Datenschutz in KRITIS: Digitalisierung macht Daten mobil wie nie

Cyberkriminelle erbeuten in Frankreich Pläne für eine Atomanlage. Außerdem wurden bei dem Angriff auch Unterlagen zu anderen kritischen Infrastrukturen (KRITIS) wie Gefängnissen und Straßenbahn-Netzen gestohlen. Die Daten wurden kurze Zeit später im Darknet angeboten.

Schlagzeilen zu Cyberattacken sind leider nichts Neues, der Vorfall macht aber deutlich, wie mobil Informationen im Zeitalter der Digitalisierung sind. Das betroffene Unternehmen hat eine Vielzahl von Projekten in aller Welt. Beim Angriff wurden insgesamt 11.000 Dateien mit Daten zu Bauvorhaben in Frankreich, Spanien und Südamerika entwendet.

In der Praxis dehnen sich Netzwerke immer weiter aus und es ist für Organisationen nahezu unmöglich, ein passendes Sicherheitsniveau durch Perimeter-basierte Schutzmechanismen aufrechtzuerhalten. Einrichtungen, die laut IT-Sicherheitsgesetz unter die KRITIS-Definition fallen, oder mit sensiblen Daten aus diesem Bereich hantieren, tragen eine hohe Verantwortung und müssen ihre Strategien und Tools entsprechend anpassen – ansonsten droht die Gefahr von schwerwiegenden Angriffen.

BSI spricht von hohem Niveau bei Gefährdungslage
Das Bundesamts für Sicherheit in der Informationstechnik (BSI) mahnt in seinem aktuellen zur IT-Sicherheit ebenfalls zu der Bedrohungslage: „Die Gefährdungslage in den Kritischen Infrastrukturen ist insgesamt auf hohem Niveau, aber in den verschiedenen Branchen unterschiedlich ausgeprägt. Im Berichtszeitraum erreichten das BSI 145 Meldungen aus den KRITIS-Sektoren; die meisten aus dem Bereich IT und Telekommunikation, die zweitmeisten aus dem Energiesektor.“

Besonders kritisch ist, dass bei vielen Vorfällen die genaue Zahl der betroffenen Daten nicht bekannt ist. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index gibt einen genaueren Einblick.

In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten.

Um eine zusätzliche Schutzschicht aufzubauen, sollten Unternehmen Informationen durch Verschlüsselung schützen. Durch Kryptografie sind Daten geschützt, auch wenn Kriminelle andere Sicherheitsmechanismen umgangen haben. Laut des Berichts des BSI setzt die Regierung auf durchgängig verschlüsselte Kommunikation auf Basis einer robusten Architektur.

Gerade Betreiber von KRITIS sollten diesem Anspruch ebenfalls gerecht werden. Grundsätzlich müssen Unternehmen von diesem Fall ausgehen: Kriminelle brechen in Netzwerke ein und suchen nach Informationen, die sie gewinnbringend weiterverkaufen können.

Wörtlich heißt es im Lagebericht des BSI: „Kryptografische Mechanismen sind die Grundbausteine für die Wirksamkeit vieler IT-Sicherheitsprodukte. State-of-the-Art-Kryptografie wie beispielsweise das symmetrische Verschlüsselungsverfahren AES oder der asymmetrische Diffe-Hellman-Schlüsselaustausch liefern grundsätzlich ausgezeichnete Sicherheitsgarantien.“

Fazit
In der Praxis ist die Herausforderung für IT-Verantwortliche und Sicherheitsbeauftragte schwierig. Natürlich spüren Unternehmen die Veränderung, genau deshalb ist es sinnvoll, sich mit dem Thema Verschlüsselung zu beschäftigen. Mit den richtigen Sicherheitsmechanismen können Unternehmen ihre Abwehrfähigkeit deutlich erhöhen. Allerdings stehen andere Baustellen wie die Cloudmigration, Compliance mit neuen Rechtsnormen und Branchenstandards sowie andere Bereiche nicht still.

Deshalb macht es Sinn, beim Aufbau oder Veränderung von Krypto-Strategien, zumindest zeitweise auf externe Experten zurückzugreifen. Dies entlastet IT-Abteilungen und erlaubt die frühzeitige Integration von Themen wie Cloud oder Mobile Security. Mit dem entsprechenden Know-how und den richtigen Partnern ist die Verwaltung und Umsetzung von Verschlüsselung selbst über eine große Anzahl von Segmenten und Netzwerken einfach realisierbar.