Im Gespräch mit Daniel Kremer, Chief Information Security Officer (CISO), zu dem von ihm verantworteten DENIC-Geschäftsbereich Informationssicherheit und Risikomanagement
DENIC setzt in Sachen Information Security auf praktikable, pragmatische und wirtschaftliche Informationssicherheit und Datenschutz. Was das genau bedeutet, erfahren Sie hier:
Welche Rolle spielt Informationssicherheit eigentlich für eine Domain-Registrierungsstelle?
Informations- und Datensicherheit sind grundsätzlich für jede Organisation von großer Bedeutung und mit der zunehmenden Digitalisierung und neuen Bedrohungen noch weiter wächst.
DENIC im Besonderen ist seit 2018 mit dem Betrieb des autoritativen DNS-Servers für .de im Rahmen der Verordnung zum IT-Sicherheitsgesetz (BSI-KRITIS-Verordnung) Betreiber einer kritischen Infrastruktur. Und seit Februar dieses Jahres sind wir zusätzlich in der neuen Anlagenkategorie „Top-Level-Domain-Name-Registry“ als kritische Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. DENIC ist damit eine von rund 2.000 KRITIS-Betreibern in Deutschland.
Was genau bedeutet „Kritische Infrastruktur“?
Kritische Infrastrukturen definieren sich über die Erbringung einer kritischen Dienstleistung für die Allgemeinheit, die einen bestimmten Schwellenwert übersteigen. Letztlich geht es darum, die Versorgungssicherheit der Gesellschaft und Wirtschaft zu gewährleisten. Kritische Dienstleistungen sind nach dem IT-Sicherheitsgesetz in mehrere Sektoren unterteilt: Neben Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung, zählt auch der Sektor Informationstechnik und Telekommunikation dazu, der wiederum u.a. die Kategorien Autoritativer DNS-Server und Top-Level-Domain-Name-Registry umfasst.
Betreiber kritischer Infrastrukturen haben eine ganze Reihe an Anforderungen zu erfüllen. Darunter beispielsweise das Melden von Störungen bei der Erbringung der kritischen Dienstleistung an das BSI, alle zwei Jahre eine Nachweiserbringung an die Behörde, um aufzuzeigen, dass die gesetzlichen Anforderungen erfüllt sind, oder auch technische und organisatorische Sicherheitsvorkehrungen für das Erkennen von Angriffen umzusetzen.
Wie schlägt sich das im Aufgabenfeld des Security-Bereichs bei DENIC nieder?
Für die gesamte Organisation sind die Aspekte der Informationssicherheit zu berücksichtigen. Konkret sind Governance, Risk-Management und Compliance dabei die Schwerpunkte. Dazu müssen Regelwerke und Richtlinien gestaltet und zur Umsetzung gebracht werden. Für das Risikomanagement gilt es, realistische Bedrohungsszenarien für jeden Geschäftsprozess zu ermitteln und entsprechend nach Schaden und Wahrscheinlichkeit einzustufen. Des Weiteren müssen dazu passende Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit eingeleitet, umgesetzt und überwacht werden.
Nicht zuletzt haben wir zahlreiche normative (ISO 27001 und ISO 22301) und gesetzliche Anforderungen wie beispielsweise die des IT-Sicherheitsgesetzes zu erfüllen.
Das klingt nach einem sehr dynamischen Tätigkeitsfeld. Können Sie diese Dynamik etwas genauer umreißen?
Entscheidend ist, dass wir alles dafür tun, unseren Geschäftsbetrieb aufrecht zu erhalten, damit wir unsere Dienstleistung erbringen können. Dafür müssen Managementsysteme stetig gepflegt und weiterentwickelt werden. Ein kontinuierlicher Verbesserungsprozess ist dabei elementarer Bestandteil. Durch jährliche Audits erfolgt auch eine externe Prüfung unserer Arbeit.
Auch die Einführung und Weiterentwicklung von Diensten, sowohl für die interne Nutzung als auch für Dienste, die DENIC nach außen anbietet, muss sorgfältig begleitet werden. Bei der Vielzahl an Systemen und Anwendungen, die wir bereits heute betreiben und nutzen, ist beispielsweise ein ausgereiftes Identitäts- und Berechtigungsmanagement mit regelmäßigen Kontrollen essenziell. Systeme zur Angriffserkennung (man spricht auch von Intrusion Detection Systemen) erfordern tiefe Einblicke in die operative Security.
Was kennzeichnet Ihrer Erfahrung nach eine nachhaltige Informationssicherheit innerhalb eines Unternehmens?
Es erfordert ein abgestimmtes Zusammenspiel von Verantwortlichkeiten, etablierten Prozessen, unternehmensspezifischen Regelungen sowie die Umsetzung adäquater Maßnahmen. Entsprechende Schulungs- und Sensibilisierungsprogramme für die Mitarbeiter des Unternehmens sind dabei zur Zielerreichung von zentraler Bedeutung. Mögliche Bedrohungsszenarien sollen bekannt sein und geeignete Maßnahmen mit einem nötigen Maß an Verständnis sinnvoll eingeleitet und umgesetzt werden. Bei DENIC halten wir daher bei unseren Kolleginnen und Kollegen das Bewusstsein für Informationssicherheit mit fortlaufenden Sensibilisierungsinitiativen stetig hoch.
DENIC ist eng in die internationale Domain-Community eingebunden, sei es in Organisationen wie CENTR, ICANN oder in technischen Gremien. Wie würden Sie diese Kooperationen im Security Sektor beschreiben?
Unsere Community-Kontakte sind sehr partnerschaftlich geprägt und es findet regelmäßig ein offener Austausch statt. Durch die Security Working Group von CENTR, eine Vereinigung europäischer Registries, stehen wir miteinander im guten persönlichen Kontakt. Aber auch in anderen Gremien teilen wir Best Practices – schließlich stehen wir alle vor den gleichen Herausforderungen, nämlich die Kerndienste Registry und Domain Name System auf einem hohen Niveau stabil, zuverlässig und sicher zu betreiben.
Darüber hinaus haben wir seit vielen Jahren eine enge Zusammenarbeit mit den benachbarten Registries aus Österreich, der Schweiz und den Niederlanden und unterstützen uns vor allem bei internen Audits.
Was macht die Arbeit im Security-Bereich bei DENIC besonders spannend?
Die Vielfältigkeit von Informationssicherheit erstreckt sich über die gesamte Organisation und es geht darum, mit allen Bereichen im regelmäßigen Kontakt zu sein. Vom Arbeitsplatzrechner über Server-Systeme und Applikationsanwendungen bis hin zu Cloudanwendungen ist alles dabei und das macht die Aufgabe so ausgesprochen vielfältig und abwechslungsreich.
Zurück zur Hauptseite Informationssicherheit