LANG=de

Wie sich KRITIS-Unternehmen gegen Cyberangriffe absichern können

So erfüllen Sie die IT-Sicherheitsvorgaben an KRITIS-Unternehmen

Jetzt Whitepaper herunterladen:
”IT Sicherheit in kritischen Infrastrukturen”

Jetzt downloaden

Herausforderungen

Warum ist der KRITIS Sektor besonders attraktiv für Angreifer?

Sie bieten die Grundversorgung für das Gemeinwesen mit Millionen von Betroffenen im Falle einer Störung. Kritische Infrastrukturen legen aus gutem Grund ein besonderes Augenmerk auf ihre Sicherheitsmaßnahmen und auch die Gesetzgebung sieht dieses vor: durch strenge Bestimmungen und zwingende Audits. Denn ein Angriff kann schnell zum Dominoeffekt führen.

Wir helfen Ihnen, sich dagegen zu wappnen!

Branchenspezifische Sicherheitsstandards

Versorgungssicherheit als Prämisse - darum gibt es KRITIS Unternehmen

Im IT Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat, wurden besondere Regelungen für versorgungswichtige Unternehmen des Landes getroffen.

Als KRITIS-Unternehmen, also Betreiber kritischer Infrastrukturen, bezeichnet man Unternehmen, deren Betrieb einen wesentlichen Anteil an der (Grund-)Versorgung des Landes (Ziel: Vermeidung von Versorgungsengpässen) hat oder deren Beeinträchtigung die öffentliche Sicherheit gefährden würde.

KRITIS-Unternehmen kommen aus den folgenden Sektoren:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur

Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der o.g. Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird; z.B. fallen bei Krankenhäusern alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.

Nachweispflicht der funktionsfähigen IT Sicherheit an KRITIS-Unternehmen

Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass Ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die Wirksamkeit der IT-Maßnahmen ist alle zwei Jahre durch Zertifizierungen oder Audits nachzuweisen.

Das 2021 verabschiedete Sicherheitsgesetz 2.0 beinhaltet noch höhere Bußgelder bei Nicht-Einhaltung der Umsetzung und eine Ausweitung der Sektoren um den Sektor Siedlungsabfallentsorgung. Daneben müssen  Unternehmen "im besonderen öffentlichen Interesse" (beispielsweise Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.

Branchenspezifische Sicherheitsstandards als Orientierung - B3S

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Branchen einen Sicherheitsstandard für ihren Bereich zu erarbeiten und veröffentlicht hierfür Orientierungshilfen zu den Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a BSIG. Daraus hat z.B. der Gesundheitssektor Strategiepapiere für Krankenhäuser entwickelt. 

Auch für Nicht-KRITIS Unternehmen gibt es Empfehlungen

Achtung: Nicht nur KRITIS-Unternehmen sind betroffen, sondern auch deren Zulieferer. Große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern, um ihrerseits entsprechende Nachweise erbringen zu können.

Der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, hat Best Practise Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen herausgegeben. Sind Sie Zulieferer – dann sollten Sie diese beachten.

Unsere Lösungen

Wie können Sie mit DriveLock effektiv vorbeugen?

❯ Security Awareness: Sensibilisierung von Mitarbeitenden z.B. zum Schutz vor Phishing und Social Engineering

❯ Schnittstellenkontrolle mit Device Control: Datenträger- und Datenfluss-Kontrolle, nur authorisierte Verwendung von externen Medien

❯ Kryptographische Absicherung, Vertraulichkeit, Authentizität oder Integrität von Informationen

❯ Sichere Authentifizierung

❯ Intrusion Detection

Dank DriveLock haben wir unsere Geräte abgesichert und sind damit für die Zukunft gut aufgestellt. Die Einrichtung hat durch die Hilfe von DriveLock reibungslos funktioniert.
Oliver Hoffkamp
IT Administrator bei Stiftung St. Franziskus Heiligenbronn

Weiterführende Informationen

Die DriveLock Lösungen Application Control und Device Control sind nach Common Criteria EAL 3+ zertifiziert.

Whitepaper

Mit diesem Whitepaper unterstützen  wir Sie, Herausforderungen und Risiken für KRITIS-Unternehmen zu identifizieren und umfassende Maßnahmen einzuleiten.

Jetzt Downloaden

Vortrag

Sehen Sie sich den DriveLock-Konferenzvortrag an:
"Herausforderung Krankenhaus 4.0 – Intelligente Krankenhäuser brauchen IT-Security!".

Hier ansehen

Zertifizierung

Die DriveLock-Lösungen Device Control und Application Control sind nach Common Criteria EAL 3+ von der unabhängigen schwedischen CSEC Behörde zertifiziert. 

Flyer lesen

Verwandte Themen

Überzeugen Sie sich selbst: Testen Sie in einer eigenen Cloud-Umgebung 30 Tage kostenfrei

Keine Verpflichtung. Keine Bindung. Unterstützung beim Proof of Concept (PoC).