Kritische Infrastrukturen, dazu zählen auch Wasserwerke und Kläranlagen, sind überlebenswichtig. Gegen Attacken sind sie zumeist schlecht geschützt. Das will eine Gruppe freiwilliger Cyber-Experten ändern. Ihr Zusammenschluss als AG KRITIS schlägt vor, ein „Cyber-Hilfswerk“ (CHW) zu begründen. Damit soll Unternehmen und Behörden unter die Arme gegriffen werden, wenn diese überfordert sind. Kritische Infrastrukturen wollen sie vor Angriffen schützen. Im Fall einer Attacke soll das CHW beim Neuaufbau der Infrastruktur helfen. Das BSI zeigt sich offen, ebenso ein Branchenvertreter. Der sieht aber zudem Handlungsbedarf bei „den kleinen Wasserunternehmen“ unterhalb der BSI-relevanten Schwellenwerte.
Frei von Sponsoren und wirtschaftlichen Interessen
Aus mehr als 35 IT-Sicherheitsexperten besteht die AG KRITIS. Auf der DefensiveCon 2020, dem Event für Cyber-Sicherheitspolitik, das bis letzten Freitag in Berlin stattfand, haben sie ihr Konzept vorgestellt. Auf 33 Seiten listen sie darin ihre Analyse der Schwächen der Kritischen Infrastrukturen akribisch auf. Darin schlagen sie als eine Lösung das „Cyber-Hilfswerk – Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen“ vor.
Ihr Engagement, so erklärt die AG Kritis, sei „getrieben von der Motivation, unabhängig von wirtschaftlichen Interessen eine nachhaltige Verbesserung der Sicherheit jener Anlagen kooperativ mit allen Beteiligten herbeizuführen und damit im Katastrophenfall die öffentliche Sicherheit zu verbessern. Wir sind kein Wirtschaftsverband oder Unternehmen und haben daher auch und insbesondere keine Sponsoren.“
Vorbild sind das Technische Hilfswerk und die Freiwilligen Feuerwehren
Noch sei kein Großschadensereignis eingetreten, erklären sie in einem Video, aber alle Experten seien sich einig, dass das keine Frage des ‚ob’, sondern nur des ‚wann‘ ist, dass Sicherheitslücken zum Schadensereignis führen werden. Es sei daher überfällig, neue zu Strukturen schaffen. Neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI), als Berufsfeuerwehr, bedürfe es des CHW, quasi als Freiwillige Feuerwehr.
Viele der 2.000 Kritischen Infrastrukturen zu schlecht geschützt?
Nahezu 2.000 Kritische Infrastrukturen gibt es aktuell in Deutschland. Dazu gehören Kraftwerke, Kliniken, Nahrungsmittelbetriebe, aber auch Wasserwerke und Kläranlagen. Sie alle sind das mögliche Ziel von ungezählten Hackern und Cyber-Terroristen.
Die quantitative Zunahme von IT und OT (Operational Technology), deren lange Betriebsdauern, die hohe Geschwindigkeit des technischen Fortschritts und die immer stärkere Vernetzung der Systeme würden jeweils für sich die Eintrittswahrscheinlichkeit einer großflächigen oder sogar katastrophalen Störung der lebensnotwendigen und damit Kritischen Infrastrukturen vergrößern. Dessen ungeachtet seien die Absicherungen und das Notfallmanagement unzureichend. Fände eine Hacker-Attacke statt, sei es meist zu spät, Unternehmen und Behörden überfordert. Im klassischen Katastrophenfall stünden die ehrenamtliche Helfer privater Hilfsorganisationen und die behördlichen Einrichtungen für den Schutz der Bevölkerung zur Verfügung. Sie gewährleisten, dass auch in außergewöhnlichen Situationen ausreichende Hilfe zur Verfügung steht. Dagegen würden ehrenamtliche Strukturen für digitale Katastrophenfälle bislang nicht existieren. Das Technische Hilfswerk und die Freiwilligen Feuerwehren hätten daher Pate bei den Überlegungen zur Begründung einer „Freiwilligen-Armee“ gegen Cyber-Attacken gestanden.
Bei Schadenlagen, deren Größe und potentielle Auswirkungen die Kapazitäten der Behörden übersteigen, müsse trotzdem schnelle Hilfe zur Wiederherstellung der kritischen Dienstleistungen bereitgestellt werden. Daher müssten sich auch zivile Helfer organisieren und ihre Kräfte bündeln, analog zu den bereits existierenden Hilfsorganisationen auf anderen Gebieten. Das ist die Motivation der AG Kritis, ein Cyber-Hilfswerk mit freiwilligen Experten vorzuschlagen.
Behörden wurden die Ideen schon 2019 vorgestellt
Der Sprecher der AG KRITIS, Johannes Rundfeldt, zeigt sich gegenüber dem Bayerischen Rundfunk zuversichtlich, dass das CHW bald Realität wird. Man stehe bereits in Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik und mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. „Das Feedback war durchweg positiv“, so Rundfeld gegenüber BR24. Im Herbst 2019 hatte sich die AG KRITIS erstmals im Rahmen eines Behördenworkshops mit Vertretern des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) getroffen. Darin hatten die Sicherheitsexperten über vorhandene Bewältigungskapazitäten und Bedarfe aus Sicht der Behörden debattiert. Das BBK wird unser Vorhaben wohlwollend begleiten, sieht sich aber nicht wirklich als beteiligt an“, erklären sie auf ihrer Website. Wer sich für die Ergebnisse dieses Meetings interessiert, findet hier das Protokoll.
BSI verweist auf die geltenden Regeln. Wasserversorger weisen auf Handlungsbedarf hin
Ein BSI-Sprecher antwortete heute prompt auf meine Anfrage. Er erklärte, dass das „BSI grundsätzlich Initiativen begrüßt, die sich das Ziel setzen, die Cyber-Sicherheit in Deutschland zu erhöhen. Insbesondere die Vorfälle im Zusammenhang mit Ransomware haben gezeigt, dass Cyber-Angriffe auch Auswirkungen auf Kritische Infrastrukturen wie Krankenhäuser haben können. Bei kritischen Anlagen und Einrichtungen, die bestimmte Schwellenwerte überschreiten, greifen die Regelungen des IT-Sicherheitsgesetzes (IT-SiG), das sich seit seiner Einführung 2015 bewährt hat. (…) Auch kleinere Einrichtungen, die unterhalb der Schwellenwerte nach BSI-Kritis-Verordnung liegen, nehmen ihre Verantwortung in Bezug auf ihren Versorgungsauftrag sehr ernst und engagieren sich etwa in den Netzwerken des BSI wie UP KRITIS und Allianz für Cyber-Sicherheit, um ihre Informationssicherheit stetig auszubauen.“
Christoph Donner, Geschäftsführer der Harzwasserwerke teilt mir seine Einschätzung zu dem Vorschlag der AG KRITIS mit. „Ich halte das Thema für wichtig! Die Unterarbeitsgruppe der „AG Kritis“ sollte auch mit den Verbänden verknüpft sein (DVGW, BDEW, VKU). Es kostet natürlich wieder alle Unternehmen Ressource, aber die sollten wir investieren, denn es geht um die Sicherstellung der Versorgungssicherheit und damit um Daseinsvorsorge. Letztendlich könnte der Gesetzgeber bzw. das BSI auch schneller die Anforderungen an die Kritischen Infrastrukturen im Wassersektor für alle Versorgungsunternehmen anpassen, denn das Risiko wächst für alle…“
Cybersicherheit muss ernster genommen werden – von allen Versorgern
Der Harzwasserwerke-Geschäftsführer legt mit dem Hinweis auf die Schwellenwerte den Finger in die Wunde. Sie dürften von 99 Prozent der deutschen Wasserversorger und Abwasserentsorger unterschritten werden. Die Branchenstruktur macht die Wasserwirtschaft anfällig. Es gibt zu wenige Große. Damit sind diese „kleineren Einrichtungen“, wie es das BSI ausdrückt, freiwillig aktiv. Schon wieder freiwillig. Man mag es gar nicht mehr hören. Es geht hier um eine, wenn nicht DIE kritische Infrastruktur. Die Anforderungen wachsen im Zuge der Digitalisierung in rasender Geschwindigkeit und damit auch die Anfälligkeiten. Es ist noch gar nicht lange her, da sind wir mit Penetrationstests auf die technischen Systeme von Wasserwerken marschiert. Die später darauf Angesprochenen meinten, wir würden scherzen. Das gilt auch für Hacker. Sie wollen nicht nur spielen. Man darf gespannt sein, wie sich die Initiatoren der Cyberwehr, die Wasserbranche und die Behörden auf eine Stärkung der Abwehrkräfte einigen.
Quellen/Weiterführendes
- AG KRITIS-Website
- Das Cyber-Hilfswerk– Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen, Konzept der AG Kritis
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)
- Kritische Infrastruktur in der Wasserwirtschaft – Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?, Kirsten Wagner, DVGW
- FAQ zu IT-Sicherheitsgesetzgebung Wasser/Abwasser, vku
2 Trackbacks / Pingbacks