Angriffsflächenmanagement verbessert IT-Sicherheit

IT-Sicherheitsgesetz 2.0 und KRITIS:

Veröffentlicht 24.09.2021 11:00, Dagmar Finlayson

KRITIS-Betreiber müssen ihre IT-Sicherheitsmaßnahmen ausbauen – das fordert das IT-Sicherheitsgesetz 2.0. Eine kontinuierliche Überwachung der digitalen Angriffsfläche hilft dabei, Schwachstellen zu erkennen, bevor IT-Kriminelle darauf zugreifen können.

  •     Digitalisierung und der Trend zur Cloud vergrößern die digitale Angriffsfläche
  •     IT-Sicherheitsgesetz 2.0 fordert verbesserte Schutzmaßnahmen bei KRITIS-Betreibern
  •     Mehr Unternehmen von den KRITIS-Regelungen betroffen


„Kritische Infrastrukturen werden immer öfter Ziel von Cyberattacken, denn durch die zunehmende Digitalisierung sind sie für IT-Kriminelle leichter erreichbar“, sagt Pieter Jansen, Gründer und CEO von Cybersprint. „Ein lückenloses Management der Angriffsfläche ist daher ein wichtiger Schritt zu mehr Cyber-Resilienz, wie sie vom BSI gefordert wird.“

Digitale Angriffsfläche wächst

Unter der digitalen Angriffsfläche, oder „Attack Surface“ versteht man alle Angriffsvektoren, über die ein unautorisierter Nutzer versuchen kann, Daten einzubringen oder zu entwenden. Angriffsvektoren sind dabei alle IT-Assets, die über das Internet adressierbar sind. Sind sie beispielsweise falsch konfiguriert, können sie IT-Kriminellen als Sprungbrett dienen, über das sie in das Unternehmensnetzwerk eindringen können. Mit der Digitalisierung und dem Trend zur Cloud vergrößert sich die digitale Angriffsfläche permanent.

Attack Surface Management – Schwachstellen finden bevor Hacker sie ausnutzen

Eine lückenlose Überwachung der digitalen Angriffsfläche ist deshalb für KRITIS-Betreiber von zentraler Bedeutung. Die Cybersprint Attack Surface Management Platform sucht allein über die Eingabe des Marken- oder Unternehmensnamens nach Schwachstellen, die damit in Verbindung stehen. Mit Hilfe von künstlicher Intelligenz und Analysten werden die Ergebnisse ausgewertet und klassifiziert, um konkrete Handlungsempfehlungen für die Beseitigung zu liefern. Weil auch die Angriffe über die Lieferkette immer weiter zunehmen, verzichtet die Plattform auf vordefinierte IT-Rahmen.

IT-Sicherheitsgesetz 2.0 fordert höhere Schutzmaßnahmen

Um die Versorgungssicherheit zu gewährleisten und die Kunden zu schützen, fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Ausbau der Schutzmaßnahmen bei KRITIS-Betreibern. So sind diese ab dem 1. Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Systeme ermitteln anhand von Anomalien im Netzwerk, ob es von einer Cyberattacke betroffen ist. Ein kontinuierliches Angriffsflächenmanagement setzt einen Schritt weiter vorne an und hilft dabei, einen Überblick über die IT-Infrastruktur und ihre Schwachstellen zu erhalten, damit es gar nicht erst zu einer Attacke kommt.

Erweiterter Adressatenkreis

Mit dem IT-Sicherheitsgesetz 2.0 werden mehr Unternehmen dem KRITIS-Sektor zugeordnet als bislang. Die „Entsorgung von Siedlungsabfällen“ gehört nun ebenso zu den kritischen Dienstleistungen, sowie Unternehmen von „besonderen öffentlichen Interesse“. Darüber hinaus betrifft das Gesetz die bestehenden KRITIS-Bereiche Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Ernährung, Energie, sowie Finanz- und Versicherungswesen. Auch innerhalb der Sektoren gibt es Änderungen: So sinken im Bereich Stromerzeugung und -handel beispielsweise die Schwellenwerte, ab denen ein Unternehmen dem KRITIS-Sektor zuzuordnen ist. Damit erweitert sich der Kreis der betroffenen Unternehmen deutlich.

Foto: Mehr Sicherheit für KRITIS-Betreiber mit der Cybersprint Attack Surface Management Platform / Bildrechte: Cybersprint B.V.

Quelle:Cybersprint


Lesen Sie mehr zum Thema "Special KRITIS"

Ransomware: FIN-Opfer sind Gesundheitseinrichtungen
Special KRITIS
Ransomwareangriffe
Krankenhäuser reagieren auf Bedrohung durch Attentate
Special KRITIS
Kritische Infrastruktur

Lesen Sie hier die neuesten Beiträge

Dedalus übernimmt Dobco Medical Systems
Aus dem Markt
Übernahme