Zusammenarbeit von Staat und ­Betreibern Kritischer Infrastrukturen

Als führende Industrienation ist Deutschland auf eine gut funktionierende Infrastruktur angewiesen. Dabei sind insbesondere die Kritischen Infrastrukturen ­(KRITIS), wie beispielsweise die Strom- oder Wasserversorgung von hoher Bedeutung für das Funktionieren des Gemeinwesens, weil durch ihre Beeinträchtigung oder ihren Ausfall erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Aus diesen Gründen darf ein länger andauernder oder großflächiger Ausfall Kritischer Infrastrukturen in Deutschland nicht eintreten.

Seit vielen Jahren wird Informationstechnik in immer mehr Produkten des täglichen Lebens eingesetzt. Vom Heizkessel über Kühlschränke bis zum Kinderspielzeug enthalten immer mehr Geräte vollständige Computersysteme. Unter dem Schlagwort „Internet der Dinge“ wird zudem die massive Vernetzung dieser Systeme vorangetrieben. Im industriellen Umfeld sieht die Entwicklung ähnlich aus: immer mehr technische Systeme enthalten Informationstechnik und werden miteinander vernetzt, und das betrifft, bis auf ganz wenige Ausnahmen, alle Branchen. Aktuelle Entwicklungen, wie Industrie 4.0 oder Smart Grids, sind ohne hochgradige Vernetzung der beteiligten Systeme nicht mehr denkbar. Diese Entwicklung führt dazu, dass IT quer durch fast alle Branchen sowie auch in Privathaushalten eine existenzielle Bedeutung hat. Dadurch werden aber auch die Folgen von IT-Vorfällen schwerwiegender: Würde die IT ausfallen, wären zentrale Funktionen und (Geschäfts-)Prozesse nicht mehr verfügbar. Auch Angriffe auf die Vertraulichkeit (z. B. unerlaubte Informationsbeschaffung über IT-Systeme) oder die Integrität (z. B. Manipulation von Steuerungsdaten) hätten ähnlich gravierende Folgen.

Auch die Kritischen Infrastrukturen sind von dieser Entwicklung betroffen. Dies wirft insbesondere die Frage nach der Sicherheit der Systeme auf, mit denen die Kritischen Infrastrukturen ihre kritischen Dienstleistungen erbringen. Dabei steht deren Verfügbarkeit im Fokus, wobei natürlich die Vertraulichkeit und die Integrität ebenfalls berücksichtigt werden müssen. Adäquate Sicherheitsmaßnahmen sind notwendig, bei denen es sich um technische, organisatorische oder rechtliche Maßnahmen handeln kann.

UP KRITIS

Die Bundesregierung hat die Risiken der zunehmenden IT-Durchdringung und Vernetzung für die Kritischen Infrastrukturen erkannt und bereits vor über zehn Jahren erste Strategien entwickelt. Der 2005 vom BMI veröffentlichte Nationale Plan zum Schutz der Informationsinfrastrukturen motivierte den Aufbau des UP KRITIS, einer freiwilligen Kooperation von KRITIS-Betreibern und staatlichen Stellen zum Schutz der Kritischen Infrastrukturen vor (Cyber-)Bedrohungen. Gut zehn Jahre später ist der UP KRITIS als gemeinsame Plattform etabliert: circa 250 Organisationen sind mittlerweile Teilnehmer, pro Monat kommen etwa zehn neue Organisationen hinzu. Alle Organisationen mit Sitz in Deutschland, die Kritische Infrastrukturen in Deutschland betreiben, nationale Fach- und Branchenverbände aus den KRITIS-Branchen sowie die zuständigen Behörden können Teilnehmer des UP KRITIS werden. Teilnehmer erhalten Lageinformationen vom BSI und können sich an Projekten des UP KRITIS beteiligen sowie in Arbeitskreisen und Gremien des UP KRITIS am Schutz Kritischer Infrastrukturen mitwirken. Die Teilnehmer forcieren sowohl die operative Zusammenarbeit als auch konzeptionelle Arbeiten, um einen zentralen Beitrag zum KRITIS-Schutz zu leisten. Dabei wird der „All-hazard“-Ansatz verfolgt, d. h. es werden alle denkbaren Bedrohungen berücksichtigt. Auch wurde erkannt, dass nicht nur IT-Sicherheit betrachtet werden darf – größere Vorfälle haben fast immer Auswirkungen auf IT- und physische Sicherheit, Safety und Business Continuity. Aufgrund der Bedeutung der Informationstechnik für die Kritischen Infrastrukturen bildet im UP KRITIS jedoch die IT den Schwerpunkt der Arbeiten.

(Grafik: BSI)

(Grafik: BSI)

Auf operativer Ebene wurde ein gemeinsames Meldewesen aufgebaut, die Mitwirkung daran ist freiwillig. Ein Krisenmanagementkonzept beschreibt die Funktionsweise des Meldewesens und das Vorgehen im Falle einer Krise. Die operative Zusammenarbeit hat sich schon bei vielen Vorfällen bewährt, zu denen Lageinformationen zwischen den Beteiligten ausgetauscht wurden. Zudem werden die Erreichbarkeiten der Notfallkontakte aber auch die Krisenmanagementprozesse regelmäßig in verschiedenartigen nationalen und internationalen Übungen getestet und weiter entwickelt.

Ein wichtiges Element im UP KRITIS ist die sektorübergreifende Zusammenarbeit. Viele Beteiligte kennen sich schon seit Jahren, so dass gegenseitiges Vertrauen entstanden ist. Gleichzeitig wurden im UP KRITIS Verfahren eingeführt, wie vertrauliche Inhalte kommuniziert werden können. Dies ermöglicht beispielsweise die intensive Diskussion über Vorfälle und über die dabei gesammelten Erfahrungen.

Abb. 2: Zeitplan der Umsetzung des IT-Sicherheitsgesetzes. (Grafik: BSI)

Abb. 2: Zeitplan der Umsetzung des IT-Sicherheitsgesetzes. (Grafik: BSI)

Die inhaltliche Arbeit des UP KRITIS findet größtenteils in Arbeitskreisen statt. Für branchenspezifische Themen werden Branchenarbeitskreise gegründet, branchenübergreifende Themen werden in Themenarbeitskreisen bearbeitet. Aktuelle Themen sind beispielsweise die Begleitung der Umsetzung des IT-Sicherheitsgesetzes, branchenspezifische Sicherheitsstandards, die Beteiligung an den (KRITIS-)Sektorstudien des BSI, die Frage der Verantwortung der Hersteller für ihre Produkte oder die Teilnahme an Übungen. Neben diesen Arbeitskreisen verfügt der UP KRITIS über ein Plenum, in dem die Sprecher der Arbeitskreise zusammen kommen, einen Stab, eine Geschäftsstelle im Bundesamt für Sicherheit in der Informationstechnik sowie über den Rat als politisches Gremium des UP KRITIS zur Stärkung der partnerschaftlichen Zusammenarbeit.

IT-Sicherheitsgesetz

Am 25.7.2015 trat das IT-Sicherheitsgesetz (IT-SiG) in Kraft. Das IT-SiG ist ein Artikelgesetz, d. h. es ändert bestehende Gesetze, insbesondere das BSI-Gesetz, das Telekommunikationsgesetz und das Energiewirtschaftsgesetz. Das IT-SiG betrifft auch Branchen außerhalb der Kritischen Infrastrukturen, dies wird jedoch in diesem Beitrag nicht betrachtet.

Zum IT-SiG gehört die BSI-Kritis-Verordnung, die Kriterien und Schwellwerte vorgibt, anhand derer die unter das Gesetz fallenden Kritischen Infrastrukturen eindeutig identifiziert werden können. Die Verordnung wird in zwei Stufen im Jahr 2016 in Kraft treten. Ein halbes Jahr nach Inkrafttreten der Verordnung tritt die Meldeverpflichtung für die jeweiligen Sektoren in Kraft, und zwei Jahre danach gilt die Pflicht zur Einhaltung von IT-Sicherheitsmindestanforderungen entsprechend dem Stand der Technik. Abb. 2 zeigt den zeitlichen Ablauf.

Im Gegensatz zur bisherigen rein freiwilligen Kooperation im Rahmen des UP ­KRITIS schreibt das Gesetz zwei Pakete mit verpflichtenden Sicherheitsmaßnahmen vor: in § 8a werden präventive Maßnahmen eingeführt, § 8b enthält reaktive Maßnahmen. Präventiv sollen die KRITIS-Betreiber ihre IT nach dem Stand der Technik absichern. Hierzu können branchenspezifische Sicherheitsstandards entwickelt werden, die dem BSI zur Anerkennung vorgelegt werden müssen. Die Betreiber haben eine Nachweispflicht, hierzu können sie Sicherheitsaudits, Prüfungen oder Zertifizierungen nutzen. Als reaktive Maßnahme wird ein gemeinsames Meldewesen eingeführt. Im Gegensatz zum bisherigen Verfahren im Rahmen des UP KRITIS ist das Meldewesen verpflichtend für die betroffenen Organisationen und für das BSI. Nach § 8b ist das BSI zentrale Meldestelle für Kritische Infrastrukturen. Die Betreiber haben erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. Im BSI werden diese Meldungen gemeinsam mit weiteren relevanten Informationen ausgewertet. Aus dem so ermittelten Lagebild erstellt das BSI dann verschiedene Produkte, z. B. Warnungen oder Handlungsempfehlungen, die es an die betroffenen KRITIS-Betreiber, (Aufsichts‑)Behörden und Länder-Ansprechpartner verteilt.

Ausblick

Nachdem die Zusammenarbeit zwischen Staat und KRITIS-Wirtschaft bisher auf freiwilliger Basis stattfand, bringt das IT‑SiG nun verpflichtende Komponenten ein. Dabei verfolgt das Gesetz einen kooperativen Ansatz, da die Betreiber bei der Entwicklung der Maßnahmen und sonstiger Rahmenbedingungen gestaltend mitwirken können. So werden die branchenspezifischen Sicherheitsstandards nicht vom Staat vorgegeben, sondern sie können in den Branchen (oder von sonstigen Dritten) entwickelt werden. Für das Meldewesen wurden in verschiedenen Arbeitskreisen des UP KRITIS bereits die Grundlagen gelegt, und der Aufbau des neuen Meldewesens orientiert sich an den gemeinsam im UP KRITIS entwickelten und bereits bewährten Meldestrukturen. Auch in die Gestaltung der BSI-Kritis-Verordnung sind die Betreiber eingebunden: sie wirken in den Arbeitsgruppen mit, die die qualitativen und quantitativen Kriterien für die Identifikation der Kritischen Infrastrukturen festlegen. Diese Entwicklung zeigt, dass durch die Gesetzgebung die gemeinsamen Aktivitäten eher zunehmen. Der UP KRITIS bleibt auf Wachstumskurs, es entstehen neue Branchen- und Themenarbeitskreise und die Themenvielfalt im UP KRITIS nimmt weiter zu.

Näher Informationen zum UP KRITIS finden Sie unter www.upkritis.de.

Weiterführende Literatur und Informationen beim Verfasser.

Aufmacherbild: Betreiber von Kraftwerken tragen zu iner gut funktionierenden Infrastruktur bei. (Bild: FotoHiero/pixelio.de)

Dr. Uwe Jendricke

Jendricke_BildAnschrift des Verfassers:
Dr. Uwe Jendricke
Referat C22
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Godesberger Allee 185-189, 53175 Bonn
Tel.: 0228/999582-5507

geb. am 7. November 1967 in Biberach/Riß
Studium der medizinischen Informatik an der Universität Hildesheim
2003: Promotion an der Albert-Ludwigs-­Universität Freiburg zum Thema „Benutzbare IT-Sicherheit“
2003 – 2007: Tätigkeit im Bundesministerium des Innern in der IT-Abteilung
Seit 2008: Tätigkeit im Referat “Schutz Kritischer Infrastrukturen”, insbesondere zu den Themen UP KRITIS und Internationales im Bundesamt für Sicherheit in der Informationstechnik