Zwischen Regulierung und Resilienz bleibt der KRITIS-Sektor verwundbar

Aktuelle Störungen zeigen, die kritische Infrastruktur ist zu anfällig. Es braucht mehr Stabilität und Resilienz, sagen Experten. Gestritten wird um das „Wie“. Derweil ruhen die Hoffnungen auf dem NIS2-Umsetzungsgesetz.

Geschrieben von Uwe Sievers

Richterhammer dargestellt mit Binärcode vor blauem Hintergrund

Massive Ausfälle im KRITIS-Sektor trotz europäischer Vorgaben

Potsdamer Cybersicherheitskonferenz beschäftigt sich mit flächendeckenden Stromausfällen und gestörter Kommunikation. Mehr Resilienz könnte helfen, Ausfälle und Notsituationen zu vermeiden. Doch das wird teuer und dürfte deshalb nicht ohne weitere Regulierungsmaßnahmen gehen. NIS2 könnte helfen.

Die kritische Infrastruktur ist die Basis für das Funktionieren der Gesellschaft und das Überleben der Bevölkerung. Deshalb befassen sich zahlreiche Regulierungsmaßnahmen mit der kritischen Infrastruktur (KRITIS). Allen voran das KRITIS-Dachgesetz, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und auch das IT-Sicherheitsgesetz 2.0. Dazu kommt die KRITIS-Rechtsverordnung (BSI-KritisV) und außerdem ist die Umsetzung der europäischen NIS2-Richtlinie längst überfällig. Sie muss von allen Ländern der EU umgesetzt werden. Das alles, um Sicherheit und Stabilität der kritischen Infrastruktur zu gewährleisten. Doch aktuelle Vorfälle zeigen, dass es trotz aller Vorgaben und Vorkehrungen in Europa regelmäßig zu massiven Störungen und Ausfällen im KRITIS-Sektor kommt. Zuletzt sorgten spektakuläre Sabotage-Akte in Südfrankreich für Aufsehen. Zunächst legte ein großer Stromausfall eine ganze Region lahm. Betroffen davon war sogar das Filmfestival in Cannes, bei dem gerade noch rechtzeitig zu den Preisverleihungen die Stromversorgung wieder hergestellt werden konnte. Einen Tag später traf es die südfranzösische Stadt Nizza. Ein paar Wochen zuvor fiel der Strom in Spanien und Portugal aus, allerdings nicht durch Sabotage. Die Länder hatten jedoch mehrere Tage mit den Folgen des umfangreichen Stromausfalls zu kämpfen. Diese Ereignisse sorgten auch in Deutschland für Unruhe, denn die Auswirkungen können länderübergreifend sein.

So unterschiedlich die Ursachen waren, so gleich waren die Auswirkungen. Ausgefallene Ampelanlagen sorgten für Verkehrschaos, der öffentliche Nahverkehr brach zusammen, Menschen blieben in Fahrstühlen stecken, Geldautomaten funktionierten nicht mehr, Geschäfte mussten schließen, weil Kassensysteme, Türöffnungen und Alarmanlagen außer Funktion waren. Auch die Kommunikationsinfrastruktur war betroffen, Mobilfunkmasten blieben stromlos, damit brach der Mobilfunkempfang weg. Apps und digitale Assistenzsysteme auf Smartphones standen nicht mehr zur Verfügung. Viele Menschen standen nun orientierungslos an Straßenecken oder konnten nicht bezahlen.

Erfahren Sie mehr darüber, wie Sie IT-Regulierung meistern können

Sabotage der kritischen Infrastruktur

Solche Beispiele verweisen auf die Fragilität kritischer Infrastruktur. Zu ihr zählen Strom- und Wasserversorgung, Krankenhäuser und öffentlicher Nahverkehr. Es handelt sich also um Anlagen und Systeme, die für die Aufrechterhaltung einer funktionierenden Gesellschaft von entscheidender Bedeutung sind. Bei Ausfällen oder Beeinträchtigungen würden erhebliche Auswirkungen für die Bevölkerung entstehen, wie zum Beispiel Versorgungsengpässe, Störungen im öffentlichen und Wirtschaftsleben oder Gefährdung der öffentlichen Sicherheit. Wobei zu berücksichtigen ist, dass staatliche Einrichtungen wie Strafverfolgungsbehörden oder Militär, Landkreise und Kommunen zwar zu KRITIS zählen, aber von den Gesetzen in der Regel ausgeklammert werden.

Zusätzlich drohen Gefahren für diese elementaren Lebensgrundlagen verstärkt von anderer Seite. Strom- und Datenkabel wurden in der Ostsee durch über den Grund schleifende Schiffsanker durchtrennt. Informationen hierzu lesen Sie im Beitrag "KRITIS: Globale Kommunikation in Gefahr – Cybersecurity neu denken". Das Ausmaß dieser Vorkommnisse lässt auf Sabotage schließen. Offensichtlicher wird dies bei Behinderungen des Schiffs- und Flugverkehrs durch gestörte GPS-Signale. Diese zur Navigation wichtigen Systeme führten mehrfach zu Problemen bei Linienflügen im Ostseeraum. Derartig massive Störungen werden durch Störsender verursacht und sind damit direkt als Sabotage einzustufen.

Die Gesamtlage führt zu Forderungen nach mehr Resilienz und Stabilität in diesen lebenswichtigen Bereichen. Sie waren zuletzt Ende Mai während der dies-jährigen Potsdamer Konferenz für Nationale Cybersicherheit deutlich zu vernehmen. Es brauche geeignete Strategien und Methoden, um mit Beschädigungen und Ausfällen im KRITIS-Sektor besser umgehen zu können und die Auswirkungen zu minimieren. So lautete das Fazit dieser hochkarätigen Veranstaltung des Hasso-Plattner-Instituts (HPI), bei der Vertreter aus Politik, Wirtschaft, Wissenschaft und insbesondere von Sicherheitsbehörden und Geheimdiensten zusammenkommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war dort durch seine Präsidentin Claudia Plattner vertreten. Deutschland sei ein attraktives Ziel für Cyberangriffe, sowohl aus wirtschaftlichen als auch aus geopolitischen Gründen, lautete ihre Einschätzung der Lage. Sie forderte „eine robustere Sicherheitsstruktur für die Energie-Infrastruktur“.

Pressekonferenz des Hasso-Plattner-Instituts. — Großer Presserummel bei der Potsdamer Cybersicherheitskonferenz © Uwe Sievers

Große Erwartungen an NIS2

Das dürfte auf weitere Regulierungsaktionen hinauslaufen. Eine besondere Rolle soll zukünftig der europäischen Richtlinie NIS2 zukommen. Dazu ist ein eigenes Umsetzungsgesetz notwendig, doch das wurde von der alten Bundesregierung nicht mehr verabschiedet. Mit dem Regierungswechsel hat der vorgelegte Gesetzesentwurf formal keine Relevanz mehr. Gleiches gilt auch für die durch NIS2 notwendige Anpassung des KRITIS-Dachgesetzes. Es ist zum jetzigen Zeitpunkt unklar, welche Vorstellungen die neue Bundesregierung in die NIS2-Umsetzung einbringen wird. Plattner sagte dazu lediglich: „Ich hoffe, dass NIS2 jetzt sehr schnell über die Bühne geht“. Doch Experten äußerten sich während der Konferenz dazu kritisch. Sie rechnen damit, dass die NIS-2-Umsetzung erst 2026 kommen wird.

Damit kommen zugleich andere Gesetzesnovellierungen ins Stocken, denn die NIS2-Umsetzung erfordert auch die Anpassung diverser anderer Gesetze, da-runter das KRITIS-Dachgesetz oder die KRITIS-Rechtsverordnung (BSI-KritisV), in der Vorgaben aus dem BSIG präzisiert werden. Hier werden unter anderem Schwellenwerte definiert, die festlegen, ob Betreiber von der Regulierung betroffen sind oder nicht.

Es bleibt also die Frage, wie mehr Resilienz und Stabilität im KRITIS-Bereich kurz- beziehungsweise mittelfristig umsetzbar ist. Resilienz beschreibt die Widerstandsfähigkeit gegenüber Störungen und externen Einflüssen oder in anderen Worten, die Fähigkeit eines technischen Systems, bei Störungen und Ausfällen nicht vollständig zu versagen. Resilienz führt also dazu, dass Fehlfunktionen und Ausfälle sowie Angriffe keine Krisensituationen zur Folge haben. Dies kann beispielsweise durch Redundanz erreicht werden, welche dazu führt, dass bei Ausfall eines Systems ein anderes einspringt.

Cloud als Stabilitäts- und Sicherheitsfaktor?

„Unter dem Aspekt Sicherheit und Resilienz führt gar kein Weg daran vorbei, dass wir Cloud-Systeme einsetzen“, ist Wilfried Karl, Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), überzeugt. Damit ließen sich etwa zentrale Kommunikationssysteme redundant auslegen, indem sie in der Cloud dupliziert werden. Doch dadurch ergeben sich andere Probleme, etwa die Sicherheit und Verlässlichkeit der Cloud-Anbieter. Das weiß auch Karl: „Wir als Behörden müssen uns Gedanken machen, wie wir die Cloud-Nutzung sicherer machen können“. Ein Aspekt dabei ist die Abhängigkeit von US-amerikanischen Anbietern. Schon länger laufen Bestrebungen, von diesen unabhängig zu werden, beispielsweise durch europäische Anbieter. Erste Erfolge sind inzwischen vorhanden: „Wir haben eine eigene als Verschlusssache zertifizierte Cloud“, berichtet der Präsident des Bundeskriminalamtes (BKA), Holger Münch. Damit spielte der BKA-Chef auf die Cloud-Lösung des deutschen Security-Spezialisten Secunet an. Sie wurde kürzlich vom BSI für Verschlusssachen bis zur Einstufung „geheim“ zugelassen. Damit lässt sich die Abhängigkeit von ausländischen Cloud-Anbietern zumindest für deutsche Behörden verringern. Allerdings mahnte Patrick Hennies, Chief Security Officer (CSO) bei der Deutschen Bahn: „Wenn kein Internet, dann keine Cloud“.

Jedoch bedeutet Resilienz durch Redundanz auch einen deutlich höheren Kostenaufwand, denn in der Regel erfordert eine Dopplung von Infrastrukturelementen auch eine Dopplung der Kosten. Solange eine hinreichende Resilienz im KRITIS-Sektor nicht gegeben ist, bleibt daher eine umfassende Notfallplanung elementar wichtig, um Ernstfälle, wie sie durch Ausnahmesituationen etwa bei Ausfällen eintreten, abzufedern.

Wie Sie Regulierung in der IT-Sicherheit meistern können, zeigt unser Überblick.

Auf einen Blick: Aktuelle Informationen zur IT-Regulierung

Quellen:

BSI: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

BSI: Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)

BSI: Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)

EUR-Lex: Europäische NIS2 Richtlinie

Hasso Plattner Institute (HPI): Potsdamer Konferenz für Nationale Cybersicherheit