Vertrauenswürdige IT-Sicherheit: Schlüssel zur digitalen Souveränität

Von Arnold Krille, genua GmbH

Für Unternehmen und Behörden öffnet die fortschreitende Digitalisierung viele Chancen, gleichzeitig stresst sie die IT-Sicherheit: Mit jedem neuen Netzwerkanschluss wächst die potenzielle Angriffsfläche. Nicht zuletzt aufgrund aktueller geo- und sicherheitspolitischer Entwicklungen gewinnt daher das Thema digitale Souveränität schnell an Bedeutung.

Digitale Souveränität beschreibt die Fähigkeit von Organisationen, ihre digitalen Infrastrukturen und sensiblen Daten eigenständig zu kontrollieren, uneingeschränkt darüber verfügen zu können und sie vor externen Einflüssen und Bedrohungen zu schützen. Digitale Souveränität ist die Grundlage für die souveräne Erfüllung des Auftrags einer Organisation, sowohl bei Wirtschaftsunternehmen als auch bei staatlichen Institutionen. Abhängigkeiten von ausländischen IT-Anbietern können dabei zum Problem werden. Das ist besonders relevant angesichts zunehmender staatlicher und wirtschaftlicher Spionage. Auch die sich ändernden geopolitischen Bündnisse sorgen hier für Unsicherheiten und Risiken.

Vertrauenswürdige IT-Sicherheitsprodukte spielen in diesem Zusammenhang eine Schlüsselrolle. Die genua GmbH als deutscher Hersteller bietet mit ihren vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassenen IT-Sicherheitslösungen essenzielle Bausteine, um regulatorische Anforderungen zu erfüllen und die eigene digitale Souveränität zu stärken.

NIS-2: Kritische Infrastrukturen schützen

Eine leistungsfähige, resiliente Cybersicherheit ist nicht nur für Einzelunternehmen wichtig. Sie ist ebenso unverzichtbar für das Funktionieren staatlicher und gesellschaftlicher Strukturen. Ein besonderes Augenmerk hat die Europäische Kommission daher auf kritische Infrastrukturen (KRITIS) gerichtet, die verbindliche Cybersicherheitsrichtlinie NIS-2 definiert und 2023 in Kraft gesetzt wurde. Die Mitgliedstaaten müssen diese Richtlinie in nationale Gesetze umsetzen. Auch in Deutschland wird es im Jahr 2025 zur verspäteten Umsetzung kommen.

Die Vorgaben betreff en Unternehmen mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz. In Deutschland fallen darunter somit schätzungsweise 30 000 Unternehmen aus den 18 KRITIS-Sektoren. Die NIS-2-Richtlinie verpflichtet diese Unternehmen, nachweislich angemessene Maßnahmen umzusetzen, welche die Sicherheit und Widerstandsfähigkeit der Netzwerke und Informationssysteme gewährleisten.

Diese Maßnahmen umfassen Risikomanagement, technische und organisatorische Maßnahmen der Informationssicherheit, Meldung von Vorfällen sowie die Umsetzung von Business-Continuity-Maßnahmen. Die genua GmbH bietet eine Reihe von Lösungen an, welche die Organisationen und Unternehmen bei der Umsetzung der NIS-2-Vorgaben unterstützen.

Eine der Vorgaben ist, ein System zur Angriffserkennung umzusetzen. Dafür eignet sich der cognitix Threat Defender: Er kombiniert ein Intrusion-Detection-System (IDS) mit einem Intrusion-Prevention-System (IPS) zu einer Komplettlösung, die den Datenverkehr und die Assets im Netzwerk nichtinvasiv analysiert, schnell Anomalien erkennt und dynamische gezielte Gegenmaßnahmen ermöglicht. Ferner beherrscht die intelligente IDS/IPS-Lösung die Mikrosegmentierung bis auf Anwendungsebene (Layer 7) und liefert wertvolle Netzwerkinformationen für forensische Analysen.

Das Lösungs- und Einsatzkonzept mit On-Premise-Betrieb sichert dem Anwender 100-prozentige Datenhoheit zu.

Gezielte Segmentierung

Ein weiterer Punkt zum Schutz kritischer Infrastrukturen ist die zuverlässige Trennung von internen und externen Kommunikationsnetzwerken. An der Nahtstelle zwischen Internet und lokalem Netzwerk sorgt die High Resistance Firewall genugate für ein Höchstmaß an Sicherheit. Die einzige vom BSI als „highly resistant“ eingestufte Firewall der Welt erfüllt höchste Anforderungen: Zwei unterschiedliche Firewall-Systeme – ein Application-Level-Gateway und ein Paketfilter jeweils auf separater Hardware – sind zu einer kompakten Lösung kombiniert.

Mehr Sicherheit für Produktionsnetzwerke ergibt sich durch eine zuverlässige Segmentierung. Mit der Industrial Firewall genuwall lassen sich in Produktionsnetzen (LAN, WAN und VLANs) hochwirksame Barrieren gegen Angriff e aufbauen. Je nach Schutzbedarf werden für einzelne Maschinen, Anlagen oder ganze Produktionsbereiche getrennte Sicherheitszonen geschaffen. Für die Trennung sorgt genuwall. Die Firewall kontrolliert zuverlässig den gesamten Datenverkehr und lässt ausschließlich die gewünschten Verbindungen zu.

Mögliche Risiken bei der digitalen Vernetzung hochkritischer Steuerungssysteme lassen sich mit der Datendiode cyber-diode minimieren. Diese Lösung lässt ausschließlich Einbahn-Datentransfers zu – in Gegenrichtung wird dagegen jeder Informationsfluss konsequent geblockt. Geschützt hinter der cyber-diode können Maschinen, Anlagen und IT-Systeme somit Daten über öffentliche Netze versenden, ohne dass die Integrität der Maschine oder Maschinensteuerung gefährdet wird.

genubox kombiniert die Vorteile für sichere Fernwartung mit Privileged-Access-Management-Funktionen. Dazu zählen die Überwachung von Zugriff en auf kritische Ressourcen und die Abwehr unbefugter Handlungen im Netzwerk.

Hohes Schutzniveau

Angesichts der dynamischen geo- und sicherheitspolitischen Entwicklungen gewinnt die digitale Souveränität auch im Umfeld der geheimschutzbetreuten Industrie an Bedeutung. Schon vor den aktuellen geopolitischen Entwicklungen, aber unter dem Eindruck des russischen Angriffs auf die Ukraine, hat der Gesetzgeber die Anforderungen im Geheimschutz-Merkblatt des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) spürbar angehoben.

Im VS-NfD-Merkblatt (GHB-Anlage 4) sind klare Anforderungen an den Schutz von Verschlusssachen des Geheimhaltungsgrades „VS – Nur für den Dienstgebrauch“ (VS-NfD) formuliert. Die Frist zur Umsetzung der angepassten Anforderungen aus dem VS-NfD-Merkblatt endet am 1. September 2025.

Ist ein VS-NfD-Netzwerk mit Netzsegmenten verbunden, die ein niedrigeres Sicherheitsniveau haben, schreibt das Merkblatt zusätzliche Sicherungsmaßnahmen vor. An der kritischen Nahtstelle beispielsweise zwischen Internet und lokalem Netz soll demnach eine Trennung durch Firewalls in einer sogenannten P-A-P-Struktur (Paketfilter – Application Layer Gateway – Paketfilter) und die regelmäßige Überprüfung der Firewallregeln erfolgen.

Durch die vorgelagerten Paketfilter wird das Application-Level-Gateway an beiden Seiten sowohl gegen direkte Angriff e als auch gegen hohe Belastungen optimal geschützt. Mit der zweistufigen High-Resistance Firewall genugate von genua und einem weiteren Paketfilter lässt sich dieses hohe Sicherheitsniveau komfortabel erreichen: Sie kombiniert stateful-Paketfilter (PFL) und Application-Level-Gateway (ALG) in einer kompakten Lösung. genugate ist zertifiziert nach EAL4+ mit AVA.VAN.5, zudem schützt ein hochsicherer Update-Mechanismus vor Supply-Chain-Angriffen mit zukünftigen Quantencomputern.

Fazit

Vertrauenswürdige IT-Sicherheitslösungen bilden die Grundlage für das Erfüllen der NIS-2-Vorgaben, für den Aufbau VS-NfD-konformer IT-Infrastrukturen und letztlich für das Sicherstellen der geschäftlichen Leistungsfähigkeit durch digitale Souveränität.

Die genua GmbH, ein Unternehmen der Bundesdruckerei-Gruppe, entwickelt IT-Sicherheitslösungen nach höchsten Standards und etablierten Richtlinien wie Security by Design in Deutschland. genua begleitet KRITIS-Organisationen von der Konzeption einer rechtssicheren IT-Security-Infrastruktur über die Auswahl und Implementierung konformer IT-Sicherheitsprodukte bis hin zu Training und Vor-Ort-Support der internen Teams.