„Die Gefahrenlage für KRITIS-Unternehmen war schon immer hoch“, sagt Andreas Junck, Director of Sales DACH bei dem auf digitales Krisenmanagement spezialisierten Unternehmen Everbridge aus München. Kritische Infrastrukturen seien ein zunehmend beliebteres Ziel für Cyber-Kriminelle, um nach Angriffen mit Ransomware Lösegeld zu fordern, warnt er. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage als sehr hoch ein. Hinzu kommt, dass Vernetzung und Digitalisierung Einzug halten und die Betreiber damit von einer reibungslos funktionierenden Informationstechnik abhängen. Vormals autarke Systeme können inzwischen aus der Ferne über das Internet angegriffen und lahmgelegt werden.
Im Notfall ist deshalb schnelles Handeln oberstes Gebot. Dabei gilt die Regel: „Je mehr Zeit verstreicht, bis die richtigen Maßnahmen eingeleitet werden, desto größer sind am Ende die Auswirkungen“, so Junck. Eine CEM(Critical Event Management)-Plattform verschafft ihm zufolge signifikante Vorteile, denn sie bietet Kontrolle über die wichtigsten Phasen des Notfallmanagements hinweg. Und weiter: Eine effiziente Kommunikation und Umsetzung von Notfallmaßnahmen sei nur mit einem modernen CEM-System in den Griff zu bekommen, so der Sicherheitsexperte.
Aufbau einer CEM
Der erste Schritt besteht in der Schaffung einer zentralen „Datendrehscheibe“. In ihr werden Informationen aus allen relevanten Datenquellen wie IoT-Geräten, Anwendungen zur Überwachung der IT-Systeme oder zu den Aufenthaltsorten der Mitarbeiter, aber auch öffentlich verfügbare Quellen wie Polizeikanäle in den Sozialen Medien, Verkehrsinformationen, Unwetterwarnungen oder sogar von Smartphone-Nutzern vor Ort gesammelt.
Um anhand dieser Informationen kritische Ereignisse und ihre Auswirkungen auf die eigenen Assets sofort zu identifizieren, müssen die Daten zusammengeführt und grafisch übersichtlich dargestellt werden. Werden gleichzeitig Inhouse-Sensoren wie Feuer-, Gas- und Rauchmelder, Temperaturanzeigen, Kameras sowie Warnmeldungen über offene Türen und Fenster eingebunden, werden „Standardvorfälle“ automatisch an die Sicherheitsverantwortlichen geschickt.
Zweite Phase
Im nächsten Schritt geht es darum, zu lokalisieren und informieren und darauf aufbauend zu handeln. Auch die Kommunikation zur Warnung von Betroffenen und zur Information potentieller Helfer sollte automatisiert ablaufen.
Je mehr Kommunikationskanäle dabei offenstehen, desto wahrscheinlicher ist es, dass die relevanten Personen unabhängig von Tageszeit oder Aufenthaltsort auch wirklich erreicht werden, rät Junck.
Für Ersthelfer sollte außerdem vermerkt sein, über welche Qualifikation sie verfügen und welchen Kommunikationskanal sie in der Regel bevorzugen.
Analyse der Maßnahmen
Wichtig sei auch, dass die Kommunikation bi-direktional stattfindet: Durch Rückmeldungen beziehungsweise ihr Ausbleiben wissen die Krisenteams, wer sich in Sicherheit befindet oder ob sie die nächste Eskalationsstufe einleiten müssen.
Zu guter Letzt erfolgt die Analyse: Nur wenn die Verantwortlichen wissen, wie schnell und effektiv Notfallpläne umgesetzt wurden, können sie daraus lernen und so die Reaktionszeiten und Ressourcen für zukünftige Ereignisse verbessern.
KRITIS-Betreiber haben eine besondere Verantwortung
KRITIS-Unternehmen kommt aufgrund ihres Versorgungsauftrags eine besondere Rolle zu, daher haben sie zum Schutz und zur Vermeidung von Störungen gesetzlich geregelt angemessene Vorkehrungen zu treffen. Das schließt bei Energieversorgern nicht nur die „klassischen“ Assets wie Kraftwerke oder Trassen ein, die gegen Naturkatastrophen und Anschläge abgesichert werden müssen, sondern auch den Schutz der IT-Infrastruktur vor Kriminellen.
