IoT-Geräte in medizinischen Einrichtungen und Unternehmen sind ein leichtes Ziel für Hacker und Cyberkriminelle. Zu diesem Ergebnis kommt eine Studie von Unit 42, dem Forschungsteam für Cybersicherheit von Palo Alto Networks[1]. Untersucht haben die Security-Spezialisten dabei IoT-Vorfälle in den USA. Doch auch in Europa geraten Krankenhäuser zunehmend in den Fokus von Angreifern, wie ein aktueller Fall aus Tschechien zeigt[2]. Dort haben Hacker den Betrieb der Uniklinik in Brno vorübergehend lahmgelegt. Angesichts der aktuellen Pandemie können solche Ausfälle in Krankenhäusern und medizinische Einrichtungen fatale Folgen haben. Kann so etwas in Deutschland auch passieren?
Wer in Deutschland so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist gesetzlich dazu verpflichtet, IT-Systeme und -Komponenten angemessen zu schützen[3]. Das heißt, die Betreiber müssen entsprechende „technische und organisatorische Maßnahmen“ zum Schutz ihrer Infrastrukturen treffen[4]. Doch gerade organisatorische Schutzmaßnahmen wie etwa ausgeklügelte Zugangs- und Rollenkonzepte in IT-Systemen vermitteln oft ein falsches Gefühl von Sicherheit. Denn sie lassen sich mit verhältnismäßig geringem Aufwand umgehen oder aushebeln, etwa durch Insider-Angriffe oder Social Engineering.
Schwachstellen technisch ausschließen
Sinnvoller sei es daher, auf technische Schutzmaßnahmen zu setzen, sagt Karl Altmann, CEO des Münchner Cloud-Security-Anbieters uniscon. Die TÜV SÜD-Tochter entwickelt sogenannte betreibersichere Infrastrukturen, bei denen vollständig auf privilegierte Zugänge für Administratoren verzichtet wird.
Stattdessen sorgen verschiedene ineinander verzahnte technische Maßnahmen in verkapselten Server-Racks dafür, dass Daten und Anwendungen innerhalb der Infrastruktur zuverlässig gegen Attacken und unbefugte – auch physische – Zugriffe geschützt sind[5]. „Anwendung findet diese hochsichere Zero-Trust-Architektur bereits in Kliniken, staatlichen Einrichtungen und Unternehmen mit besonders hohen Sicherheitsansprüchen, etwa als File-Sharing-Ersatz oder für die sichere Verarbeitung von IoT-Daten“, sagt Altmann.
Nicht nur sicher, sondern auch skalierbar
Eignen sich solche hochsicheren Cloud-Plattformen also auch für KRITIS-Betreiber? Das haben die Betreiber je nach Fall selbst zu prüfen. Sicher ist: Betreibersichere Zero-Trust-Architekturen entsprechen dem vom Gesetzgeber geforderten „Stand der Technik“[6] und sind bereits erfolgreich in der Praxis erprobt. Altmann ergänzt: „Hinzu kommt, dass Cloud-Lösungen im Gegensatz zu reinen On-Premise-Lösungen effizient zu implementieren und leicht skalierbar sind. KRITIS-Betreiber müssten also nicht ihre bestehende IT kostspielig erweitern, sondern können weiterhin mit der bereits vorhandenen Infrastruktur arbeiten.“
Weiterführende Informationen erhalten Sie auf Anfrage bei presse@uniscon.de.
[1] https://unit42.paloaltonetworks.com/iot-threat-report-2020/
[2] https://www.heise.de/security/meldung/Waehrend-Coronavirus-Pandemie-Cyberangriff-legt-tschechisches-Krankenhaus-lahm-4683370.html
[3] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[4] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
[5] https://de.wikipedia.org/wiki/Sealed_Cloud
[6] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
Wer in Deutschland so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist gesetzlich dazu verpflichtet, IT-Systeme und -Komponenten angemessen zu schützen[3]. Das heißt, die Betreiber müssen entsprechende „technische und organisatorische Maßnahmen“ zum Schutz ihrer Infrastrukturen treffen[4]. Doch gerade organisatorische Schutzmaßnahmen wie etwa ausgeklügelte Zugangs- und Rollenkonzepte in IT-Systemen vermitteln oft ein falsches Gefühl von Sicherheit. Denn sie lassen sich mit verhältnismäßig geringem Aufwand umgehen oder aushebeln, etwa durch Insider-Angriffe oder Social Engineering.
Schwachstellen technisch ausschließen
Sinnvoller sei es daher, auf technische Schutzmaßnahmen zu setzen, sagt Karl Altmann, CEO des Münchner Cloud-Security-Anbieters uniscon. Die TÜV SÜD-Tochter entwickelt sogenannte betreibersichere Infrastrukturen, bei denen vollständig auf privilegierte Zugänge für Administratoren verzichtet wird.
Stattdessen sorgen verschiedene ineinander verzahnte technische Maßnahmen in verkapselten Server-Racks dafür, dass Daten und Anwendungen innerhalb der Infrastruktur zuverlässig gegen Attacken und unbefugte – auch physische – Zugriffe geschützt sind[5]. „Anwendung findet diese hochsichere Zero-Trust-Architektur bereits in Kliniken, staatlichen Einrichtungen und Unternehmen mit besonders hohen Sicherheitsansprüchen, etwa als File-Sharing-Ersatz oder für die sichere Verarbeitung von IoT-Daten“, sagt Altmann.
Nicht nur sicher, sondern auch skalierbar
Eignen sich solche hochsicheren Cloud-Plattformen also auch für KRITIS-Betreiber? Das haben die Betreiber je nach Fall selbst zu prüfen. Sicher ist: Betreibersichere Zero-Trust-Architekturen entsprechen dem vom Gesetzgeber geforderten „Stand der Technik“[6] und sind bereits erfolgreich in der Praxis erprobt. Altmann ergänzt: „Hinzu kommt, dass Cloud-Lösungen im Gegensatz zu reinen On-Premise-Lösungen effizient zu implementieren und leicht skalierbar sind. KRITIS-Betreiber müssten also nicht ihre bestehende IT kostspielig erweitern, sondern können weiterhin mit der bereits vorhandenen Infrastruktur arbeiten.“
Weiterführende Informationen erhalten Sie auf Anfrage bei presse@uniscon.de.
[1] https://unit42.paloaltonetworks.com/iot-threat-report-2020/
[2] https://www.heise.de/security/meldung/Waehrend-Coronavirus-Pandemie-Cyberangriff-legt-tschechisches-Krankenhaus-lahm-4683370.html
[3] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[4] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
[5] https://de.wikipedia.org/wiki/Sealed_Cloud
[6] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
