Umsetzungsplan KRITIS Hand in Hand beim Schutz der kritischen Infrastrukturen
Ordnungsmerkmale
erschienen in: <kes> 2007#6, Seite 51
Rubrik: BSI Forum
Schlagwort: Kritische Infrastrukturen
Zusammenfassung: Mit dem Umsetzungsplan KRITIS werden die strategischen Ziele Prävention, Reaktion und Nachhaltigkeit des "Nationalen Plans zum Schutz der Informationsinfrastrukturen" für den Bereich der kritischen Infrastrukturen ausgestaltet. Er bildet die Plattform für eine langfristige Zusammenarbeit zwischen Wirtschaft und Staat zur weiteren Verbesserung des Schutzes der Informationsinfrastrukturen in den KRITIS-Branchen.
Autor: Von Dirk Reinermann und Dr. Timo Hauschild, BSI
Mit dem Beschluss des Bundeskabinetts zum Umsetzungsplan KRITIS [1] wurde am 5. September 2007 ein weiterer Meilenstein zum Schutz der kritischen Infrastrukturen in Deutschland erreicht. Ausgehend von dem 2005 vom Kabinett verabschiedeten "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI, [2]) haben führende Betreiber und Verbände privatwirtschaftlicher kritischer Infrastrukturen und verschiedene Bundesbehörden den nun vom Kabinett gebilligten Umsetzungsplan in enger Kooperation erarbeitet.
Unter der Federführung des Bundesministeriums des Innern (BMI) konnten auf diese Weise konkrete Handlungsschritte vereinbart werden, die in den kommenden Jahren den Schutz der kritischen Infrastrukturen weiter verbessern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Prozess fachlich und organisatorisch begleitet. Seitens der Wirtschaft waren über 30 Unternehmen und Verbände beteiligt. Der Umsetzungsplan KRITIS ist bereits ein wesentlicher Beitrag Deutschlands zum angekündigten Europäischen Programm für den Schutz kritischer Infrastrukturen (EPSKI, engl. EPCIP).
----------Anfang Textkasten----------
KRITIS-Leitbild
Ein gemeinsames Leitbild war Basis und Ziel der gemeinschaftlichen Arbeiten von Privatwirtschaft und Behörden:
"Wir arbeiten zusammen, um die Kompetenz und das Know-how der deutschen Wirtschaft und der Bundesregierung in der gemeinsamen Verantwortung für die IT-Sicherheit in den Prozessen kritischer Infrastrukturen zu beschreiben. Durch Empfehlungen und Maßnahmen soll dazu beigetragen werden, dass alle Betreiber kritischer Infrastrukturen ein angemessen hohes Sicherheitsniveau der Informationsinfrastrukturen im Allgemeinen und der in den Unternehmen eingesetzten IT bewahren und weiter ausbauen können. Die langfristige Zusammenarbeit zur Erkennung und Bewältigung von IT-Krisen soll branchenübergreifend gemeinsam mit der Bundesregierung gefördert werden.
Unser Ziel ist es, dass sich die Betreiber kritischer Infrastrukturen aktiv zu den gemeinsamen Grundsätzen bekennen und auf Basis der nachfolgenden Empfehlungen das IT-Sicherheitsniveau in den kritischen Infrastrukturen noch weiter erhöhen."
----------Ende Textkasten----------
Kritische Infrastrukturen
Nach der Definition des BMI sind kritische Infrastrukturen "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten." Dabei werden unter dem Begriff die folgenden acht Sektoren zusammengefasst:
- Transport und Verkehr (Luftfahrt, Seeschifffahrt, Bahn, Nahverkehr, Binnenschifffahrt, Straße, Postwesen),
- Energie (Elektrizität, Kernkraftwerke, Mineralöl, Gas),
- Gefahrstoffe (Chemie- und Biostoffe, Gefahrguttransporte, Rüstungsindustrie),
- Informationstechnik und Telekommunikation (Telekommunikation, Informationstechnologie),
- Finanz-, Geld- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen),
- Versorgung (Gesundheits-, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittel- und Wasserversorgung, Entsorgung),
- Behörden, Verwaltung und Justiz (staatliche Einrichtungen),
- Sonstiges (Medien, Großforschungseinrichtungen sowie herausragende oder symbolträchtige Bauwerke, Kulturgut).
Mit dem Schutz kritischer Infrastrukturen beschäftigen sich auf Bundesebene unter Federführung des BMI mehrere Behörden mit unterschiedlichem Fokus, so zum Beispiel das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das Technische Hilfswerk (THW), das Bundeskriminalamt (BKA) und das BSI. Hauptblickwinkel des BSI sind die Abhängigkeit kritischer Infrastrukturen von Informationstechnik sowie die daraus resultierenden Gefährdungen.
Gefährdungssituation
Informationstechnik bestimmt mehr und mehr den Alltag. Das Internet als weltweites Datennetz wird inzwischen in allen gesellschaftlichen Bereichen intensiv genutzt: zur Kommunikation, zur Recherche, zum Abwickeln von Geschäftsprozessen. An vielen Arbeitsplätzen geht heute ohne IT oder ohne das Internet nicht mehr viel – und das gilt auch in kritischen Infrastrukturen. Nehme man nur eine Bank oder eine Versicherung, einen Flughafen oder einen Telefonanbieter: Die meisten Abläufe werden durch vernetzte Computer unterstützt, darunter eben auch viele kritische Prozesse.
Ein Ausfall der Computersysteme kann somit nach kürzester Zeit zu merklichen Beeinträchtigungen des Gemeinwesens führen. Bei kritischen Infrastrukturen sind aber genau solche Störungen möglichst zu vermeiden.
Problematisch ist, dass in den letzten Jahren nicht nur die Abhängigkeit von der Informationstechnik drastisch gestiegen ist, sondern gleichzeitig auch deren Bedrohung: Waren es vor wenigen Jahren noch vorwiegend Hacker mit sportlichem Ehrgeiz und später so genannte Script-Kiddies, die versucht haben, in Rechner einzudringen, so hat man es heute vermehrt mit Angreifern mit eindeutig kriminellem Bezug zu tun [3].
Hintergrund ist, dass sich mit Internet-Kriminalität inzwischen Geld verdienen lässt: Schwachstellen in Software werden öffentlich versteigert. Schadcode ist im Umlauf, bevor Informationen zu einer Schwachstelle überhaupt veröffentlicht wurden. Tausende gekaperter Rechner können von Angreifern ferngesteuert für ihre Zwecke verwandt werden – diese so genannten Bot-Netze werden zudem an Interessierte vermietet. Die Liste ließe sich leicht fortsetzen.
Will man heute einen Rechner oder ein Netz an das Internet anschließen, so müssen umfassende Schutzmechanismen umgesetzt werden [4]. Andernfalls wird man binnen kürzester Zeit Opfer eines erfolgreichen Angriffs. Und bedroht sind nicht nur heimische PCs und Netze zur Bürokommunikation: Auch in kritischen Infrastrukturen stützen sich viele Prozesse auf Informationstechnik. Vernetzte IT-Systeme sind für viele Aktivitäten unerlässlich.
Der Umsetzungsplan KRITIS (UPK) setzt genau hier an. Er adressiert die IT-Sicherheit in den Prozessen kritischer Infrastrukturen und leistet somit einen wesentlichen Beitrag zur verlässlichen Bereitstellung der lebensnotwendigen Dienstleistungen durch einen angemessenen IT-Schutz.
Schutz kritischer Infrastrukturen
Die während der Erstellung des Umsetzungsplans KRITIS durchgeführte Erhebung des Status Quo der IT-Sicherheit bei den KRITIS-Betreibern zeigt, dass die unternehmensinternen IT-Sicherheitsmaßnahmen in Deutschland bereits sehr umfassend sind. Grundsätzlich ist ein durchgängiger IT-Sicherheitsprozess etabliert, der IT-Sicherheitsmanagement, Risikoanalyse und Notfallmanagement umfasst. Natürlich bleiben die einzelnen Unternehmen und Organisationen auch nach den Ergebnissen des Umsetzungsplans KRITIS vorrangig zuständig für die IT-Sicherheit ihrer Bereiche.
IT-Sicherheit lässt sich aber nicht mehr nur lokal, das heißt auf Unternehmensebene, gewährleisten. Unternehmen, Branchen, Sektoren und Staaten sind heute über Informations- und Kommunikationstechnik umfassend vernetzt. Und hier setzt der Umsetzungsplan an, indem die unternehmensinternen Vorkehrungen um unternehmensübergreifende Maßnahmen ergänzt werden. Letztere können branchenintern, branchenübergreifend oder sogar grenzüberschreitend sein, je nach Notwendigkeit.
Ein Großteil des bei der Erstellung des Umsetzungsplans KRITIS festgestellten Handlungsbedarfs adressiert die branchen- und sektorübergreifende Zusammenarbeit. Diese lässt sich grob in zwei Kategorien einteilen:
- Zum einen ist dies das "EfA-Prinzip" (Einer für Alle): Auf Branchen- beziehungsweise Sektor-Ebene sollen für den jeweiligen Bereich gültige Standards und Empfehlungen erarbeitet und spezifische Dienstleistungen wie Unterlagen zur Sensibilisierung bereitgestellt werden.
- Zum anderen sind dies Empfehlungen zur Verbesserung des IT-Krisenmanagements: Informationen über IT-Vorfälle, zum Beispiel über bisher nicht bekannte Trojaner oder koordinierte Angriffe, sollen frühzeitig ausgetauscht werden, um noch nicht betroffene Unternehmen frühestmöglich zu warnen und ihnen damit eine bestmögliche Krisenreaktion zu ermöglichen. IT-Krisen sollen durch koordinierte Maßnahmen schneller bekämpft werden. Auf Branchenebene sollen Absprachen getroffen werden, wie bei Vorfällen in einzelnen Unternehmen die Dienstleistung der Branche weiter aufrecht erhalten beziehungsweise gemeinsam schnell wiederhergestellt werden kann.
Darüber hinaus wollen Staat und Wirtschaft eng zusammenarbeiten, um die IT-Sicherheit und die IT-Krisenreaktionsmöglichkeiten auch auf internationaler Ebene zu verbessern.
Wie geht es weiter?
Die an der Erstellung des Umsetzungsplans KRITIS Beteiligten wollen die gefundenen Empfehlungen in den nächsten Jahren umsetzen. Zu diesem Zweck wurden vier Arbeitsgruppen zu den folgenden Themen gebildet:
- Notfall- und Krisenübungen,
- Krisenreaktion und -bewältigung,
- Aufrechterhaltung kritischer Infrastrukturdienstleistungen,
- nationale und internationale Zusammenarbeit.
Der Schwerpunkt der Arbeiten wird zunächst auf den beiden erstgenannten Arbeitsgruppen liegen, deren Aufgaben und Ziele im Folgenden konkretisiert werden sollen.
Arbeitsgruppe "Notfall- und Krisenübungen"
In der Arbeitsgruppe "Notfall- und Krisenübungen" wird es zunächst darum gehen, ein Gesamtkonzept zu erstellen, das sämtliche für die Planung, Durchführung und Auswertung von Notfall- und Krisenübungen erforderlichen Rahmenbedingungen definiert. Darüber hinaus ist eine wesentliche Aufgabe der Arbeitsgruppe die Entwicklung von branchenübergreifenden IT-Krisenszenarien, die später als Basis für die durchzuführenden Übungen dienen sollen.
Nach Abschluss der Vorarbeiten stehen dann regelmäßige Übungen auf der Tagesordnung: Unter Berücksichtigung bestehender Übungsreihen sollen wechselnde Teilnehmer aus verschiedenen Branchen kritischer Infrastrukturen sowie aus den relevanten staatlichen und privatwirtschaftlichen Organisationen zunächst Tisch- und Erreichbarkeitsübungen, später aber auch komplexere Übungen durchführen.
Ziel der Arbeitsgruppe ist es, branchen- und sektorübergreifende Abhängigkeiten und kritische Schwachstellen zu identifizieren, um auf diese Weise die Krisenreaktionsprozesse zu optimieren und die branchenübergreifende Koordination durch den Aufbau geeigneter Strukturen zu verbessern. Die Ergebnisse fließen insbesondere auch in die weitere Arbeit der Arbeitsgruppe "Krisenreaktion und -bewältigung" ein.
Arbeitsgruppe "Krisenreaktion und -bewältigung"
Diese Arbeitsgruppe beschäftigt sich mit dem Themenspektrum von der IT-Lageanalyse über Warnung und Alarmierung bis hin zur Krisenbewältigung. In einem ersten Schritt soll einerseits geklärt werden, welche Informationen die Betreiber kritischer Infrastrukturen zur Integration in ein nationales IT-Lagebild zur Verfügung stellen können, und andererseits, welche Informationen sie zu einer frühzeitigen Krisenreaktion benötigen. Basierend auf dieser Analyse sollen dann optimierte Strukturen für die Kommunikation und die weiter gehende Zusammenarbeit der Betreiber kritischer Infrastrukturen mit dem beim BSI angesiedelten nationalen IT-Lage- und -Analysezentrum ausgearbeitet werden.
Ein wichtiges Beschäftigungsfeld der Arbeitsgruppe "Krisenreaktion und bewältigung" ist aber auch der Bereich Warnung und Alarmierung bei schwerwiegenden IT-Vorfällen. Hier sollen Vorgehensweisen gemeinschaftlich zwischen BSI und den KRITIS-Unternehmen definiert und umgesetzt werden.
Zudem geht es um die gemeinschaftliche Krisenbewältigung: Ziel der Arbeitsgruppe ist die Erstellung von branchenübergreifend abgestimmten Krisenreaktionskonzepten. Hier scheint insbesondere der Bereich der geregelten und vorbereiteten Kommunikation ein viel versprechender Weg zu sein.
Langfristig soll erreicht werden, dass im Rahmen etablierter Prozesse mithilfe von verlässlicher, krisensicherer Technik auch kritische Situationen erfolgreich bewältigt werden. Hierfür ist das im Umfeld des Umsetzungsplans KRITIS entstehende Netzwerk des Vertrauens eine notwendige und gute Grundlage.
Fazit
Die Abhängigkeit von Informationstechnik nimmt immer größere Ausmaße an, davon verschont bleiben auch nicht die so genannten kritischen Infrastrukturen. Ein Arbeiten ohne IT und auch ohne das Internet scheint inzwischen in vielen Bereichen unvorstellbar. Gleichzeitig muss festgestellt werden, dass die in großer Zahl in den informationstechnischen Systemen vorhandenen Schwachstellen immer professioneller ausgenutzt werden. Angreifer verdienen heute ihr Geld mit dem Auffinden und Ausnutzen von Schwachstellen. Dies stellt eine ernstzunehmende Bedrohung dar, auch und gerade für die Betreiber kritischer Infrastrukturen.
Die Betreiber sind sich dieser Bedrohung durchaus bewusst. Sie ergreifen daher in ihrem Zuständigkeitsbereich zahlreiche Maßnahmen, um die Risiken zu minimieren. Daneben wird aber verstärkt auch staatliches Handeln erforderlich, zum Beispiel um die branchenübergreifende Zusammenarbeit zum Schutz der kritischen Infrastrukturen weiter zu verbessern.
Ein wesentlicher Baustein ist der in Kooperation und im Konsens zwischen Staat und Wirtschaft erarbeitete und am 5. September 2007 durch das Bundeskabinett verabschiedete Umsetzungsplan KRITIS. Im Laufe der fast zweijährigen engen gemeinsamen Arbeit konnte die Basis für eine langfristige vertrauensvolle Zusammenarbeit geschaffen werden.
Der Schutz kritischer Informationsinfrastrukturen ist eine wichtige politische Aufgabe, deren Realisierung in Abhängigkeit von der technologischen und wirtschaftlichen Entwicklung weiter vorangetrieben wird, um in Deutschland auch in Zukunft alle gesellschaftlichen Gruppen in ein verlässliches IT-Umfeld vertrauen zu lassen.
Literatur
- [1]
- Bundesministerium des Innern (Hrsg.), Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen, September 2007,
![[externer Link]](../../../../images/link.gif)
www.bmi.bund.de/Internet/Content/Common/Anlagen/Broschueren/2007/Kritis,templateId=raw,property=publicationFile.pdf/Kritis.pdf
- [2]
- Bundesministerium des Innern (Hrsg.), Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), Oktober 2005, www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Common/Anlagen/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publicationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen
- [3]
- BSI, Die Lage der IT-Sicherheit in Deutschland, April 2007, www.bsi.bund.de/literat/lagebericht/lagebericht2007.pdf
- [4]
- BSI, Web-Seiten zum Thema "Internetsicherheit", www.bsi.bund.de/fachthem/sinet/
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#6, Seite 51
tag:kes.info,2007:art:2007-6-051
