Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Montag, Oktober 15, 2018 16:58 - noch keine Kommentare

KRITIS: Security und Safety ganzheitlich zu gestalten

Tags: 2018, BSKI, Chefsache, it-sa, KRITIS, Martin Wundram

Dipl.-Wirt.-Inf. Martin Wundram, BSKI, betonte auf der „it-sa 2018“ die Gesamtverantwortung der Entscheider für sichere Kritische Infrastrukturen

[datensicherheit.de, 15.10.2018] In seinem Vortrag am 11. Oktober 2018 im „Technik Forum“ T10 in Halle 10.0 der „it-sa 2018“ erläuterte Dipl.-Wirt.-Inf. Martin Wundram, Leiter Referat „IT-Forensik“ beim Bundesverband für den Schutz Kritischer Infrastruktur e.V. (BSKI), warum eben die Sicherheit sogenannter Kritischer Infrastruktur (KRITIS) uns alle angeht. Anhand einiger Beispiele führte er aus, dass im Grunde alle, d.h. auch kleinere Einrichtungen, welche persönliche Daten verarbeiten, für den jeweils Betroffenen quasi schon eine KRITIS im Kleinen darstellen. Ungeachtet der offiziellen Definition aus volkswirtschaftlicher Sicht ist Zuverlässigkeit, also in jeder Hinsicht sicheres Funktionieren notwendig.

Beispiel Arztpraxen: KRITIS für jeden einzelnen Patienten

Im Rahmen der Vortragsreihe „it-sa insights“ zeigten seine Ausführungen mit dem Titel „Das Thema KRITIS zur Chefsache machen“, dass deren Sicherheit jeden Einzelnen betrifft. Er warf rhetorisch die Frage auf: „Wer hat die volle Kontrolle über seine Daten?“
Sodann zeigte er eine Alltagssituation auf, die gewissermaßen die Antwort „niemand“ anklingen ließ – es kommt ja nicht selten vor, dass ein Patient in einer medizinischen Praxis in ein frei gewordenes Behandlungszimmer geschickt wird, um dort auf den Arzt zu warten, und dann noch allein durchaus längere Zeit mit einem Bildschirm verbringen kann, auf dem lesbar die persönlichen Daten des vorhergehenden Patienten dargestellt werden. Dabei wäre mit einer automatischen Bildschirmsperre und einem Passwortschutz dieses Problem ganz leicht zu lösen.

Bild: Dirk Pinnow

Arztpraxis mit offenem Datenfenster als KRITIS

„Es gibt nichts Gutes, außer man tut es!“

Zu vielen Infrastruktur-Komponenten ließe sich sagen: „Offen wie ein Scheunentor – löchrig wie eine Nudelsieb!“ Wundram machte deutlich, dass selbst solche Infrastruktur, welche eigentlich unter dem offiziellen Schwellwert der KRITIS-Klassifikation liegt, trotzdem der Abhilfe von Schwachstellen und der Abwehr von Angriffen bedarf.
Hierzu müssten geeignete Sollkonzepte erstellt werden. Schließlich gelte es dann auch danach zu handeln, denn „es gibt nichts Gutes, außer man tut es!“ Alle, auch kleineren Unternehmen und Betriebe sollten sich ein Beispiel an der KRITIS gemäß der engeren Definition nehmen und aus dortigen Sicherheitsansätzen lernen.

Bild: Dirk Pinnow

Martin Wundram mit der KRITIS-Definition im engeren Sinne

Respekt für die Daten von Menschen als Motivation

Angst sei bei der Auseinandersetzung mit Sicherheitsfragen indes kein guter Ratgeber, denn es drohe die Gefahr, sich in bloßen Abwehrstrategien zu verlieren, anstatt zielführend zu handeln.
Die Motivation, KRITIS im weitesten Sinne sicher zu gestalten, sollte von dem Respekt für die Daten von Menschen getrieben werden. Die Entscheider in den einzelnen Organisationen wiederum müssten erkennen, dass es schließlich darum geht, ihre eigenen Werte zu schützen, für welche sie die Verantwortung tragen.

Gesamtverantwortung der Entscheider

Das Thema Sicherheit könnte sehr wohl an ausgewiesene Experten delegiert werden, niemals aber die Gesamtverantwortung der Entscheider. Sicherheit gelte es im Prozessverständnis zu gestalten und bedeute harte, permanente Arbeit. Im Ergebnis aber sei sie ein auf Basis eines ganzheitlichen Konzeptes selbst zu erzeugendes „Produkt“.
Sicherheit dürfe nicht zum Hemmnis für den Betrieb werden, so Wundram, sondern sollte dessen Wertschöpfung bzw. Funktionserfüllung unterstützen.

Weitere Informationen zum Thema:

it-sa
Rahmenprogramm 2018 / it-sa insights – Das Thema KRITIS zur Chefsache machen

BSKI auf YouTube, 03.08.2018

Der Bundesverband für den Schutz Kritischer Infrastrukturen e. V. stellt sich vor