Bisher kein erhöhtes Risiko durch den Ukraine-Krieg
Dabei hat sich die Bedrohungslage durch den Angriffskrieg von Russland nicht verändert, erklärt Holger Berens, Vorstandsvorsitzender des Bundesverband für den Schutz Kritischer Infrastrukturen e.V.: „Hybride Kriegsführung hatten wir schon immer. Es ist nicht bekannt, dass ein Angriff aus Russland direkt mit dem Krieg in der Ukraine zusammenhängt. Mit Kriegsbeginn ist es in Deutschland lediglich zu einzelnen zusätzlichen IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten.“
In Deutschland herrsche schon länger ein erhöhtes Bedrohungsrisiko, erklärt der Cyber-Experte. „Durch den Krieg ist nur vielen KRITIS-Betreibern und Unternehmen bewusst geworden, in welcher Lage sie sich befinden”, betont Manuel Bohé, Geschäftsführer der Concepture GmbH – eine Managementberatung für Sicherheit.
Die Cyber-Experten schätzen einen Angriff von Putin auf die Kritischen Infrastrukturen Deutschlands als unwahrscheinlich ein. Denn im Falle eines Angriffes auf die Souveränität von Deutschland könne das NATO-Bündnis greifen, erklärt Holger Berens.
Wichtiger als die Vorstellung von Worst Case Szenarien und Risikobewertungen seien sorgfältige Schutzmaßnahmen, betont Manuel Bohé. KRITIS-Betreiber sollten sich vielmehr der Frage widmen, welche Bereiche geschützt und welche Maßnahmen dafür getroffen werden müssen.
Cyber-Angriffe als Geschäftsmodell
Laut den Cyber-Experten sei die organisierte Kriminalität im Darknet zum Beispiel besonders gefährlich geworden. Angriffe können weltweit getätigt werden. „Es ist ein richtiges Geschäftsmodell, dafür muss man nicht mal programmieren können”, sagt Holger Berens. Die Aufdeckungsquote der Angriffe ist gering. Präventive Schutzmaßnahmen aufzubauen, ist daher besonders wichtig.
Sicherheit von KRITIS-Betreibern
Wie sicher nun die Kritischen Infrastrukturen in Deutschland sind, lässt sich nur vage beantworten. Durch die vielen unterschiedlichen Sektoren könne man die Kritischen Infrastrukturen nicht über einen Kamm scheren, sagt Holger Berens. Durch das IT-Sicherheitsgesetz 2.0. sind viele KRITIS-Betreiber gesetzlich verpflichtet, bestimmte Schutzmaßnahmen umzusetzen.
Das Problem: Nicht alle KRITIS-Betreiber fallen unter das IT-Sicherheitsgesetz 2.0. Bei den vom Gesetz greifenden KRITIS-Betreibern sind Ressourcen und Budget für entsprechende Sicherheit vorhanden. Doch gerade bei kleinen KRITIS-Betreibern ist das nicht der Fall. Dazu zählen viele mittelständische Unternehmen, die dennoch einen wichtigen Beitrag zur Erhaltung Kritischer Infrastrukturen in Deutschland leisten, betont Holger Berens. Hier hänge es dann von den einzelnen Betreibern ab, ob sie entsprechende Sicherheitsmaßnahmen umsetzen.
Es fehle ein gemeinsames Netzwerk an KRITIS-Betreibern
Innerhalb der Sektoren und Branchen der KRITIS-Betreiber gibt es zahlreiche Arbeitsgemeinschaften, um entsprechenden Sicherheitsmaßnahmen zu entwickeln. Holger Berens würde sich zudem ein Netzwerk wünschen, das alle KRITIS-Betreiber umfasst. Damit langfristig jeder einzelne Betreiber kritischer Infrastrukturen Sicherheitsstandards umsetzen würde.
Autorin: Nina Bundels
