LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Servicewelten

Sys­tem­här­tung im KRITIS-Umfeld und was NIS2 damit zu tun hat

  • Security
Systemhärtung im KRITS Umfeld

Als IT-Ver­ant­wort­li­cher für kritische In­fra­struk­tu­ren (KRITIS) trägst du täglich eine große Ver­ant­wor­tung, denn Cy­ber­an­grif­fe können weit­rei­chen­de Folgen haben. Um deine in­di­vi­du­el­len Si­cher­heits­maß­nah­men optimal an die spe­zi­fi­schen Risiken deines Un­ter­neh­mens an­zu­pas­sen, listet die KRITIS-Ver­ord­nung bereits seit 2016 einige Kern­an­for­de­run­gen auf, die es zu be­rück­sich­ti­gen gilt. 

Die KRITIS-Ver­ord­nung wurde erlassen, um Un­ter­neh­men mit kri­ti­schen In­fra­struk­tu­ren in Deutsch­land besser gegen Cy­ber­kri­mi­na­li­tät zu schützen. Sie legt einen gewissen Rahmen fest und gibt An­satz­punk­te für Maßnahmen, um IT-Systeme in Un­ter­neh­men zu schützen. Und genau hier kommt die Sys­tem­här­tung ins Spiel.

Warum vor allem Be­triebs­sys­tem­här­tung und Da­ten­bank­här­tung im KRITIS-Umfeld so wichtig sind und welche Par­al­le­len es zur kommenden NIS2-Richt­li­nie gibt, erfährst du in diesem Beitrag. 

Be­triebs­sys­tem­här­tung und Da­ten­bank­här­tung als wichtige Pfeiler für die IT-Si­cher­heit im KRITIS-Umfeld

Zwei wichtige Bausteine zur Be­sei­ti­gung von Si­cher­heits­lü­cken in deinen IT-Systemen sind die Be­triebs­sys­tem- und Da­ten­bank­här­tung. Be­triebs­sys­te­me sind die wich­tigs­ten Kern­ele­men­te einer Sys­tem­land­schaft. Gehärtete Be­triebs­sys­te­me punkten damit, dass sie nur für den Betrieb not­wen­di­ge Software, Kom­po­nen­ten und Dienste enthalten. Unnötige Be­stand­tei­le als po­ten­zi­el­le Ein­falls­to­re werden entfernt. 

Da­ten­ban­ken be­inhal­ten wertvolle und sensible Daten. Daten, die für dein Un­ter­neh­men zum Teil über­le­bens­wich­tig sind. So gilt es vor allem hier, nicht nur die Ver­füg­bar­keit si­cher­zu­stel­len, sondern auch das Risiko des Da­ten­ver­lus­tes im Auge zu behalten. Eine nicht gehärtete Datenbank kann eine Vielzahl an po­ten­ti­el­len Si­cher­heits­ri­si­ken aufweisen. Durch die Härtung kannst du die Risiken mi­ni­mie­ren und den Schutz der Daten erheblich verbessern.

Konkret heißt das:

  • Bei der Be­triebs­sys­tem­här­tung gilt es, durch gezielte Kon­fi­gu­ra­ti­on Si­cher­heits­lü­cken zu schließen. Dazu gehören zum Beispiel:
    • das De­ak­ti­vie­ren unnötiger Dienste sowie un­ge­nutz­ter Protokolle
    • das Entfernen von Software, die für den Betrieb nicht er­for­der­lich sind
    • das Ab­schal­ten ver­al­te­ter Ver­schlüs­se­lungs- und Signaturalgorithmen
    • das Ein­schrän­ken der SSH-Zugänge

  • Bei der Härtung von Da­ten­ban­ken geht es darum, diese so zu kon­fi­gu­rie­ren, dass sie vor un­be­rech­tig­tem Zugriff, Da­ten­ver­lust und Ma­ni­pu­la­tio­nen geschützt sind. Das heißt unter anderem:
    • starke Pass­wör­ter verwenden
    • Zu­griffs­be­rech­ti­gun­gen einschränken
    • re­gel­mä­ßi­ge Backups und
    • ein Auge auf externe Prozesse
Vor allem, wenn dein Un­ter­neh­men als KRITIS ein­ge­stuft ist, solltest du also großen Wert auf gehärtete Be­triebs­sys­te­me und Da­ten­ban­ken legen, um die An­griffs­vek­to­ren zu minimieren. 

Gibt es Par­al­le­len zwischen der KRITIS-Ver­ord­nung und der kommenden NIS2-Richtlinie?

Auch wenn die finale Ver­ab­schie­dung der NIS2-Richt­li­nie noch auf sich warten lässt, sind bereits jetzt viele Par­al­le­len zu erkennen. Grob zu­sam­men­ge­fasst kann man sagen: Die KRITIS-Ver­ord­nung ist ein deutsch­land­wei­tes Regelwerk mit konkreten An­for­de­run­gen an bestimmte Sektoren. NIS2 ist eine Wei­ter­ent­wick­lung von NIS und erweitert den An­wen­dungs­be­reich auf zu­sätz­li­che Sektoren und Un­ter­neh­men auf EU-Ebene. In­halt­lich zielen beide Ver­ord­nun­gen darauf ab, die Si­cher­heit und auch die Ver­füg­bar­keit kri­ti­scher In­fra­struk­tu­ren zu gewährleisten. 

Das heißt unter anderem:

  • Sowohl NIS2 als auch KRITIS legen den Fokus auf den Schutz von Un­ter­neh­men und Or­ga­ni­sa­tio­nen, die für die Auf­recht­erhal­tung kri­ti­scher In­fra­struk­tu­ren wie En­er­gie­ver­sor­gung, Verkehr, Te­le­kom­mu­ni­ka­ti­on und Ge­sund­heits­we­sen ver­ant­wort­lich sind.

  • Beide Re­gel­wer­ke fordern eine ri­si­ko­ba­sier­te Bewertung der IT-Si­cher­heit. Jedes Un­ter­neh­men, welches unter eine oder beide der Ver­ord­nun­gen fällt, ist also an­ge­hal­ten, die spe­zi­fi­schen und in­di­vi­du­el­len Risiken zu iden­ti­fi­zie­ren und geeignete Maßnahmen zur Abwehr zu ergreifen.

  • Sowohl NIS2 als auch KRITIS verlangen die Umsetzung tech­ni­scher und or­ga­ni­sa­to­ri­scher Maßnahmen zur Erhöhung der IT-Si­cher­heit. Hier schließt sich der Kreis zur oben genannten Systemhärtung.

  • Beide Re­gel­wer­ke betonen die Bedeutung der Zu­sam­men­ar­beit zwischen Un­ter­neh­men, Behörden und anderen Akteuren im Bereich der IT-Sicherheit.

Fazit

Sowohl die KRITIS-Ver­ord­nung als auch die kommende NIS2-Richt­li­nie fordern eine proaktive und um­fas­sen­de Her­an­ge­hens­wei­se an die Si­cher­heit von IT-Systemen und machen deutlich: IT-Si­cher­heit ist kein Nice-to-have, sondern ein Must-have. Die Härtung von Be­triebs­sys­te­men und Da­ten­ban­ken wird dabei eine große Rolle spielen.

Darüber hinaus sollte jedoch das Thema nicht nur aufgrund von Ver­ord­nun­gen im Fokus stehen. Vielmehr gilt es, die Si­cher­heit sowie die Ver­füg­bar­keit deiner IT-Systeme stets im Auge zu behalten und am besten jetzt schon aktiv zu werden.

Ob es ganz konkrete Maßnahmen innerhalb der NIS2-Richt­li­nie geben wird, die es um­zu­set­zen gilt, und wie diese aussehen werden, bleibt noch ab­zu­war­ten. Eines steht jedoch fest: Wir von ASPICON haben einen großen Werk­zeug­kof­fer be­reit­ste­hen und können die Themen Ver­füg­bar­keit und Si­cher­heit deiner IT-Systeme umfassend betrachten.

Lass uns am besten heute noch gemeinsam deine Pain Points aufdecken und schauen,
wie wir sie lösen können. 
Kontakt 

Hier findest du weitere Infos rund um IT-Si­cher­heit im Datenbank- und Infrastrukturbereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email