»Betreiber kritischer Infrastrukturen unterliegen strengen gesetzlichen Anforderungen. Um Sicherheitsrisiken so gering wie möglich zu halten, sollte die effiziente Kontrolle von Zugriffsrechten ein fester Bestandteil im Risikomanagement sein.«

Jürgen Bähr, Geschäftsführer G+H Systems GmbH

Webinar: KRITIS und Access Governance - Anforderungen für Energieversorger

daccord: Zugriffsrechte kontrollieren – Sicherheitsvorfälle minimieren

Frankfurt am Main/Offenbach, 21. Februar 2019 – Als Betreiber kritischer Infrastrukturen (KRITIS) unterliegen Energieversorger dem IT- Sicherheitsgesetz. Auch im Hinblick auf die EU-DSGVO sowie ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 ist das Überprüfen von Zugriffsberechtigungen sowie das Eliminieren von nicht konformen Berechtigungen unerlässlich. Ein erfolgreiches Risikomanagement ist nicht durch eine einmalige Prüfung, sondern nur durch kontinuierliches Monitoring gewährleistet. Dazu zählen auch die effiziente Kontrolle und die Einschränkung von Zugriffsrechten. Die von G+H Systems entwickelte Access Governance-Software daccord schafft hier Abhilfe, indem sie Transparenz über die gesamte Rechtestruktur im Unternehmen bringt.

Im Bereich der Strom- und Wasserversorgung können Ausfälle oder Beeinträchtigungen der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft haben. IT-Systeme sind für die Prozesse im heutigen Arbeitsalltag unerlässlich. Aus diesem Grund sind gerade auch die permanente Verfügbarkeit und die Sicherheit der IT-Systeme essenziell.1Verantwortliche müssen geeignete Maßnahmen ergreifen, um die Sicherheitsrisiken so gering wie möglich zu halten. Ein wichtiger Bestandteil ist hier die Kontrolle und Verwaltung der Mitarbeiterberechtigungen.

Kontrolle der Zugriffsrechte gemäß IT-Grundschutz

Im IT-Grundschutz-Katalog ist die Kontrolle von Zugriffsberechtigungen geregelt. So ist beispielsweise eine detaillierte Dokumentation der Systemkonfiguration inkl. Zugriffsberechtigungen vorgesehen (M 2.25). Wechselt ein Mitarbeiter eine Abteilung oder verlässt er das Unternehmen, müssen diese Zugangsberechtigungen entzogen, geändert und gegebenenfalls gelöscht werden (M 3.6). Auch wenn Externe an Prüfungen beteiligt sind, muss ein Unternehmen durch klar definierte Zugriffsrechte sicherstellen, dass sie nur auf die benötigten Informationen zugreifen können. Die Access Governance-Software daccord gibt einen ganzheitlichen Überblick über die Berechtigungen interner, externer sowie ehemaliger Mitarbeiter und hilft so, in der komplexen IT-Landschaft den Überblick zu behalten. Bei Abweichungen benachrichtigt die Software die Verantwortlichen umgehend. So lassen sich fehlerhafte Berechtigungen schnell aufdecken und korrigieren.

Gesetzeskonforme Erfassung und Pflege der Zugriffsrechte

Mit daccord lassen sich die Verantwortlichkeiten auf verschiedene Systemmanager verteilen. Diese müssen laut IT-Grundschutz sorgfältig ausgewählt und regelmäßig darüber belehrt werden, dass die Befugnisse nur für die erforderlichen Administrationsaufgaben gelten (M 3.10). Außerdem sollten die verantwortlichen Führungskräfte die Rechtekonstellation regelmäßig auf ihre Aktualität überprüfen, indem sie alle zugelassenen Benutzer und Rechteprofile erfassen (M 2.31). daccord sammelt kontinuierlich alle Informationen über Mitarbeiterberechtigungen der IT- Systeme, wertet sie aus und kontrolliert die Vergabe der Zugriffsrechte. Auf Knopfdruck liefert die Software detaillierte Reporting-Funktionen sowie eine Auswertung der Historie. daccord bringt Transparenz über die Rechtestrukturen. Dadurch werden die Verantwortlichen deutlich entlastet und Sicherheitsvorfälle durch unberechtigte Datenzugriffe minimiert.

„Betreiber kritischer Infrastrukturen unterliegen strengen gesetzlichen Anforderungen. Um Sicherheitsrisiken so gering wie möglich zu halten, sollte die effiziente Kontrolle von Zugriffsrechten ein fester Bestandteil im Risikomanagement sein“, sagt Jürgen Bähr, Geschäftsführer bei G+H Systems. „In unserem Webinar zu diesem Thema zeigen wir den Teilnehmern die wesentlichen Funktionen der Access Governance-Software daccord und erklären, wie Energieversorger von einem kontinuierlichen Berechtigungsmanagement profitieren können.“

Das Webinar findet am 12. März um 11 Uhr statt. Die Teilnahme ist kostenlos. Weitere Informationen finden Interessierte unter https://www.daccord.de/aktuell/termine/access- governance-fuer-energieversorger/.

Webinar

Warum ist Access Governance für Energieversorger so wichtig?

Webinar-Aufzeichngung vom 12. März 2019