Zwei Jahre nach der Einführung der Meldepflicht für Betreiber von Anlagen der sogenannten Kritischen Infrastruktur gibt es eine erste Bilanz: Danach haben die mittlerweile 1.445 im System gemeldeten und erfassten Betreiber 313 Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln müssen.
Die Mehrzahl davon können mit Server- und Router-Ausfällen umrissen werden, teilte der zuständige Referatsleiter Andreas Reisen vom Bundesinnenministerium auf der Konferenz Protekt in Leipzig mit. Zu flächendeckenden Ausfällen mit der Gefahr einer Kaskadenwirkung sei es bislang allerdings nicht gekommen.
Erschreckendes Gefahrenpotenzial
Dennoch sprechen die Experten inzwischen von einem erschreckenden Gefahrenpotenzial durch die verschiedensten Formen von Angriffen auf sensible Infrastrukturen, die von gelegten Kabelbränden bei der Bahn über den angestrebten Erwerb von Unternehmensanteilen wie beim Übertragungsnetzbetreiber 50 Hertz durch den chinesischen Staatskonzern CHN bis hin zur rasch wachsenden Cyberkriminalität reichen.
Betroffen sind dabei allerdings längst nicht nur die durch die Festlegung von Schwellenwerten in der Kritis-Verordnung erfassten Unternehmen, sondern praktisch sämtliche Bereiche der Wirtschaft und Verwaltung.
Enormer Schaden in Unternehmen
Peter Vahrenhorst, beim LKA von Nordrhein-Westfalen im Kompetenzzentrum für Cyberkriminalität tätig, führte aus, dass innerhalb von zwei Jahren 53 Prozent aller Unternehmen von Angriffen über die IT-Infrastruktur betroffen waren, der Schaden wurde mit 55 Mrd. Euro beziffert.
Zwar agieren immer mehr professionelle Täter vom Ausland mittels kryptografischer Verschlüsselung, doch noch immer kommen mehr als die Hälfte aller Vorfälle durch fahrlässiges oder vorsätzliches Handeln interner Mitarbeiter zustande. "Wir müssen die Fehlerkultur stärker bedenken, die Mitarbeiter schulen", so Vahrenhorst.
Ungesicherte Windkraftanlagen
Er habe erst kürzlich feststellen müssen, dass von den 470 Windkraftbetreibern in NRW 132 ihre Anlagen nicht so gesichert haben, dass man von außerhalb einen Zugriff auf den IT-Status habe. In einem Fall sei der unberechtigte Zugriff sogar bis in die Buchhaltung des Betreibers möglich gewesen.
In Zeiten, in denen zwar beispielsweise innerhalb von Kraftwerken oder großen Verteilnetzen mit einem strikt getrennten Intranet gearbeitet werde, erlangen neue, bislang hinsichtlich der Sicherheit unterschätze technische Applikationen eine neue Bedeutung. Spracherkennungssysteme etwa kommen nicht nur im Home-Office vor, sondern werden mit "intelligenten" Geräten wie TV oder Smartphones auch in sicherheitsrelevanten Bereichen genutzt. "Passen wir auf, dass wir damit nicht interne Bereiche 24/7 weltweit frei schalten", warnte Andreas Reisen.
Gesetzesnovelle steht im nächsten Jahr an
Im nächsten Jahr soll das IT-Sicherheitsgesetz auf die neuen Bedingungen angepasst werden. Zu den bislang sieben Sektionen kommen weitere hinzu, die vor allem Schlüsselbereiche der Wirtschaft wie den Automobilbau und die Chemie betreffen.
Auch die Meldeprozesse sollen optimiert, die Schwellenwerte evaluiert werden. Allerdings ist eine generelle Absenkung, wie sie der Chef der Sächsischen Staatskanzlei etwa für die Wasserwirtschaft forderte, wohl aus Kapazitätsgründen des BSI allenfalls in Einzelfällen erfolgen. Hier gilt derzeit eine Grenze von 500.000 Kunden, so dass zahlreiche mittelgroße Unternehmen aus den Meldeverpflichtungen ausgenommen sind.
Programm für den Inselbetrieb
Staatssektretär Stephan Mayer vom BMI kündigte hingegen an, dass im BSI 2019 weitere 300 Stellen geschaffen werden. Zudem habe man beschlossen, die Zahl der für das THW bereitstehenden 500 Notstromaggregate deutlich zu erhöhen.
2019 sollen die ersten 100 Stromerzeuger dazukommen. Zusammen mit einem Programm für den Inselbetrieb sichere man sich damit gegen die Folgen eines größeren Blackout ab. (masch)
