Das IT-Sicherheitsgesetz – Aktionismus oder Notwendigkeit?

Schutz der kritischen Infrastrukturen

Die Digitalisierung der kritischen Infrastrukturen macht es Angreifern vergleichsweise einfach diese zu kompromittieren. Es ist die Aufgabe der Betreiber permanent die IT-Sicherheit bei gesellschaftlich relevanten Einrichtungen sicherzustellen. Das IT-Sicherheitsgesetz kann, neben der wichtigen Steigerung der IT-Sicherheit auch einen positiven Effekt für die Wirtschaft haben.

Niemand möchte heutzutage, ohne Wasser auskommen, bei Kerzenlicht lesen oder womöglich auf medizinische Hilfe verzichten, weil der Strom ausgefallen ist. Solche Bilder können schnell zur Realität werden, wenn sich Kriminelle in die Leitsysteme von Energieversorgern hacken und die Systeme sabotieren. Die zunehmende Digitalisierung in kritischen Infrastrukturen (KRITIS), die erforderlich ist, um die intelligente Steuerung vernetzter und verteilt betriebener Anlagen zu ermöglichen, macht es Angreifern vergleichsweise einfach. Daher sehen IT-Sicherheitsexperten nicht nur Vorteile im rasant wachsenden Einsatz der nötigen IT-Systeme.

Vor dem Gesetz sind alle gleich?! Das IT-Sicherheitsgesetz soll grundsätzlich nicht die Verantwortung für kritische Betriebsvorfälle im Kontext des IT-Einsatzes regeln, sondern eine Basis schaffen, um diese grundsätzlich zu verhindern. Aber kann IT-Sicherheit mit dem Gesetz proaktiv in den unterschiedlichen Branchen verankert werden, wer sind die Betreiber von zu sichernden Anlagen und an welcher Stelle der Wertschöpfungskette müssen entsprechende Schutzmaßnahmen ansetzen?

Die Wahrnehmung der eigenen Infrastrukturen ist aus Betreibersicht sehr differenziert. Auf der einen Seite gibt es Branchen, die bisher die IT nicht als ihre Kernaufgabe gesehen und ihre Netzinfrastruktur völlig losgelöst von geschäftskritischen Prozessen betrachtet haben. Diese haben die Hoffnung, als »Ingenieursunternehmen«, nicht zu den KRITIS gezählt zu werden, da sie ansonsten dem IT-Sicherheitsgesetz unterliegen würden und bisher nicht getroffene Maßnahmen umsetzen müssten. In stark IT-gestützten Branchen, wie zum Beispiel dem Bankensektor, ist man heute bereits gut aufgestellt und dementsprechend eher stolz darauf, als eine für die Gesellschaft essenzielle Infrastruktur gesehen zu werden.

Die vorherrschenden Ansichten und Erfahrungen im Hinblick auf die IT-Sicherheit sind also völlig unterschiedlich. Aber gerade diese Erkenntnis untermauert den Handlungsbedarf. Ein Mindestmaß an Sicherheit über sämtliche KRITIS-Betreiber muss in Deutschland erreicht werden.

Wer betreibt eine kritische Infrastruktur in Deutschland? Bisher wird in dieser Frage eher emotional und subjektiv diskutiert. Die Definition unterscheidet sich weltweit je nach Land stark. Eine länderübergreifende, geschweige denn eine landesbezogene Identifikation von KRITIS auf Basis einer einheitlichen Methodik ist bisher nicht gegeben.

Aber wann gehört ein Logistikunternehmen zu KRITIS und bis zu welchem Ausmaß bleibt ein Ausfall seiner Dienstleistung unkritisch? Die Wirtschaft ist heute so eng verzahnt, dass für große Versorger bereits Probleme bei kleineren Zulieferern oder IT-Dienstleistern zu enormen Schwierigkeiten führen können. Diese Zusammenhänge müssen in der Regelung zur Feststellung der KRITIS-Betreiber beachtet werden.

Das Bundesamt für Sicherheit in der Informationstechnik versucht mit den veröffentlichten KRITIS-Studien aus der Perspektive der Wertschöpfungskette der wichtigsten Versorgungsdienstleistungen eines jeden KRITIS-Sektors neuralgische Punkte im IT-Einsatz zu identifizieren. Keine einfache Aufgabe. Vorerst können nur die eindeutigen und offensichtlichen KRITIS, wie beispielsweise Kraftwerke, große Wasserwerke oder Backbone-Netze der Telekommunikations-Unternehmen definiert werden. Aber fallen auch die kleinen Zulieferer und Dienstleister darunter? Das Gesetz kann aus dieser Perspektive nur ein Anfang oder je nach Branche ein weiterer Baustein innerhalb eines Prozesses sein, der zur Aufgabe hat, permanent die IT-Sicherheit bei gesellschaftlich relevanten Einrichtungen sicherzustellen.

Die Meldepflicht als Hilfe zur Selbsthilfe? Über eines ist man sich mit anhaltender Diskussion mittlerweile einig: Wichtig ist, dass Schäden von vorneherein verhindert und nicht lediglich nach Schadenseintritt gemeldet werden. Die oft diskutierte Meldepflicht kann, richtig umgesetzt, durchaus helfen, die Sicherheit zu erhöhen, wenn dadurch Informationen über Angriffe schnell zwischen den Beteiligten verteilt werden und in technischen und organisatorischen Maßnahmen umgesetzt werden. Dabei ist ein Meldewesen keinesfalls neu. Die Meldung von besonderen Ereignissen ist in vielen Branchen bereits Alltag. Kraftwerksbetreiber und Telekommunikations-Unternehmen melden an die Bundesnetzagentur, Banken an die Bundesanstalt für Finanzdienstleistungsaufsicht. Meldesysteme sind also durchaus praxistauglich. Momentan wird von rund 7 bis 10 zu meldenden Vorfällen je Betreiber im Jahr ausgegangen. Dieser Wert ist aus technischer Sicht zu gering angesetzt, denn auch gute, nicht erfolgreiche Angriffe können für weniger gesicherte Betreiber wichtige Informationen enthalten und sollten über ein passendes Verteilsystem zur Verfügung gestellt werden.

Gefahr »Vernetzung«. Um den aktuellen Gefahren grundsätzlich entgegentreten zu können, ist aus IT-Sicherheitssicht die »Separierung«, die strikte Abschottung von betriebskritischen Systemen, eine vielversprechende Lösung. Während also die Vernetzung voranschreitet, sollten für eine Erhöhung der Sicherheit Methoden zur Separierung eingesetzt werden. Über Terminalserver und Virtualisierungstechnologien können bereits jetzt Fernwartungsaufgaben wahrgenommen werden, die einen komfortablen und gleichzeitig sicheren Zugang zu Komponenten der Netzleitsysteme bereitstellen. Die Digitalisierung muss daher nicht nur mit Sorge betrachtet werden, solange die Betreiber im Sinne der IT-Sicherheit ihre Hausaufgaben machen.

Das Gesetz – Chance und Nutzen. Das IT-Sicherheitsgesetz ist kein Garant für 100-prozentige Sicherheit. Aber es setzt den Fokus auf wichtige Strukturen der Gesellschaft im Hinblick auf ein Mindestniveau an IT-Sicherheit. Deutschland ist stark in der Industrie und gleichzeitig stark auf dem Gebiet der IT-Sicherheit. Wenn dieses Know-how sinnvoll verknüpft in sicheren Lösungen für den Betrieb kritischer Systeme und Anlagen mündet, bedeutet dies auch einen Wettbewerbsvorteil für Deutschland. Das IT-Sicherheitsgesetz kann, wenn auch anders motiviert, neben der wichtigen Steigerung der IT-Sicherheit auch einen positiven Effekt für die Wirtschaft haben.

Je nach Sichtweise lässt sich das Gesetz kritisch betrachten, aber das Ziel die Sicherheit zu stärken, ist garantiert ein erstrebenswertes Ziel. Über den Erfolg oder Misserfolg des Gesetzes werden letzten Endes die handelnden Personen entscheiden.

 


Markus Linnemann, Torsten Redlich
secunet Security Networks AG, Berlin,
www.secunet.com

 

Illustration: © Chaban Oleksandr/shutterstock.com; secunet