iQoncept - Fotolia

Was die KRITIS-Verordnung für Storage bedeutet

Bei dem Schutz kritischer Infrastrukturen denken viele zuerst an den mögliche Hackerangriffe oder den Ausfall von Netzwerken. Doch der Schutz muss bereits bei Storage ansetzen.

In den Diskussionen und Veröffentlichungen zur IT-Sicherheit dreht sich gegenwärtig vieles um die Datenschutz-Grundverordnung (DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist. So wichtig die DSGVO auch ist, es sollte nicht vergessen werden, dass zur IT-Compliance weitaus mehr gehört. Betreiber Kritischer Infrastrukturen zum Beispiel müssen an die KRITIS-Verordnung und das IT-Sicherheitsgesetz denken. Davon hört und liest man vergleichsweise leider wenig, zu Unrecht, denn nicht nur der Datenschutz ist von kritischer Bedeutung.

„Die aktuelle Cyberangriffswelle zeigt zum wiederholten Male deutlich, wie anfällig auch kritische Geschäftsprozesse in Unternehmen und Institutionen in einer digitalisierten Welt sein können“, so der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) anlässlich der weltweiten Cyber-Sicherheitsvorfälle durch Ransomware.

„Cyberkriminalität, Cyberspionage gegenüber Staat und Wirtschaft und provozierte Ausfälle Kritischer Infrastrukturen sind eine ernstzunehmende Bedrohung unserer Gesellschaft im 21. Jahrhundert“, erklärte der Bundesinnenminister in dem aktuellen Lagebericht zur IT-Sicherheit 2017.

Störungen bei Kritischen Infrastrukturen

Mit dem IT-Sicherheitsgesetz wurden bestimmte Meldepflichten für Betreiber Kritischer Infrastrukturen bei IT-Störungen eingeführt. Wie das BSI berichtete, konnte festgestellt werden, dass häufig menschliche Fehler wie beispielsweise falsche Konfigurationen zu einer IT-Störung führten. Weitere häufige Ursachen waren bislang Hardwaredefekte oder fehlerhafte Software. Letzteres äußerte sich in der Regel durch fehlerhafte Updates.

Unternehmen und Organisationen, die laut KRITIS-Verordnung zu den Betreibern Kritischer Infrastrukturen gerechnet werden, sollten Probleme im Bereich Storage also nicht aus den Augen verlieren. Fehlkonfigurationen, Defekte an Speicherelementen und fehlerhafte Speicher-Firmware stellen hohe Risiken dar. Es sind eben nicht nur die Hackerattacken und Schadprogramme, die zu kritischen Ausfällen führen könnten.

Storage-Probleme verhindern

Das IT-Sicherheitsgesetz fordert von den Betreibern Kritischer Infrastrukturen, dem BSI eine Kontaktstelle zu benennen, IT-Störungen zu melden, den „Stand der Technik“ umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen. Dabei betrifft der geforderte Stand der Technik natürlich auch die Vertraulichkeit, Verfügbarkeit und Integrität, die Storage-Systeme leisten können müssen.

Betrachtet man die KRITIS-Vorgaben im Detail, findet man zahlreiche Bezüge zu Forderungen an Storage, was nicht überraschend ist, aber nicht vergessen werden darf, wenn IT-Sicherheitskonzepte weiterentwickelt werden:

  • So erbringen Betreiber Kritischer Infrastrukturen im Sektor Informationstechnik und Telekommunikation insbesondere die Datenspeicherung und -verarbeitung in den Bereichen Housing, IT-Hosting und Vertrauensdienste, wobei bestimmte Schwellwerte in der Verordnung genannt werden, ab wann man von KRITIS ausgehen muss.
  • Die Bereitstellung von Datenspeicherung und -verarbeitung für die Allgemeinheit gelten im Sektor IT und TK als kritisch, weil bei einem Ausfall oder einer Beeinträchtigung  von  erheblichen Versorgungsengpässen oder zudem von einer Gefährdung bedeutender Rechtsgüter wie Leib, Leben, körperliche Unversehrtheit und das Eigentum einer Vielzahl von Personen auszugehen ist, so die Verordnung.
  • Für den Sektor Finanz- und Versicherungswesen werden explizit Systeme zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis als Bestandteile der Kritischen Infrastrukturen genannt.
  • Die KRITIS-Verordnung besagt zudem: Der unterbrechungsfreien Bereitstellung von Speicherplatz und Rechenleistung kommt daher für das Funktionieren gesellschaftlich relevanter Prozesse eine erhebliche Bedeutung zu.

Auch wenn es eigentlich selbstverständlich erscheint, immer die Vertraulichkeit, Verfügbarkeit und Integrität der Datenspeicherung im Blick zu haben, drehen sich viele Meldungen über Risiken für KRITIS-Betreiber um Online-Attacken. Dies ist gut und wichtig zu melden, aber der scheinbar einfache Schutz der Storage-Systeme darf nicht als minder wichtig angesehen werden. KRITIS ist ganz klar ein Storage-Thema!

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde

DSGVO: Auswirkungen des neuen Bundesdatenschutzgesetzes auf die IT-Sicherheit

IT-SiG: Herausforderung Informationssicherheits-Management-System

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close