Kritische Infrastrukturen angemessen schützen

Die Aufgabe klingt einfach: mögliche Angriffsziele müssen sicherer werden. Die IT-Systeme von kritischen Infrastrukturen benötigen Schutz nach dem aktuellen Stand der Technik.Aber es ist ein Duell mit unsichtbaren Gegnern. Denn eine gezielte und koordinierte Attacke könnte zu Versorgungsengpässen führen. Dabei handelt es sich nicht mehr um Erpressungsversuche. Die Hacker wollen wichtige Einrichtungen gezielt sabotieren.

Vielfältige Cyberattacken

„Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Angriffe eine neue Qualität erreicht“, bestätigt Elmar Stark, Teamleiter Informationssicherheit bei TÜV Hessen. Zahlreiche Medien gaben in den vergangenen Tagen dazu inoffizielle Zahlen heraus. In den vergangenen Monaten gab es einen deutlichen Anstieg an Meldungen zu Störfällen. „Die genaue Anzahl der Vorfälle spielt eine untergeordnete Rolle, denn der Trend ist eindeutig“, kommentiert Elmar Stark.

Nicht jede Störung ist gleich ein Hackerangriff. Das BSI definiert auch von Baggern durchtrennte Kabel, defekte Kühlungen von Rechenzentren oder falsch konfigurierte Systeme als IT-Störung. Dennoch sind die Cyberbedrohungen vielfältiger geworden – und Unternehmen sind regelmäßig das Ziel von Attacken. Ob WannaCry, NotPetya, Spectre, Meltdown oder jüngst Emotet: Die Schadprogramme haben es auf die Grundpfeiler der Informationstechnologie abgesehen. Neue Angriffsfläche bietet zudem die Vernetzung von alltäglichen Gegenständen, etwa Stromzähler oder Heizungen eines Smart Homes.

Hohe Dunkelziffer der Hackerangriffe

Speziell die Energieversorger stehen kontinuierlich und flächendeckend im Fokus. Katherina Reiche, Hauptgeschäftsführerin des Verbandes kommunaler Unternehmen (VKU), forderte deshalb in der Frankfurter Allgemeinen Sonntagszeitung, dass die Stromversorgung als Herzschlag der digitalen Gesellschaft zum festen Bestandteil der deutschen Cyber-Sicherheitsarchitektur werden muss. Denn die Bereitstellung von Strom und Gas ist ein zentraler Bestandteil einer funktionierenden Gesellschaft. Energieunternehmen müssen deshalb die Funktionsfähigkeit ihrer verwendeten Systeme und Netzwerke sicherstellen.

In großen Konzernen ist der Schutz in der Regel ausreichend. Zahlreiche Angriffe treffen jedoch mittelgroße Versorger wie Stromverteilzentren und Stadtwerke. Für diese Einrichtungen besteht daher ebenfalls eine gesetzliche Meldepflicht der Angriffe. Erfolgreiche Hacks bleiben dennoch häufig unbekannt. Denn kleinere Betreiber, welche die definierten Schwellenwerte gemäß BSI-Kritisverordnung nicht erreicht haben, etwa kleinere Krankenhäuser oder Nahverkehrsanbieter, müssen die Eingriffe nicht melden. Manche Unternehmen verheimlichen darüber hinaus erfolgte Attacken, um Imageschäden zu vermeiden.

Nachgewiesene Cybersicherheit

Im Sinne der EU-Richtlinie 2008/114/EG sind kritische Infrastrukturen Anlagen oder Systeme mit wesentlicher Bedeutung zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. In Deutschland zählen Organisationen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur dazu. Eine Störung dieser Einrichtungen hätte erhebliche Auswirkungen auf die öffentliche Sicherheit, denn wesentliche Funktionen zur Versorgung könnten nicht aufrechterhalten werden.

„Um flächendeckende Ausfälle zu vermeiden wurde deshalb das IT-Sicherheitsgesetz erlassen“, erklärt Elmar Stark. „Das Gesetz verpflichtet Unternehmen der neun KRITIS-Sektoren dazu, die verwendeten Systeme und Netzwerke funktionsfähig zu halten.“ Den entsprechenden Schutz ihrer Systeme müssen die Organisationen darüber hinaus regelmäßig nachweisen. Die nächste Frist endet im Juni 2019 und betrifft Betreiber der Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr.

Den Schutz ihrer IT-Infrastruktur müssen Betreiber gegenüber dem BSI mit einer erfolgreichen Prüfung nach Paragraf 8a BSIG nachweisen. So sollen die kritischen Dienstleistungen verfügbar bleiben und Versorgungsengpässe vermieden werden. Branchenspezifische Sicherheitsstandards oder die Zertifizierung eines Informationssicherheits-Managementsystems nach ISO 27001 können eine Grundlage der Prüfungen sein. „Als alleiniger Nachweis sind diese Standards allerdings ungeeignet“, sagt Elmar Stark. Für das BSI zählt nur die erfolgreiche Prüfung durch eine Prüfstelle nach Paragraf 8a BSIG.