- Spätestens nach den Sabotageakten bei der Bahn stellt sich die Frage: Wie sicher ist die kritische Infrastruktur in Deutschland?
- Experten sehen große Defizite, vor allem bei der Ausfallsicherheit. Die Unternehmen sollten hier noch mehr gefordert werden, sagen sie.
- Besondere Schwachpunkte sehen sie in der öffentlichen Verwaltung; sie ist offenbar häufig schlechter geschützt als die Privatwirtschaft.
Wer ist es gewesen? Nach den Sabotageakten wie denen auf die Bahn und die Gas-Pipeline Nord Stream 2 war das für viele Menschen die interessanteste Frage. Für Manuel Atug nicht. Den Sicherheitsexperten von HiSolutions interessiert mehr: Wie hätte man das verhindern können?
Angriffe auf die kritische Infrastruktur können verheerende Auswirkungen haben: der Strom kann ausfallen, der öffentliche Verkehr zum Stillstand kommen, Patienten nicht mehr behandelt werden, Sozialleistungen nicht mehr ausgezahlt werden.
Attackiert werden kann dabei auf sehr unterschiedliche Weise, zum Beispiel durch physische Taten wie das Durchschneiden von Kabeln, durch Manipulation von Mitarbeitern oder direkte Angriffe der IT-Struktur.
Rund 2.200 Kritis-Betreiber in Deutschland
Um die kritische Infrastruktur (Kritis) zu schützen, gibt es seit 2009 das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, eine dazugehörige Verordnung aus dem Jahr 2015 sowie das IT-Sicherheitsgesetz 2.0. In diesen Regelungen ist festgeschrieben, welche Anforderungen an Unternehmen der kritischen Infrastruktur gestellt werden.
Insgesamt gebe es rund 2.200 Kritis-Betreiber in Deutschland, sagt Manuel Atug im Gespräch mit unserer Redaktion. Sie sind in acht Sektoren unterteilt: Energie, Wasser, Ernährung, IT und Telekommunikation, Transport, Gesundheit, Finanz- und Versicherungswesen sowie Siedlungsabfallversorgung. Für sie steht im IT-Sicherheitsgesetz unter anderem, dass sie ihre IT auf dem "Stand der Technik" halten müssen und das auch überprüft werden muss. Atug hat die damalige, schwarz-rote Bundesregierung in der Anhörung zum IT-Sicherheitsgesetz 2.0 beraten - und war mit dem Ergebnis nicht zufrieden.
Was ist der "Stand der Technik"?
Zu wenig konkret seien die Forderungen an die Unternehmen und insbesondere seien die Kontrollen unzureichend, sagen er und andere Experten. Der IT-Sicherheitsberater Michael Wiesner nennt als Beispiel den "Stand der Technik". "Eigentlich ist die Definition klar, trotzdem wird dieser Begriff sehr unterschiedlich ausgelegt", sagt Wiesner im Gespräch mit unserer Redaktion.
Ein weiteres Problem ist die Prüfung. Die Unternehmen können sich nämlich selbst aussuchen, von wem sie sich prüfen lassen, das macht nicht das BSI. "Das BSI ist lediglich bei der Frage dabei, welche Prüfgrundlagen für ein bestimmtes Unternehmen gelten", sagt Wiesner. Mit der Prüfung selbst hat es nichts zu tun, "die Qualität der Prüfer ist dabei sehr unterschiedlich".
Zu wenig Druck auf die Unternehmen
Es gibt auch kritische Bereiche, die gar nicht unter das Sicherheitsgesetz 2.0 fallen, wie Kultur und Medien und Teile der öffentlichen Verwaltung. Vor allem Letztere sei mit am stärksten gefährdet, erklärt der Cybersecurity-Experte Mischa Hansel vom Hamburger Institut für Friedensforschung und Sicherheitspolitik. Nicht nur, dass es für sie noch keine gesetzlichen Vorgaben gibt, "es gibt dort auch einfach zu wenig gut ausgebildetes IT-Personal".
Insgesamt fehlt nach Einschätzung der Experten der Druck, etwas zu verbessern - auch in der Privatwirtschaft. "Es gibt bei vielen Firmen ein Bewusstsein dafür", sagt Manuel Atug,"aber trotzdem wird oft zu wenig getan." Ein häufiges Argument der Firmen sei, dass es Geld kostet, Sicherheitsstandards umzusetzen. Viele mögen sich insgeheim außerdem fragen: Wie hoch ist die Wahrscheinlichkeit, dass es uns überhaupt trifft - und was wäre überhaupt der Schaden? Und: wer hat ihn?
Den Schaden haben in erster Linie die Bürger
Je nach Vorfall kann der Schaden durchaus in die Millionen gehen, wie zum Beispiel ein Prozess von Merck gegen den Versicherer Ace American deutlich mache, sagt Atug. Der Prozess geht schon viele Jahre, es geht um eine Schadsoftware und wer dafür haftet, was die Software angerichtet hat. Merck verlangt mehrere hundert Millionen Euro in dem Prozess.
Wer den Schaden aber auf jeden Fall immer hat, sind die Bürger - Beispiel Bahn. Sie will nun prüfen, wie man sich vor solchen Ausfällen besser schützen kann. Sicherheitsexperte Wiesner fragt sich jedoch, wie es sein konnte, dass ein Ausfall des Zugfunks, der laut einer Aussage der Bundesregierung aus dem Jahr 2016 eigentlich nur das Ersatzsystem zu den Signalanlagen ist, dazu führt, dass der Zugverkehr gestoppt wird. "Weitverzweigte Anlagen wie das Bahn- oder Stromnetz sind präventiv schlecht zu sichern; es ist daher umso wichtiger, dass diese möglichst ausfallsicher und resilient – also widerstandsfähig – konzipiert werden", sagt Wiesner.
Exklusive Nutzung von Funkmasten "ein Unding"
Die Bedeutung funktionierender Rückfallsysteme und redundanter, also doppelter Strukturen, betont auch Manuel Atug. Dann kann der Betrieb nämlich aufrechterhalten werden, auch wenn es zu einem Angriff kommt. Das gilt aus seiner Sicht vor allem für die Kommunikation. "Eigentlich sollte es überall in Deutschland die Netzabdeckung durch mindestens zwei Funkmasten geben, damit der Empfang jederzeit gewährleistet ist."
Schlecht sei es hingegen, wenn Masten exklusiv genutzt werden. "Dass nicht alle Masten in Deutschland von allen Betreibern genutzt werden, ist ein Unding", sagt Atug.
Incentivierung statt Sanktionen?
Die drei Experten sind sich einig, dass die Unternehmen stärker in die Pflicht genommen werden müssten, damit die kritische Infrastruktur in Deutschland sicherer wird. Das müsse nicht unbedingt durch Sanktionen geschehen, denkbar sei auch eine Incentivierung, also ein Anreiz, "vielleicht ein Steuervorteil für die Sicherheitsmaßnahmen, die man ergreift", sagt Atug.
Von selbst machen es viele Unternehmen offenbar nicht – zumindest nicht auf dem Niveau, das die Sicherheitsexperten fordern. Dass sie es aber sollten, wird Michael Wiesner nicht müde zu betonen. "Die Idee: 'Uns wird es schon nicht treffen' - die ist einfach heutzutage nicht mehr wahr."
Verwendete Quellen:
- Telefoninterviews mit den Sicherheitsexperten Manuel Atug, Michael Wiesner und Mischa Hansel
- Gesetze im Internet: BSI-Gesetz
- Gesetze im Internet: BSI-Kritis-Verordnung
- Website des Bundesamts für Sicherheit in der Informationstechnik: IT-Sicherheitsgesetz 2.0
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.