Digitalisierung und kritische Infrastruktur

Aber was sind eigentlich kritische Infrastrukturen? Laut BSI sind kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen, die von wesentlicher Bedeutung für das staatliche Gemeinwesen sind. Ihr Ausfall oder ihre Beeinträchtigung kann zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Dazu zählen beispielsweise die Versorgung mit Wasser, Strom und Lebensmitteln. Aber auch Telefon und Internet zählen zur KRITIS. Und hier zeigt sich die doppelte Verwundbarkeit. Während die digitale Infrastruktur selbst kritisch ist, stellt sie zeitgleich auch bei vielen physischen Infrastrukturen die Schwachstelle dar. Denn viele Strukturen, z.B. die Energieversorgung sind in erheblichem Maße digitalisiert.

Durch die steigende Anzahl systematisch organisierter und mit erheblichen Auswirkungen verbundenen Cyber-Angriffe ist der Schutz der KRITIS deutlich in den Fokus gerückt. Experte Henrik Schilling vom Institut für Sicherheitspolitik an der Universität Kiel stellt fest: „Fast täglich kommt es zu Attacken. Laut Polizei ist die Möglichkeit, selbst Opfer eines Cyber-Angriffs zu werden nicht mehr eine Frage des „ob“, sondern nur des „Wann“.“ Und oftmals ist die digitale Struktur das schwächste Glied der Kette und bietet damit das Einfallstor: Der Angriff kann von jedem Ort der Welt erfolgen, zu jedem Zeitpunkt, eine physische Präsenz ist nicht erforderlich. Am häufigsten sind Angriffe, bei denen der Zugriff auf die Rechner gesperrt wird, um Lösegeld zu erpressen. „Immer öfter gibt es auch Angriffe, die größere Auswirkungen haben oder sogar physische Schäden verursachen. So könnte zum Beispiel bei einem Wasserversorger durch Veränderung verschiedener Parameter – wie die hinzugegebene Menge an Chlor – das Trinkwasser im schlimmsten Fall gesundheitsschädlich gemacht werden.“

Unternehmen, die im Bereich der KRITIS tätig sind, z.B: Energieversorger, sind verpflichtet, sich ausreichend zu schützen. Auch für alle anderen Unternehmen gilt, sich bestmöglich vorzubereiten. Was also tun?

Schilling: „Man sollte das in zwei Ebenen betrachten: Zum einen den Schutz vor einem Angriff. Also Sicherheitsvorkehrungen treffen, es möglichst schwierig zu gestalten, überhaupt angegriffen zu werden. Sind auch die Geräte, an die man gegebenenfalls weniger denkt, wie zum Beispiel die Drucker im Netzwerk vor Zugriffen von außen bestmöglich geschützt?“ Die zweite Ebene ist dann der unternehmensstrategische Umgang nach einem erfolgten Cyber-Angriff. Ein wesentlicher Aspekt dabei ist die Kommunikation. Die Kommunikation mit der Polizei, die interne Kommunikation aber auch die externe mit der Öffentlichkeit. Auf diesen Fall sollte man sich als Unternehmen vorbereiten. „Spielen Sie die Situation mal mit einem Krisenteam durch. Was wären die erforderlichen Schritte, um z.B. die Daten wiederherzustellen, die Prozesse wieder zum Laufen zu bringen, aber auch ob und wie sind möglicherweise betroffene Kunden oder Lieferanten zu benachrichtigen.“ Rät Schilling.

Ein aktuelles Thema ist auch die (technische) Abhängigkeit von Anbietern aus dem Ausland. Das Land Schleswig-Holstein hat in seiner Digital-Strategie die digitale Souveränität verankert. Sollte das auch für Unternehmen gelten? „Auch hier gibt es keine allgemein gültige Lösung. Zum einen geht es wieder um den Unterschied zwischen Verantwortung des Landes und Unternehmen. Aber auch um die Wirtschaftlichkeit. Hier muss man abwägen, was einem Unternehmen die Souveränität „wert“ ist. Wichtig ist, sich mit dem Thema auseinander zu setzen und zu sehen, in welchen Prozessen eine Abhängigkeit besteht und wie man damit umgehen würde, wenn der Prozess zusammenbricht.“