Hochsichere Netze für KRITIS-Betreiber – drei zentrale Thesen zur Resilienz kritischer Infrastrukturen
1. Die Bundesregierung hat die Bedrohungslage durch Cyberangriffe erkannt – der Grundstein ist gelegt.
Deutsche Unternehmen stehen vor zunehmenden Herausforderungen im Ringen um die Sicherheit ihrer IT und damit im Kampf um die Kontinuität ihrer Geschäftsprozesse oder Produktionsketten. Gerade bei Betreibern kritischer Infrastrukturen im Energie- oder Telekommunikationssektor dienen die Geschäftsprozesse direkt dem Ziel, die Grundbedürfnisse der Bevölkerung sicherzustellen.
Die Bundesregierung hat die Bedeutung kritischer Infrastrukturen für die Aufrechterhaltung der öffentlichen Ordnung und Versorgung der Bevölkerung erkannt und auf die Bedrohungslage reagiert. Mit der Verabschiedung der Cybersicherheitsstrategie sowie des BSI-Gesetzes wird steuernd und kontrollierend Einfluss auf die Betreiber kritischer Infrastrukturen und deren IT-Sicherheit genommen. Mit Hilfe des UP KRITIS und branchenspezifischer Sicherheitsstandards (B3S) soll ein Mindestniveau der IT-Sicherheit bei den für die öffentliche Ordnung relevanten Unternehmen sichergestellt werden.
2. Der UP KRITIS für die Betreiber kritischer Infrastrukturen greift zu kurz.
Die Betreiber kritischer Infrastrukturen müssen von sich aus eine 24/7-Kommunikationsfähigkeit zu zentralen Stellen des Bundes sicherstellen – insbesondere zum Lagenzentrum des BSI. Ziel des Bundes ist es, jederzeit ein Lagebild zu erhalten und fortzuschreiben und bis dahin unbeteiligte Dritte in die Kommunikation mit einzubeziehen. Darauf basierend soll kurzfristig ein flächendeckender Schutz vor der erkannten Bedrohung aufgebaut und bei aktiven Cyber-Angriffen eine schnelle Reaktionsfähigkeit ermöglicht werden.
Doch was passiert, wenn genau diese Kommunikation zum Beispiel durch Sabotage unterbrochen oder verfälscht wird? Sämtliche Betreiber kritischer Infrastrukturen wären von der Informationskette abgeschnitten. Für eine Schadensabwehr ist jedoch ein verlässlicher Informationsaustausch essentiell. Die Unternehmen wären andernfalls auf sich allein gestellt. Sie hätten keine Kenntnis über bevorstehende oder bereits aktive Cyber-Angriffe und wie sie sich davor schützen oder reagieren können.
3. Der Bund muss stärker in die Verantwortung genommen werden und die Kommunikationsfähigkeit zu den KRITIS-Betreibern sicherstellen.
Aufgrund der zentralen Bedeutung der Kommunikationsfähigkeit für jeden einzelnen Sektor des UP KRITIS sollte die Bundesregierung hier eine stärkere Verantwortung übernehmen. Die Cyber-Sicherheitsstrategie des BMI sieht bereits vor, eine „Kooperationsplattform für Staat und Wirtschaft“ durch die Bundesregierung zu institutionalisieren, um einen „Austausch relevanter Lageinformationen“ zu ermöglichen. Dies greift aber zu noch kurz. Sowohl der Bund als auch die KRITIS-Betreiber benötigen eine gemeinsame, hochverfügbare und vertrauliche Kommunikationsinfrastruktur, die losgelöst von den kommerziellen Anbietern in Verantwortung der Bundesregierung betrieben wird.
Europäische Nachbarländer wie z. B. die Schweiz gehen bereits mit gutem Beispiel voran. Dort ist es selbstverständlich, dass die Regierung nicht nur branchenspezifische Vorgaben erlässt (Insellösungen), sondern auch die Kommunikationsinfrastruktur zwischen den Lagenzentren und den KRITIS-Betreibern bereitstellt.
Das muss auch in Deutschland umsetzbar sein. Es existieren bereits hochsichere Kommunikationsinfrastrukturen, die in Verantwortung des BMI die krisensichere Kommunikationsfähigkeit der Rettungskräfte und Hilfswerke sicherstellen, zum Beispiel die Netze des Bundes oder das Kerntransportnetz des Bundes. Der Schutz kritischer Infrastrukturen vor Cyber-Angriffen muss aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung den höchsten Stellenwert und Sicherheitsstandard genießen. Die Mitnutzung dieser Kommunikationsinfrastrukturen des Bundes bietet sich daher geradezu an, um die hochsichere KRITIS-Kommunikationsfähigkeit zu gewährleisten. Zum Schutz der Bevölkerung kann der Bund hier ein Zeichen setzen und an einer neuralgischen Stelle noch aktiver an der Umsetzung der Cybersicherheitsstrategie mitwirken.