Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Das BMI stellt in seinem Dokument „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ (KRITIS-Strategie), das im Juni 2009 veröffentlich wurde, zwei grundlegende Bedrohungsbereiche vor:

Neben der Bedrohung von außen sind die Gefährdungen von Innen gleichermaßen von hoher Bedeutung. Hier sind neben kriminellen Handlungen und technisches bzw. menschliches Versagen insbe-sondere organisatorische Mängel zu nennen, die aufgrund der Interdependenzen weitreichende Folgen nach sich ziehen können. Hiervon betroffen sind mit unterschiedlicher Priorisierung Energiever-sorger, IKT, Transport und Verkehr, Wasserversorger und Wasserentsorgung, Gesundheitswesen, Notfall- und Rettungswesen, Katastrophenschutz, ÖV, Finanz- und Versicherungswesen und nicht zu-letzt Medien und Kulturgüter.

 

Unterstützung durch Identity und Access Management im KRITIS Umfeld

OGiTiX unimate als Identity und Access Management Lösung unterstützt sowohl den Auftraggeber (KRITIS Betreiber) als auch den Auftragnehmer durch spezielle Services und Reports. Diese Services und Reports befassen sich mit Benutzerkonten und -berechtigungen und lassen sich, von Seiten der Use Cases betrachtet, in drei Phasen aufteilen.

 

Die Phasen

Vergabe

Vergabeprozesse für Benutzerkonten und -berechtigungen mit eindeutigen Antrag-Genehmigungsverfahren und Protokollierung des Entscheidungsprozesses.

Überprüfung und Dokumentation

Automatische und zeitgesteuerte Überprüfung der vorhandenen Benutzerkonten und -berechtigungen mit Wiedervorlage beim Entscheider zur Rezertifizierung und Überprüfung auf das Zusammentreffen kritischer Berechtigungen.

Entzug

Zeitgesteuerte und stichtagsgenaue Deaktivierung von Benutzerkonten und -berechtigungen. Die Services automatisieren sowohl den organisatorischen Ablauf als auch die notwendigen Anpassungen in den Zielsystemen.

 

Anbei einige Beispiele:

Management der Fernzugänge

Fernzugänge von Drittanbietern zum Netzwerk des Auftraggebers sind ein latentes Risiko. OGiTiX unimate bringt Sicherheit in diesen Prozess durch:

  • Klare Vergabeprozesse: Das Antrag-Genehmigungsverfahren ist eindeutig geregelt und sicherheitsrelevante Grundsätze im User Account Management, wie personalisierte Benutzerkonten, werden strikt umgesetzt.
  • Regelmäßige Überprüfungen: Fernzugänge werden regelmäßig auf ihre Notwendigkeit geprüft. Dazu läuft ein automatischer Rezertifizierungsprozess.
  • Gezielte Abschaltung: Nicht mehr benötigte Fernzugänge werden stichtag-genau abgeschaltet.

 

Umsetzung von unternehmensspezifischen Sicherheitsrichtlinien

Die automatisierten Prozesse für die Erzeugung von Benutzerkonten und Vergabe von Berechtigungen sind an den unternehmensspezifischen Sicherheitsrichtlinien ausgerichtet:

  • Neue Benutzerkonten werden automatisch gemäß unternehmensspezifischen Standards erstellt.
  • Bestehende Rollen- und Rechtemodelle werden verbindlich umgesetzt.
  • Zeitlich befristete Benutzerkonten werden automatisch überwacht.

 

Einhaltung von (gesetzlichen) Vorschriften und Compliances

Die zentrale Verwaltung der Benutzerkonten und -berechtigungen erleichtert die Erfüllung von (gesetzlichen) Vorschriften, die in unterschiedlichen Richtlinien gefordert werden:

  • Das Zusammentreffen kritischer Berechtigungen wird erkannt, protokolliert und zwingend unterbunden.
  • Die vergebenen Berechtigungen (Soll-Zustand) werden auf Abweichungen durch manuelle Änderungen (Ist-Zustand) geprüft und bei Bedarf automatisch korrigiert.
  • Die vorhandenen und oft verschachtelten Berechtigungsstrukturen werden analysiert, transparent dargestellt und bei Bedarf automatisiert bereinigt. Damit wird eine Grundlage für die Zertifizierung nach ISO27001 geschaffen.

Kontaktieren Sie uns gerne jederzeit zum Thema Identity und Access Management und KRITIS, wir stehen Ihnen mit Rat und Tat zur Seite: vertrieb@ogitix.de