| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Das Konzept Schutz kritischer Infrastrukturen unterscheidet sich insofern von dem der technischen IT-Sicherheit, als es in seinen Betrachtungen nicht nur die technikorientierte Sichtweise mit einbezieht, sondern von gesamtstaatlichen oder gesamtgesellschaftlichen Risiken ausgeht und staatenübergreifend an ein allgemeines Sicherheitsverständnis anknüpft.
Kritische Infrastrukturen sind in Deutschland definiert als Organisationen oder Einrichtungen mit (lebens-)wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Störung für größere Bevölkerungsgruppen nachhaltig wirkende Versorgungsengpässe oder andere schwerwiegende Folgen eintreten können. Staat und Wirtschaft funktionieren nur, wenn kritische Infrastrukturen ohne wesentliche Beeinträchtigungen jederzeit verfügbar sind. Dazu gehören unter anderem:
IT-Sicherheit leistet einen wichtigen Beitrag zum Schutz kritischer Infrastrukturen, doch durch sie alleine kann kein hinreichender Schutz derselben erzeugt werden. Vielmehr wird ein umfassendes Schutzkonzept benötigt, das über rein technische Maßnahmen hinaus auch folgende Komponenten umfasst:
Ein dermaßen breit gefächertes und über technische Maßnahmen hinausgehendes, ganzheitliches Schutzkonzept für kritische Infrastrukturen erfordert neue Formen der Kooperation von Staat, Wirtschaft und Gesellschaft.
Schon seit gut zehn Jahren gibt es in Deutschland eine Vielzahl an Initiativen und Projekten, die nach heutigem Verständnis direkt oder indirekt zum Bereich Schutz kritischer Infrastrukturen gezählt werden können. Zentrale Bedeutung kommt dabei der interministeriellen Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) zu, die auf Initiative des Bundesministers des Innern (BMI) im Jahre 1997 eingerichtet wurde. Dies geschah unter anderem als Reaktion auf die Studie der President's Commission on Critical Infrastructure Protection (PCCIP) in den USA. Die AG KRITIS kooperiert eng mit den verantwortlichen Ressorts der verschiedenen Ministerien und unterrichtet regelmäßig über Entwicklungen und Tendenzen im Bereich KRITIS.
Das Bundesministerium des Innern (BMI), als für die innere Sicherheit Deutschlands zuständige Behörde, beschäftigt sich intensiv mit dem Schutz kritischer Infrastrukturen. Hier werden alle KRITIS-spezifischen Themen bearbeitet und entsprechende Maßnahmen koordiniert: physischer Schutz im Rahmen der Vorsorge und des Katastrophenschutzes, Bedrohungs- und Täterabwehr im Rahmen der polizeilichen Arbeit sowie sämtliche IT-Aspekte und IT-Abhängigkeiten, für die das Referat IT3 (Sicherheit in der Informationstechnik) im IT-Stab des BMI verantwortlich ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), als Behörde im Geschäftsbereich des BMI, hat im Bereich KRITIS eine besondere Stellung. Es befasst sich mit allen Aufgaben zur Sicherheit im Cyberspace und ist präventiv in der Analyse von IT-Schwachstellen und der Entwicklung von IT-Schutzmaßnahmen tätig. Dazu gehören folgende Inhalte:
Im Bereich der physischen Sicherheit wird das noch im Aufbau befindliche Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Maßnahmen zur Verbesserung des Schutzes erarbeiten. Dies geschieht zurzeit noch im Rahmen des Katastrophen- und Zivilschutzes unter der Mitwirkung des Bundesverwaltungsamtes (BVA).
Das Bundeskriminalamt (BKA) unterstützt den Generalbundesanwalt oder die lokalen Staatsanwaltschaften bei der Aufklärung von Verbrechen gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland. Zudem verfolgt das BKA Verbrechen, die die Beschädigung oder die Zerstörung von kritischen Infrastrukturen umfassen und damit eine ernste Bedrohung für Leben, Gesundheit oder das Gemeinwohl der Gesellschaft darstellen können. Zudem ist das BKA die zuständige Behörde bei der Aufklärung von Verbrechen, die mittels Informations- oder Kommunikationstechnologien begangen wurden.
Das Bundesministerium für Wirtschaft und Arbeit (BMWA) als für die Wirtschaft zuständige Behörde wirkt bei KRITIS mit, da sich in Deutschland über 90 % der kritischen Infrastrukturen in privatwirtschaftlicher Verantwortung befinden. Das BMWA ist unter anderem zuständig für die Sektoren Energie und Telekommunikation. Hier wurde, neben Projekten zur IT-Sicherheit in kleinen und mittleren Unternehmen (KMU), unter anderem die Verfügbarkeit von sicheren Telekommunikationsinfrastrukturen untersucht.
Im Rahmen dieser Anstrengungen ist die Regulierungsbehörde für Telekommunikation und Post (RegTP) im Auftrag des BMWA dafür zuständig, die Umsetzung von Regulierungsvorgaben voranzutreiben und zu kontrollieren sowie insbesondere die Zuverlässigkeit und die Sicherheit von Telekommunikations-Netzwerken sicherzustellen. Nach dem novellierten Telekommunikationsgesetz (TKG), sind Telekommunikationsfirmen dazu verpflichtet, entsprechende technische oder anderweitige Maßnahmen zu ergreifen, um softwaregesteuerte Telekommunikation- und Datenverarbeitungssysteme gegen unberechtigten Zugriff und Störungen, die schwerwiegende Ausfälle der Telekommunikations-Netzwerke zur Folge haben können, zu schützen.
Das Bundesministerium für Justiz (BMJ) nimmt die Verantwortlichkeiten für die Gesetzgebung wahr. Beispielsweise wird dort geprüft, inwiefern die nationale Gesetzgebung mit der Cybercrime-Konvention vom 3. November 2001 konform ist.
Das Bundesministerium für Verteidigung (BMVg) begleitet die Arbeiten im Rahmen seiner Zuständigkeit für die Landesverteidigung und zur Aufrechterhaltung der Einsatzbereitschaft und Leistungsfähigkeit der Streitkräfte.
Das Bundeskanzleramt hat auf Ressortebene eine koordinierende Funktion. Weitere Ministerien wirken im Rahmen einzelner spezieller Zuständigkeiten ebenfalls am Schutz kritischer Infrastrukturen mit.
Auch auf der Ebene der diesen Behörden unterstellten Ämter sind die Zuständigkeiten verteilt. Der Bundesnachrichtendienst (BND) und der Verfassungsschutz (BfV) liefern im Vorfeld wichtige Erkenntnisse über die gegenwärtige Bedrohungssituation und über mögliche Ziele für Angriffe auf kritische Infrastrukturen im Inland.
Des Weiteren spielen Initiativen und Public-Private Partnerships im Bereich Critical Information Infrastructure Protection (CIIP) in Deutschland eine Rolle, da der Schutz kritischer Infrastrukturen nur durch eine intensive Zusammenarbeit zwischen Wirtschaft und Staat effektiv vorangetrieben werden kann. Zu nennen ist hier zum Beispiel die Initiative D21. Sie ist ein gemeinnütziger, sektorenübergreifender Verein von über 300 Unternehmen. Sein Ziel ist es, in Zusammenarbeit mit Politik und Verwaltung in Deutschland den Wandel von der Industrie- zur Informationsgesellschaft zu beschleunigen.
Die Initiative "Sicherheit im Netz" des BMWA hat das Ziel, das Bewusstsein kleiner und mittelständischer Betriebe für die Notwendigkeit des sicheren E-Commerce zu schärfen. Ferner ist der Arbeitskreis Schutz von Infrastrukturen (AKSIS) zu nennen. Hier haben sich Unternehmen und Behörden zusammengeschlossen, um die Kritikalität der Abhängigkeiten der kritischen Sektoren von der Informationstechnik und ihren Wechselbeziehungen untereinander zu analysieren. Zu den zentralen Aufgaben gehört auch die Erarbeitung von Maßnahmen zur Prävention und Reaktion sowie zum übergreifenden Sicherheitsmanagement.
Im CERT-Verbund Deutschland haben sich fünf CERTs großer Unternehmen sowie das CERT der Bundesverwaltung (CERT-Bund) zusammengeschlossen, um Informationen über Schwachstellen, Gefahren und Vorfälle auszutauschen. Dies hat auch unmittelbare Auswirkungen auf den Schutz kritischer Infrastrukturen.
Das Referat CERT-Bund wurde am 1. September 2001 im Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet. Es ist die zentrale CERT-Organisation für alle Bundesbehörden. CERT-Bund stellt einige seiner Dienste auch dem privaten Bereich zur Verfügung. Das Referat soll die Anwender vor Sicherheitslücken warnen und präventive Maßnahmen zu deren Beseitigung entwickeln. In Notfällen stellt es ein Team bereit, das auftretende Probleme analysiert und die Anwender umgehend über die Gefahren sowie über einzuleitende Gegenmaßnahmen informiert. Ferner soll der Aufbau neuer CERTs unterstützt und gefördert werden.
Voraussichtlich ab Sommer 2003 wird das sich im Aufbau befindliche Mcert für kleine und mittlere Unternehmen einsatzbereit sein. Es wird diesem Nutzerkreis individuell zugeschnittene Informationen zur Prophylaxe und zu konkreten Hilfeleistungen zur Verfügung stellen und so zu einer ganzheitlichen Erhöhung des Sicherheitsniveaus im Mittelstand beitragen.
Auf behördlicher Ebene war im Bereich der Analyse und Prävention im Jahr 2002 insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv. Ziel dieser Aktivitäten war es, sämtliche Infrastrukturbereiche durch systematische Studien auf Schwachstellen und Verbesserungsmöglichkeiten bezüglich der IT-Abhängigkeiten sowie der IT-Sicherheit zu analysieren und in einem weiteren Schritt entsprechende Maßnahmen zur Reduzierung dieser Schwachstellen zu entwickeln.
Für eine spätere Auswertung der Studienergebnisse waren folgende Ziele zu erreichen:
Um eine Vergleichbarkeit der Studienergebnisse zur Problematik des Schutzes kritischer Infrastrukturen in den sieben, stark heterogenen Infrastrukturbereichen zu ermöglichen, wird für alle Studien ein gemeinsamer Ansatz in Form einer einheitlichen Gliederung mit konkreten Angaben zur Vorgehensweise gewählt.
Bei dem gewählten prozessorientierten Ansatz ist es zunächst wichtig, in einem Sektorüberblick zunächst die Aufgaben der Sektoren und ihre Bedeutung für das Gemeinwesen darzustellen. Anschließend müssen in enger Kooperation mit Betreibern aus dem jeweiligen Sektor durch möglichst fundierte und detaillierte Analysen, Aussagen zur Kritikalität der Sektoren allgemein und speziell der Kernprozesse gewonnen werden. Dazu wird zunächst jeder Sektor, beispielsweise die Energieversorgung, in seine einzelnen Branchen (z. B. Strom-, Gas- und Mineralölversorgung) und dann in seine jeweiligen Geschäftsprozesse zerlegt. Diese Prozesse sind dann im Einzelnen weiter zu untersuchen. Bei den Prozessen lassen sich zwei Typen erkennen:
Dabei wird deutlich, dass technische Prozesse eine tendenziell höhere Kritikalität besitzen als unterstützende Prozesse. Auf diese Weise lassen sich die kritischen Prozesse und Abläufe bezüglich ihrer Bedeutung für die Leistungserbringung erkennen und bewerten. Auch hier ist die Kritikalität der primär interessierende bewertende Faktor.
Des Weiteren bedarf es einer Methode zur Bewertung der Kritikalität. Dazu wird die Wahrscheinlichkeit von Prozessausfällen sowie die Auswirkung dieser Ausfälle auf Unternehmen einer bestimmten Branche oder auf das Gemeinwesen betrachtet. Auf diese Weise ist eine Bewertung der Kritikalität von Prozessen möglich. Als Hilfsmittel dazu können Tabellen (Kritikalitätsmatrizen) dienen, deren Faktoren durch Vergleiche, Befragungen und Vorstudien ermittelt werden.
Als Ergebnis dieser Bewertung kann eine Anzahl kritischer Prozesse abgeleitet werden, die dann detaillierter auf ihre IT-Abhängigkeiten hin zu untersuchen wären. Dabei liegt es in der Entscheidung der Durchführenden, wie tief in die technischen Systeme vorzudringen ist. Es erscheint zweckmäßig, zunächst eine Gesamtsicht zu erarbeiten, um danach die gewonnenen Erkenntnisse in ausgewählten Bereichen gezielt zu vertiefen.
Vor dem Hintergrund der wachsenden IT-Nutzung und der zunehmenden Verkettung und Vernetzung von Prozessen sollte dabei auch festgestellt werden,
Die Analysen können vertieft werden durch die Ermittlung der Anforderungen pro Kernprozess an Verfügbarkeit, Integrität, Vertraulichkeit, Zuverlässigkeit und Verlässlichkeit der genutzten Information, IT-Systeme und IT-Prozesse. Dies soll nicht nur aus Sicht der Betreiber/Anbieter geschehen, sondern auch aus Sicht der Kunden und hinsichtlich der Bedeutung für das Gemeinwesen.
An dieser Stelle der Infrastrukturanalyse sind auch einige Aussagen über Art und Ausmaß der bestehenden Interdependenzen möglich. Dabei wird zwischen intrasektoralen und intersektoralen Dependenzen unterschieden. Dieser Abschnitt der Analyse bietet damit einen ersten Ansatzpunkt für spätere vertiefte Untersuchungen dieses hochkomplexen Themas, wobei der Bereich der Interdependenzen vermutlich eine der zentralen Fragestellungen beim Schutz kritischer Infrastrukturen ist.
Ein wesentlicher Teil der Infrastrukturanalysen befasst sich ferner mit neuen Entwicklungen und Trends. Dabei geht es um die Frage, wie sich die IT-Durchdringung und damit die Interdependenzen ausdifferenzieren, welche technischen Neuerungen zur Einführung anstehen und welchen Einfluss diese Neuentwicklungen möglicherweise auf Sicherheitsaspekte haben werden.
In diesem Teil der Infrastrukturanalysen sollen weitergehende Vorschläge erarbeitet werden, die sich damit beschäftigen, was bisher nicht untersucht beziehungsweise berücksichtigt wurde, was gegebenenfalls nachzuarbeiten ist und welche Bereiche der Analysen vertieft werden sollten. Auch sind hier Hinweise auf mögliche weitere Schritte aus der Sicht der Auftragnehmer möglich.
Die sieben kritischen Sektoren in Deutschland unterscheiden sich in ihren Strukturen und Organisationsformen erheblich. Die Summe der durch sie erbrachten Dienstleistungen stellt die Grundversorgung von Staat und Gesellschaft sicher. Jeder Infrastrukturbereich ist in sich einzigartig und kann allenfalls bedingt mit "Schwesterbereichen" im Ausland verglichen werden. Zwischen den und innerhalb der sieben Sektoren besteht ein engmaschiges Netz aus multilateralen Abhängigkeiten, die aufgrund ihrer Heterogenität, Komplexität und Vielzahl zum jetzigen Zeitpunkt allenfalls vermutet, jedoch nicht erfasst werden konnten.
Die im Jahr 2002 gewonnenen Ergebnisse werden zurzeit ausgewertet. Bereits jetzt lässt sich feststellen, dass die Untersuchungen in bestimmten Bereichen weiter zu vertiefen sind und die Zusammenarbeit zwischen Wirtschaft und Staat ausgebaut werden muss.
Über die Internet-Seiten des BSI (www.bsi.bund.de) werden der Wirtschaft, den Behörden und der Bevölkerung aktuelle Informationen über die Arbeiten zum Thema KRITIS bereit gestellt. Zur weiteren Sensibilisierung der betroffenen Gruppen hat das BSI im Rahmen seiner Schriftenreihen ferner das Faltblatt "Schutz kritischer Infrastrukturen" herausgegeben.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#4, Seite 40
|