KRITIS: Compliance schaffen mit der Sealed Cloud

Wer hierzulande so genannte „Kritische Infrastrukturen“ (KRITIS) betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, seine IT-Systeme angemessen zu schützen.

„Kritische Infrastrukturen“ sind im Sinne der EU-Richtlinie 2008/114/EG Anlagen mit wesentlicher Bedeutung für das Aufrechterhalten sichtiger staatlicher Funktionen. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt.

Betroffene Unternehmen erhalten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) alle nötigen Informationen zu Gefahren in der IT-Sicherheit, um entsprechende „technische und organisatorische Maßnahmen“ treffen zu können (BSI-Gesetz §8a). Und hierbei soll der „Stand der Technik“ eingehalten werden.

Genau definiert hat der Gesetzgeber den „Stand der Technik“ allerdings nicht. Wie sollen KRITIS-Betreiber ihren Verpflichtungen nachkommen?

„Stand der Technik“ heißt Dynamik und Entwicklung

Warum also hat sich genau dieser Begriff durchgesetzt? Die Formulierung „Stand der Technik“ ist deshalb gewählt, weil sich die IT-Sicherheitstechnik schnell und kontinuierlich weiterentwickelt – und dem müssen selbstverständlich auch die Betreiber Kritischer Infrastrukturen Rechnung tragen.

Doch was heißt das konkret? Wann ist denn nun beispielsweise eine Cloud-Infrastruktur auf besagtem „Stand der Technik“? Die Erklärung liefert der IT-Sicherheitsexperte Dr. Hubert Jäger, Gründer und CTO der TÜV SÜD-Tochter Uniscon: „Anders als beispielsweise im Patentrecht ist der ‚Stand der Technik‘ in der IT-Sicherheit nicht mit dem fortschrittlichsten ‚Stand der Wissenschaft und Technik‘ identisch, insgesamt aber fortschrittlicher zu bewerten als die so genannten ‚Anerkannten Regeln der Technik‘.

Eine IT-Infrastruktur muss, um auch den gesetzlichen Anforderungen zu genügen, nicht nur den bewährten und allgemein anerkannten Sicherheitsregeln entsprechen: Sie sollte außerdem mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis bereits erfolgreich erprobt und von führenden Fachleuten anerkannt sind.

KRITIS-Betreiber müssten „regelmäßig nachweisen, dass ihre Systeme entsprechend geschützt sind“, betont Jürgen Bruder, Mitglied der Geschäftsleitung von TÜV Hessen. Das gelte natürlich auch für die Dienstleister, die sie beauftragen, sagt Bruder: „Gerade im Back-End, das näher am System liegt, dort also, wo über den Server Daten verarbeitet werden.“

Die Sealed Cloud setzt den Stand der Technik

IT-Infrastrukturen wie die Versiegelte Cloud der Telekom, ucloud von regio iT oder die Sealed Cloud von Uniscon erfüllen all diese Ansprüche. Durch rein technische Maßnahmen sind hier sowohl Daten als auch Anwendungen zuverlässig gegen externe und interne Angriffe geschützt. Selbst der Betreiber der Infrastruktur und Administratoren sind vom Zugriff auf die verarbeiteten, übertragenen oder gespeicherten Daten ausgeschlossen.

„Sealed-Computing-Lösungen bieten ein Sicherheitsniveau, das höher ist als das vergleichbarer Cloud-Produkte am Markt. Betreibersichere Infrastrukturen wie die Sealed Cloud sind bereits seit mehreren Jahren im gewerblichen Umfeld im Einsatz“, sagt Jäger. „Darüber hinaus sind sie von führenden Fachleuten anerkannt sowie zertifiziert und bilden mittlerweile die Basis für digitale Geschäftsmodelle, die ohne diese Sicherheit nicht denkbar wären.“

Zu den Anwendern der Sealed Cloud gehören unter anderem Banken, Kanzleien und Kliniken, aber auch Anbieter aus den Bereichen Energie, Verwaltung und Informationstechnik.

Weiterführende Informationen zur Sealed Cloud finden Sie unter https://www.uniscon.de. Eine Auswahl konkreter Anwendungsfälle und Branchenlösungen haben wir hier für Sie zusammengefasst: https://www.idgard.de/cloud-loesungen/