Kritische Infrastrukturen

Gezielte Maßnahmen gegen den Versorgungsgau

Von Elke von Rekowski · 2016

Kritische Infrastrukturen wie die Strom-, Wasser- oder Gesundheitsversorgung müssen gewährleistet sein und besonders geschützt und abgesichert werden. Denn die zunehmende Vernetzung macht die Versorgungsunternehmen zu attraktiven Zielen für Cyberattacken.

Blackout: Durch einen gezielten Hackerangriff fällt mitten im Winter in hunderttausenden Haushalten der Strom aus. Kälte und Dunkelheit. Für viele Stunden. Noch scheint ein solches Szenario – geschehen im vergangenen Jahr in der Ukraine – für uns in weiter Ferne zu liegen. Wie ernst Verantwortliche derartige Gefahren tatsächlich nehmen, zeigt nicht zuletzt das Zivilschutzkonzept, das Bundesinnenminister Thomas de Maizière vor kurzem vorgestellt hat. Damit es erst gar nicht zu einer Katastrophe kommt, muss unsere Infrastruktur bestmöglich geschützt werden.

Denn die Versorgung mit Wasser, Energie, Nahrung sowie mit Informationstechnik, Telekommunikation und Wärme ist sowohl für die Bevölkerung als auch für die Unternehmen von höchster Bedeutung. In unserer technisierten Gesellschaft kann ein gezielter Angriff diese sogenannten kritischen Infrastrukturen empfindlich schädigen und enormen Schaden anrichten. Das belegen auch die Hackerangriffe auf deutsche Krankenhäuser, die unter anderem dazu führten, dass Operationen nicht durchgeführt werden konnten und Patienten in andere Kliniken verlegt werden mussten. 

Auch ein Blick auf die Funktionsweise eines Smart Grid verdeutlicht schnell, wie angreifbar wir heute sind. Bei einem Smart Grid soll das Energiemanagement durch intelligente Vernetzung optimiert werden. Denn neben den klassischen zentralen Kraftwerken gibt es immer mehr dezentrale Stromerzeuger, wie gewerbliche und private Photovoltaik-Anlagen (PV-Anlagen), die ebenfalls Kapazitäten zur Verfügung stellen können. Wenn nun die Zustandsinformationen aus den einzelnen Netzelementen ausgetauscht werden, lässt sich der Energiefluss optimieren und je nach Bedarf steuern. Nahezu vollautomatisch werden dabei die Netzkapazitäten in intelligenten Steuerungssystemen gemanagt, um eine möglichst optimale Auslastung zu erzielen. Was für die Energieversorgung große Vorteile hat, birgt jedoch eine Menge Gefahren. Durch gezielte Angriffe auf diese Teile eines Smart Grid lässt sich im schlimmsten Fall die gesamte Versorgung kappen. 

Der Sicherheit verpflichtet

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat das eindeutig definiert: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Damit kritische Infrastrukturen noch besser geschützt werden, ist seit 2015 das IT-Sicherheitsgesetz in Kraft. Es legt fest, dass Betreiber kritischer Infrastrukturen festgelegte Mindeststandards an IT-Sicherheit einhalten müssen. Zudem müssen erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Durch das Gesetz werden etwa Versorgungsbetriebe stärker in die Pflicht genommen. Sie müssen ein mehrstufiges Sicherheitssystem und dazu geeignete Lösungen einsetzen. Das BSI informiert über geeignete Systeme und deren Funktionalitäten. 

Außerdem muss es ein Information Security Management System (ISMS) geben, also Verfahren und Regeln, mit deren Hilfe die Informationssicherheit definiert, gesteuert und kontrolliert werden kann. Auch einen Notfallplan müssen die Unternehmen im Vorfeld in der Tasche haben. Dazu gehören ein Konzept, wie der Betrieb in einem Notfall aufrechterhalten werden kann sowie ein Desaster-Recovery-Plan. Der ist entscheidend, damit die Funktionsfähigkeit der kritischen Infrastrukturen möglichst schnell wiederhergestellt werden kann.