hürden wesentlich höher zu legen und es Angreifern so schwer wie möglich zu machen.
Überall dort, wo Sicherheit und die Nachvollziehbarkeit bei der Übertragung vertraulicher Daten gefragt sind, kommen Betreiber Kritischer Infrastrukturen an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Dafür ist eine Secure Content-Plattform erste Wahl. Diese Lösungen bieten einen erheblichen Mehrwert, indem sie Unternehmen nicht nur in die Lage versetzen, rechtssicher und DSGVO-konform zu kommunizieren, sondern die Prozesse hinter den Daten zu optimieren und die dazu notwendigen Schnittstellen mit hohen Sicherheitsanforderungen zu vernetzen, diese kontinuierlich zu überwachen, um eine optimale Leistung zu gewährleisten.