Meldepflicht bei IT-Sicherheitsvorfällen

KRITIS in öffentlichen Verwaltungen

| Autor / Redakteur: Lars Göbel* / Regina Willmeroth

Handlungsfelder

Bei genauer Betrachtung kommen, wenn man beispielweise den IT-Grundschutz des BSI betrachtet, für KRITIS zahlreiche Handlungsfelder zum Tragen. Es gibt in diesem Kontext zwei große Diskussionslinien, an denen man sich abarbeiten kann.

Zum einen ist dies der in der Berichterstattung stets präsente Pfad „IT-Sicherheit“. Zum anderen ist ein weiterer, nicht minder entscheidender Handlungsstrang das Thema Ausfallsicherheit. Alleine hier gibt es schon so viele Perspektiven, dass der Rahmen schnell gesprengt wird. Deshalb an dieser Stelle ein Blick auf die Fragen des IT-Betriebs in Rechenzentren, der Backup-Strategie sowie Disaster-Recovery-Konzepte.

Redundanz, Backup und Disaster Recovery

Dass Organisationen ihre IT mittlerweile verstärkt in externen Rechenzentren betreiben hat Gründe. Eines dieser, auch für den ­Bereich KRITIS schlagenden, ­Argumente ist der Bereich der Redundanz. Dies betrifft unter anderem die Themen Stromversorgung, Kühlung sowie Connectivity. Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Verteilungsnetzbetreiber oder der Energieversorgungsunternehmen.

Schon Unterbrechungen von mehr als zehn Millisekunden sind geeignet, den IT-Betrieb zu stören. Bei einer Messung mit zirca 60 Messstellen wurden in Deutschland rund 100 solcher Netzeinbrüche registriert. Davon dauerten fünf Ausfälle bis zu einer Stunde und einer länger als eine Stunde. Diese Unterbrechungen beruhten einzig auf Störungen im Versorgungsnetz. Dazu kommen Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten.

Wenn die Verwaltung ihre IT-Infra­struktur in externe Colocation-Rechenzentren auslagert, erhält sie Zugriff auf mehrfach re­dundante und unterbrechungsfreie Stromversorgung. Diese Form der Absicherung ist beim Eigenbetrieb heute schlicht ineffizient und nicht mehr erschwinglich.

Gleiches gilt auch für die Gestaltung von physischen Zugangskontrollen. Die Infrastruktur zum Betrieb der IT (Gebäude und Räume) ist laut IT-Grundschutz durch geeignete Maßnahmen zu sichern. Dazu gehören beispielsweise die Bereiche Zugangsschutz und Diebstahlschutz sowie der Schutz vor Naturereignissen.

Datenverlust vermeiden

Auch der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf Prozesse und damit auf die gesamte Verwaltung haben. Wenn relevante Informationen zerstört oder verfälscht werden, können dadurch Abläufe und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden. Insgesamt kann der Verlust gespeicherter Daten, neben dem Produktionsausfall und den Kosten für die Wiederbeschaffung der Daten, vor allem zu langfristigen Konsequenzen, wie Vertrauenseinbußen sowie einem negativen Eindruck in der Bevölkerung, führen.

Einen Schritt weiter gedacht landet man dann auch bei der Frage: Was tun, wenn es brennt? Ein Daten-Backup an einem separaten Standort ist der erste wichtige Schritt, um die IT im Falle eines Ausfalls weiterführen zu können. Doch das allein genügt nicht: Bei der Planung eines Business-Continuity-Konzepts sollten Disaster-Recovery-Lösungen bedacht werden. Im Katastrophenfall wie einem­ Brand im eigenen Rechenzentrum kann es zum Ausfall von Anwendungen und Serverkapazitäten kommen. Die intern gesicherten Daten allein reichen so nicht mehr aus, eine externe Fallback-Lösung muss her.

Man sieht, auch die Öffentliche Verwaltung ist jetzt zum Handeln aufgefordert. Das bedeutet konkret, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten. Das wiederum bedeutet im Hinblick auf die Auswahl von Partnern für IT auf zertifizierte Leistungen zu setzen, die hundertprozentig compliant sind.

* Der Autor: Lars Göbel, Leiter Strategie & Innovation bei der DARZ GmbH

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44666696 / System & Services)