Bedrohung und Schutz Kritischer Infrastrukturen
Der prognostizierte Mangel an ausreichender Energieversorgung durch Abbruch der Gaslieferungen aus Russland, der drastische Preisanstieg bei bestimmten Rohstoffen und vor allem die Angriffe auf Nordstream 1 und 2 sowie auf die Kommunikationsnetze der Deutschen Bahn haben die Kritikalität und Bedrohung Kritischer Infrastrukturen (KRITIS) im öffentlichen Bewusstsein, in Politik, Wirtschaft und Medien verstärkt. Die Komplexität der KRITIS, die Strategie, Möglichkeiten und Grenzen für ihren Schutz sowie die Notwendigkeit einer Notfallplanung zu verdeutlichen, ist das Ziel dieses Beitrags von Min. Dir. a. D. Reinhard Rupprecht.
Der Begriff der KRITIS war bis Ende des vorigen Jahrhunderts nicht gebräuchlich. Seither hat er sich aber in der ökonomischen, technologischen und sozialwissenschaftlichen Begriffswelt etabliert. Nach der allgemein anerkannten Definition des Bundesinnenministeriums sind KRITIS Organisationen und Einrichtungen von wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die Komplexität der so definierten KRITIS lässt Spielraum für Abgrenzungen. Der Begriff eignet sich hervorragend für politische Bewertungen und strategische Zielsetzungen, bedarf aber als Rechtsbegriff der Präzisierung und der Eingrenzung durch Schwellenwerte.
Die Kritikalität ergibt sich aus der Bedeutung einer Branche, einer Struktur, eines Logistikprozesses, einer Organisation oder eines Unternehmens für den existentiellen Bedarf der Bevölkerung, des Staates oder der Wirtschaft. In seiner Komplexität umfasst der Begriff sowohl KRITIS auf der mikroökonomischen als auch auf der makroökonomischen Ebene einer Branche, einer Volkswirtschaft oder einer internationalen Wirtschaftsgemeinschaft. Nach der aktuellen branchenspezifischen Einteilung des BMI, des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit der Informationstechnik (BSI) gehören zu KRITIS die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wassernutzung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur, nach dem IT-Sicherheitsgesetz 2.0 zusätzlich die Siedlungsabfallentsorgung und „Unternehmen im besonderen öffentlichen Interesse“. Das sind Unternehmen der Rüstungsindustrie, Unternehmen mit IT-Sicherheitsfunktionen für Verschlusssachen, die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands mit Zulieferern sowie Unternehmen, die Gefahrstoffe verarbeiten und unter die Störfall-VO fallen. Insgesamt lassen sich KRITIS mehr als 20 Wirtschaftsbranchen zurechnen.
Gefahren- und Bedrohungsspektrum
KRITIS sind höchst unterschiedlichen Risiken und Bedrohungen ausgesetzt. Sie reichen von dem Mangel an Rohstoffen und Energiequellen über die Vernachlässigung eines Versorgungsbereichs aufgrund politischer oder unternehmerischer Fehlentscheidungen und dem Fehlen qualifizierter Fachkräfte bis hin zu feindlichen, terroristischen, extremistisch motivierten und kriminellen Angriffen sowie katastrophalen Naturereignissen einschließlich Pandemien.
Die Breite dieses Bedrohungsspektrums lässt sich durch aktuelle Entwicklungen und Aufsehen erregende Sicherheitsvorfälle verdeutlichen: Die Ausbreitung des Covid19-Virus seit 2020 ist die folgenschwerste Pandemie weltweit seit Menschengedenken, hat Millionen Todesopfer gefordert und das Gesundheitswesen in vielen Ländern überfordert. Auch in Deutschland sind viele Krankenhäuser durch die Vielzahl schwerer Krankheitsverläufe und personelle Engpässe an die Grenzen ihrer Belastbarkeit gestoßen. Die totale Lockdown-Politik in China führt weltweit zu Lieferengpässen und Produktionseinschränkungen. Naturkatastrophen wie die durch einen Tsunami ausgelöste folgenschwere Explosion im Atomkraftwerk Fukushima hat über viele Todesopfer und regionale Zerstörungen hinaus in Deutschland das Ende der Atomindustrie eingeleitet. Die durch den beginnenden Klimawandel verursachten Flächenüberflutungen im asiatisch-pazifischen Raum zerstören die Ernährungsgrundlage für Millionen Menschen.
Der russische Überfall auf die Ukraine im Februar 2022 hat mit der Beendigung des Projekts Nordstream 2 und der Reduzierung der Gaslieferungen aus Russland die Energieversorgung in Deutschland massiv beeinträchtigt. Am 26. September 2022 sprengten unbekannte Täter Lecks in die Gaspipelines Nordstream 1 und 2. Der Anschlag verdeutlicht erneut die Verwundbarkeit der Gasversorgung Deutschlands und anderer europäischer Staaten. Am 8. Oktober 2022 wurden zwei Datenleitungen des Betriebsfunks der Deutschen Bahn in Herne und in Berlin-Karow durchtrennt. Gegen 2 Uhr durchschnitten die Täter zunächst an einer Bahnstrecke bei Herne in einem Kabelschacht, der mit einem massiven Betondeckel gesichert war, mit einer Trennscheibe. Gegen 7 Uhr wurde ein Kabelschacht in Berlin-Karow geöffnet und das Lichtwellenleiterkabel, das als Redundanz für die bei Herne durchschnittenen Kabel diente, durchtrennt. Dadurch fiel das Zugfunknetz GSM-R in Norddeutschland aus. Der gesamte Zugverkehr in Norddeutschland, aber auch internationale Zugverbindungen, waren stundenlang blockiert. Die Täter müssen Hinweise auf den spezifischen Zweck der Datenleitungen gehabt haben.
Ebenfalls im Oktober 2022 sind drei Angriffe auf Internet-Tiefseekabel bekannt geworden. Cyberattacken bedrohen kontinuierlich KRITIS. Zu Beginn des russischen Angriffs auf die Ukraine verloren durch einen offenbar gezielten russischen Hackerangriff auf das Satellitennetzwerk KI-SAT die Betreiber Tausender Windräder in Deutschland die Verbindung zu ihren Anlagen. Ende April 2022 bekannte sich die russische Hackergruppe Killnet zu Attacken auf die Webseiten deutscher Ministerien und Sicherheitsbehörden. Das BSI beobachtet seit Jahren eine zunehmende Entwicklung hin zu aufwendig vorbereiteten ATP (Advanced Persistent Threat)-Angriffen, von denen sich weltweit die Betreiber von KRITIS bedroht sehen. Darüber hinaus bilden die in den letzten Jahren beobachteten Angriffe auf die Software-Lieferketten von IT-Dienstleistern zu ihrer Kundschaft eine neue, besonders beunruhigende Bedrohung.
KRITIS-Strategie
Leitprinzipien der 2009 von der Bundesregierung beschlossenen Nationalen Strategie zum Schutz von KRITIS sind eine enge und vertrauensvolle Kooperation zwischen Staat und Wirtschaft sowie Eignung und Verhältnismäßigkeit staatlicher Maßnahmen zur Erhöhung des Sicherheitsniveaus von KRITIS. Die Strategie fordert dazu auf, Risiken im Vorfeld von Störungen zu erkennen, deren Folgen durch Notfallmanagement und Redundanzen so gering wie möglich zu halten und laufend fortgeschriebene Gefährdungsanalysen sowie Analysen von Störfällen zur Verbesserung der Schutzstandards zu nutzen. Die Nationale KRITIS-Strategie hat der Staat durch Gesetzgebung, Sicherheitskonzepte und Leitfäden umgesetzt. Ziel des IT-Sicherheitsgesetzes 2015 (IT-Sicherheitsgesetz 1.0) war die Erhöhung der Sicherheit informationstechnischer Systeme, insbesondere im KRITIS-Bereich.
Das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 erweitert die KRITIS-Regulierung mit mehr Pflichten für KRITIS-Betreiber und mehr Befugnissen für das BSI. Im Koalitionsvertrag 2021 hat die Ampel-Koalition angekündigt, den physischen Schutz Kritischer Infrastrukturen in einem KRITIS-Dachgesetz zu bündeln. Im November 2022 hat die Bundesinnenministerin Eckpunkte für dieses Gesetz vorgestellt. Zum ersten Mal soll das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen gesetzlich geregelt werden. Dazu gehört auch der Schutz vor möglichen Gefahren, die von Herstellern von kritischen Komponenten in KRITIS ausgehen. Auf der Grundlage des Gesetzes sollen wertvolle Erkenntnisse zur Lage in den einzelnen KRITIS-Sektoren in einem umfassenden Lagebild gewonnen werden. Und die Zusammenarbeit der am Schutz Kritischer Infrastrukturen beteiligten Akteure auf staatlicher Seite und bei den Betreibern soll klar strukturiert werden.
Die Resilienz des Gesamtsystems KRITIS wird durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren gestärkt. Die Auswirkungen auf das Gesamtsystem KRITIS müssen beim physischen Schutz Kritischer Infrastrukturen im Vordergrund stehen. Nach einer Pressemitteilung des BMI vom 21. Oktober hat ein Gemeinsamer Koordinierungsstab der Bundesregierung zum Schutz Kritischer Infrastrukturen (GEKKIS) auf Staatssekretärsebene seine Arbeit aufgenommen. Er soll auf politischer Ebene die aktuellen Lagebilder zur Verfügung stellen und einen strukturierten Austausch der Ressorts ermöglichen. Im Rahmen der Nationalen Strategie hat die Bundesregierung schon 2007 einen Leitfaden für Unternehmen und Behörden zum Risiko- und Krisenmanagement für den Schutz von KRITIS erarbeitet und 2011 fortgeschrieben, im Jahr 2014 eine Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft entwickelt sowie ein Rahmenkonzept Notstromversorgung erarbeitet, das vom BBK laufend aktualisiert wird.
Betreiberpflichten
Gemäß § 8b Abs. 3 sind Betreiber von KRITIS verpflichtet, sich beim BSI zu registrieren und eine jederzeit erreichbare Kontaktstelle zu benennen. Nach Abs. 4 haben die Betreiber von KRITIS in dieser Norm definierte Störungen der informationstechnischen Systeme, Komponenten und Prozesse in der im Einzelnen festgelegten Form zu melden. Die KRITIS-Verordnung bestimmt in den §§en 1-7 die Anlagenkategorien und Schwellenwerte zur Abgrenzung in den einzelnen Kategorien und beschreibt in den Anlagen 1-4 Anlagenkategorien und Schwellenwerte in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation.
Die KRITIS-VO 2021 (Kritis 2.0) senkt einige Schwellenwerte und verschärft Auflagen für die Betreiber. Etabliert wird eine neue Meldepflicht für sogenannte „Kritische Komponenten“. Sie müssen vor der Nutzung dem BMI angezeigt werden und dürfen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden, deren Einhaltung das BSI überwacht. Das BSI wird zu einer nationalen Behörde für Cybersicherheitszertifizierung.
Im September 2022 hat das BSI eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht. Sie liefert Anhaltspunkte für die Anforderungen an Betreiber von KRITIS sowie prüfende Stellen. Die SzA (Intrusion Detection) basiert auf Algorithmen, die anhand von Log-Dateien Angriffe auf Server oder Netzwerke erkennen. Die Betreiber müssen die Log-Dateien auswerten. Die Bündelung verschiedener Sicherheitssysteme und deren einheitliche Steuerung mit Hilfe von Integrationsplattformen erhöht die Resilienz Kritischer Infrastrukturen. Zu den notwendigen Präventionsmaßnahmen gehört ein detailliertes Business Continuity Planning. Als zentrale Meldestelle hat das BSI die für die Abwehr von Gefahren für die IT-Sicherheit wesentlichen Informationen zu sammeln und auszuwerten, potentielle Auswirkungen auf die Verfügbarkeit von KRITIS zu analysieren, ein entsprechendes Lagebild kontinuierlich zu aktualisieren und unverzüglich die KRITIS-Betreiber über sie betreffende Informationen zu unterrichten.
Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-VO 2021 auch die KRITIS-Anlagen und Schwellenwerte. Die KRITIS-VO senkt Schwellenwerte bestehender KRITIS-Anlagen, fügt neue Anlagen hinzu und benennt weitere um. Das IT-Sicherheitsgesetz 2.0 legt mehr vorsätzliche oder fahrlässige Verstöße gegen KRITIS-Vorgaben als Ordnungswidrigkeiten fest und definiert deutlich höhere Bußgelder bis zu 2 Millionen Euro, bei Juristischen Personen bis zu 20 Millionen Euro. Das IT-Sicherheitsgesetz 2.0 gilt auch für „Unternehmen im besonderen öffentlichen Interesse“. Das sind Unternehmen der Rüstungsindustrie, Unternehmen von besonderer volkswirtschaftlicher Bedeutung und Unternehmen, die der Störfall-VO unterliegen.
Die im November 2022 vom Parlament und Rat der EU angenommene NIS2-Direktive bildet den europäischen Rahmen für IT-Sicherheit der KRITIS-Betreiber. Sie legt Mindeststandards für die Regulierung von KRITIS fest. Spätestens ab Oktober 2024 müssen Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Millionen Euro Umsatz Cybersecurity-Pflichten umsetzen. Die NIS2-Direktive erhöht die kritischen Essential Sektoren auf sieben. Die Sektoren von „important entities“ auf 11. Cybersecurity muss nach dieser Direktive auch in Lieferketten betrachtet werden. Mögliche Geldbußen und Enforcement Actions werden deutlich ausgeweitet. Wieviel KRITIS-Betreiber 2021 aufgrund der ersten NIS-Direktive in Cybersicherheit investiert haben, zeigt der „NIS Investments 2022“-Report von ENISA (European Union Agency for Cybersecurity). Danach geben sie nur noch knapp 7 % des IT-Budgets für IT-Sicherheit aus. Ein Drittel aller KRITIS-Betreiber im Energiesektor überwacht keine einzige kritische Betriebstechnik (OT) durch ein Security Operation Center.
Schutz von Strom- und Kommunikationsnetzen
Eine flächendeckende Überwachung der im Erdboden oder auf dem Meeresboden verlaufenden Strom- und Kommunikationskabel ist ausgeschlossen. Allein die Deutsche Telekom hat schon bisher ein Glasfasernetz von mehr als 650.000 km im Boden verlegt. Das deutsche Stromnetz verläuft über 1,8 Millionen km. Ein größerer Stromausfall könnte zum großflächigen Ausfall der Grundversorgung führen.
Auch das Kabelnetz der Deutschen Bahn mit 34.000 km entlang des Schienennetzes kann nicht 100 %ig geschützt werden. Das heißt aber nicht, dass der Betreiber dieses Netzes möglichen extremistisch motivierten Angriffen hilflos ausgeliefert ist. Wichtig ist vor allem die Verlegung redundanter Kabelnetze. Dass die Saboteure in Herne und Berlin wussten, wie sie die Redundanz überwinden konnten, lässt auf Insiderwissen und dessen mangelhafte Geheimhaltung schließen. Wichtig ist auch, dass eine Kabeldurchtrennung mithilfe sensorischer Überwachung lokalisiert und dann schnell behoben werden kann. Im August 2022 veröffentlichte die Bundesnetzagentur ein Strategiepapier zur Resilienz der deutschen Kommunikationsnetze.
Schutz von Versorgungsleitungen
Auch ein 100 %iger Schutz von Versorgungsleitungen im Energiesektor und der Wasserversorgung erscheint unmöglich. Das Erdgas-Fernnetz ist allein auf deutschem Boden über 40.000 km lang. Zwar sind die Stahlröhren überwiegend in 1,5 m Tiefe vergraben. Ein Anschlag wird dadurch aber nicht ausgeschlossen. Der Bundesverband der Energie- und Wasserwirtschaft hält flächendeckende Ausfälle in der Energie- und Wasserversorgung für „sehr unwahrscheinlich. Pipelines auf dem Meeresboden zu schützen ist besonders schwierig. Die Tausende Sensoren, die der Betreiber von Nordstream eingebaut hatte, zeigten die Gefahr erst, als es zu spät war. Umso wichtiger ist es, ein Gasleck rasch detektieren zu können.
Forscher der Chinese Academy of Science haben eine Methode entwickelt, das 3D-Bild einer Leckgaswolke zu erstellen, das detaillierte Informationen über das Leck, dessen Volumen und die Gaskonzentration liefert. Um ein 3D-Bild anzufertigen, nutzen die Forscher zwei Systeme, um 2D-Messungen einer Gaswolke aus verschiedenen Perspektiven zu erhalten. Diese Informationen werden räumlich mit Standortangaben verknüpft. Der neue Ansatz könnte zur Früherkennung, Risikobewertung und Bestimmung der besten Methode zur Behebung des Gaslecks eingesetzt werden.
Schutz von Knotenpunkten und Anlagen
Natürlich lassen sich Knotenpunkte in den Kabelnetzen und Versorgungsleitungen und einzelne KRITIS-Anlagen – etwa Solarparks, Windräder, Überspannwerke, Kraft- und Wasserwerke, Rechenzentren, Krankenhäuser – weit besser als lineare Infrastrukturen mit baulichen Mitteln, mechanischer und elektronischer Sicherheitstechnik vor Angriffen schützen. Solche Anlagen sind andererseits sowohl für Saboteure wie für Cyberkriminelle, die die Steuerungssysteme angreifen, um Daten mit Ransomware zu verschlüsseln und Lösegeld zu erbeuten, leicht erkennbare und attraktive Ziele.
Als Knotenpunkt der Internet- und Telefonverbindungen ist das deutsche Commercial Internet Exchange in Frankfurt am Main bekannt. Knotenpunkte von Tiefseekabeln, die auf Land treffen, werden teilweise rund um die Uhr kontrolliert. Anlagen und Betriebe von KRITIS bedürfen eines doppelten Perimeterschutzes, der aus Ummauerung oder Umzäunung sowie Überwachung durch Videoüberwachung mit Infrarotkameras und intelligenter Bildanalyse sowie im Boden verlegter oder in den Zaun integrierter Detektionskabel besteht. Insbesondere Glasfaser-Überwachungssysteme sind in der Lage, eine zuverlässige, vollautomatische Überwachung des Perimeters zu gewährleisten. Bei Beschädigung des Zaunes kommt es zum Kabelbruch und somit zur Unterbrechung der Signalübertragung. Dadurch wird die EMA aktiviert.
Besonders schutzbedürftige Räume und Anlagen innerhalb von KRITIS, etwa das Rechenzentrum oder zum Beispiel Räume innerhalb eines Krankenhauses, in denen sich besonders wertvolle medizinische Geräte befinden, sind zusätzlich durch Zutrittskontrolle mit Zweifaktor-Authentifizierung zu schützen. Fachleute warnen davor, dass Energieversorgungsanlagen durch das Eindringen in IT-Netzwerke über periphere Infrastrukturelemente angreifbar werden, etwa wenn unbemannte Spannwerke an das Netzwerk angebunden sind. Als Lösungsansatz wird eine Kopplung der Liegenschaftsüberwachung, der betrieblichen Kontrollsysteme und der IT-Sicherheitssysteme durch die Zusammenführung der Daten in einem gemeinsamen Lagebild vorgeschlagen.
Notfallplanung
Zum Schutz von KRITIS gehört jedenfalls auch eine umfassende Notfallplanung für den Fall, dass ein Angriff oder eine sonstige massive Störung oder Zerstörung nicht verhindert werden konnte. Sie basiert auf einer umfassenden, auf die jeweilige KRITIS spezifizierte, Bedrohungs- Gefahren- und Schwachstellenanalyse. Die Notfallplanung muss die Folgen entsprechender Angriffe und Beeinträchtigungen durch andere Einflussfaktoren auf die KRITIS analysieren, mögliche Versorgungsalternativen suchen und vorbereiten.
Dies sollte die Notfallplanung mindestens umfassen:
- Festlegung der Verantwortlichkeit im Unternehmen für Notfallplanung und Umsetzung
- Suche nach möglichen Versorgungsalternativen und Beschaffungsvorbereitung
- Beschaffung notwendiger Notstromaggregate für alle Unternehmensbereiche
- Überprüfung der „kritischen Hard- und Softwarekomponenten“, deren Ausfall eine Anlage empfindlich beeinträchtigen würde, nach der KRITIS-VO vom Mai 2021
- Überprüfung der Lieferketten, ihrer Bedeutung und Anfälligkeit sowie der Möglichkeit, Lieferengpässe durch Alternativen und Lagerkapazitäten zu reduzieren
- Vorbereitung des Business Continuity Management
- Vorbereitung personeller Konsequenzen beim Ausfall von Betriebseinschränkungen
- Bildung von Rücklagen für die Beschaffung alternativer Versorgung und den Notfall
- Sensibilisierung der Mitarbeiter für den Notfall und seine Konsequenzen
- Überprüfung und Verstärkung der gesamten Resilienz des Unternehmens
- Planung der internen und externen Kommunikation im Notfall