Als ehemaliger CISO eines Energieversorgungsunternehmens war das Thema “Schützen (Protect)” für mich von wichtiger Bedeutung. Für die Absicherung der kritischen Infrastruktur sind ein funktionierendes Zugriffsmanagement und eine funktionierende Zugriffssteuerung (Access Control) unerlässlich. Meine Erfahrungen zeigen, dass hier oft die grössten Schwachstellen liegen, wenn Prozesse nicht sauber definiert und konsequent umgesetzt werden.
Die Notwendigkeit eines klaren Prozesses
Der IKT-Minimalstandard fordert, dass wir einen klar definierten Prozess zur Erteilung und Verwaltung von Berechtigungen und Zugangsdaten für Benutzer, Geräte und Prozesse etablieren. Für mich als CISO bedeutet das, nicht nur einmalig Berechtigungen zu vergeben, sondern einen Lifecycle für jede Identität zu schaffen. Von der Einstellung bis zum Austritt, jeder Schritt muss klar geregelt sein. In meiner Praxis habe ich gesehen, dass gerade hier Nachlässigkeiten zu erheblichen Risiken führen können.
Physischer und logischer Zugriffsschutz
Es mag offensichtlich klingen, wie wichtig es ist, dass nur autorisierte Personen physischen Zugriff auf IT-Betriebsmittel haben. Bauliche Massnahmen, Videoüberwachung und lückenlose Protokollierung sind hierbei essenziell. Aber auch der logische Zugriff, über Netzwerke und Systeme, muss kontrolliert werden. Wir müssen wissen, wer wann von wo auf welche Daten zugreift. Das ist für mich die Basis von Vertrauen und Kontrolle.
Herausforderung Fernzugriffe
Fernzugriffe sind ein Segen für die Effizienz, aber auch ein potenzielles Sicherheitsrisiko. Als CISO ist es meine Aufgabe, hier Prozesse zu etablieren, die diese Zugriffe sicher verwalten. Das beinhaltet starke Authentifizierung, die Protokollierung jeder Remote-Sitzung und die strikte Einhaltung des “Need-to-Know”-Prinzips. Ich habe gelernt, dass wir hier keine Kompromisse eingehen dürfen, da Fernzugriffe oft erste Angriffsvektoren sind.
Prinzipien der geringsten Rechte und Aufgabentrennung
Diese beiden Prinzipien sind für mich das A und O des Zugriffsmanagements. Zugriffsrechte und Autorisierungen müssen unter Berücksichtigung der geringsten Rechte (“Least Privilege”) und der Aufgabentrennung (“Separation of Duties”) definiert werden. Das bedeutet, jemandem nur das zu geben, was er unbedingt für seine Arbeit braucht, und Aufgaben so aufzuteilen, dass keine Einzelperson alle kritischen Schritte kontrollieren kann. Das minimiert das Risiko von internen Bedrohungen und Fehlern.
Netzwerksegmentierung und Integrität
Die Integrität des Netzwerks zu schützen, ist eine fortlaufende Mission. Ich sorge dafür, dass Netzwerke, wo immer notwendig und sinnvoll, logisch und physisch segmentiert sind. Gerade in Energieversorgungsunternehmen ist die Trennung von Büro-IT-Netzwerken und OT-/ICS-Netzwerken entscheidend, um die Auswirkungen eines Angriffs zu begrenzen und eine “Defense-in-Depth”-Strategie zu ermöglichen.
Digitale Identitäten und Authentifizierung
Die eindeutige Zuordnung digitaler Identitäten zu verifizierten Personen oder Prozessen und eine risikobasierte Authentifizierung (z.B. Mehr-Faktor-Authentifizierung für kritische Transaktionen) sind für mich keine Option, sondern eine Pflicht. Schwache Authentifizierungen sind ein Türöffner für Angreifer. Ich bin davon überzeugt, dass wir hier kontinuierlich investieren müssen, um auf dem neuesten Stand der Technik zu bleiben.
Meine persönliche Meinung
Als CISO sehe ich Zugriffsmanagement als eine nie endende Aufgabe. Es erfordert Disziplin, klare Prozesse und die ständige Überprüfung, ob unsere Strategien noch dem aktuellen Bedrohungsbild und den technologischen Entwicklungen entsprechen. Wer hier nachlässig ist, öffnet Angreifern Tür und Tor. Ein Risiko, das sich Unternehmen schlichtweg nicht leisten können. Es ist eine Herausforderung, die ich jedoch mit grossem Engagement angehe, denn ich weiss, dass jede Verbesserung hier einen direkten Beitrag zur Sicherheit des Unternehmens leistet.