Schutz kritischer Infrastrukturen

"Deutschland nimmt eine Vorreiterrolle ein"

Simon Hülsbömer
Simon verantwortet redaktionell leitend die Themenbereiche IT-Sicherheit, Web und Datenschutz. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter und ab und an die iPad-Ausgaben der COMPUTERWOCHE. Aufgaben als Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Email:
Connect:
Die deutsche Politik feiert die Nationale Cybersicherheits-Strategie als wichtigen Schritt in die digitale Zukunft. Doch wie gut sind unsere kritischen Infrastrukturen heute schon geschützt? Dazu haben wir mit Holger Junker vom Bundesamt in der Informationstechnik (BSI) gesprochen.

CW: Wie steht es um die Sicherheit kritischer IT-Infrastrukturen in Deutschland?

JUNKER: Wir beobachten derzeit in erster Linie Spionageangriffe, die sich natürlich leicht zu Sabotagezwecken umfunktionieren lassen. Direkte Attacken auf Produktionsanlagen sind derzeit noch selten. Die Angreifer konzentrieren sich zumeist auf die Office-Netze in den Unternehmen, weil diese fast immer mit dem Internet verbunden sind und viele Einfallstore aufweisen. Das hohe Gefährdungspotenzial von Industriesteuerungsanlagen wird hingegen derzeit noch geringfügig ausgenutzt, allerdings mit steigender Tendenz.

CW: Ist der Medienhype um die so genannten "Advanced Persistent Threats" überzogen?

JUNKER: APTs sind eine ernstzunehmende Bedrohung, weil hier Professionalität gepaart mit einer hohen kriminellen Energie zu beobachten ist. Es wird eine Herausforderung bleiben, ihnen zu begegnen. Schließlich hat es bereits einige Fälle gegeben, in denen die Spionageprogramme lange Zeit unbemerkt aktiv sein konnten. Von daher ist es durchaus gerechtfertigt, dass sie auch in den Medien Aufmerksamkeit erfahren. Die Berichterstattung halte ich für angemessen und keineswegs für überzogen.

CW: Wie gut sind wir in Deutschland auf den "Ernstfall" vorbereitet?

Holger Junker ist Leiter des Referats C12 "Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen" beim Bundesamt für Sicherheit in der Informationstechnik.
Holger Junker ist Leiter des Referats C12 "Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen" beim Bundesamt für Sicherheit in der Informationstechnik.
Foto: BSI

JUNKER: Gerade die letztjährige Lükex-Übung zum Schutz vor Cyberangriffen hat gezeigt, dass Deutschland grundsätzlich gut aufgestellt ist. Hier wurden die Kommunikations- und Prozessabläufe simuliert, die bei einem IT-Sicherheitsvorfall vonstattengehen. Diese funktionieren im Großen und Ganzen sehr gut, Verbesserungspotenzial gibt es vor allem in Detailfragen. Einschränkend muss ich aber sagen, dass einige Branchen innerhalb der kritischen Infrastrukturen besser aufgestellt sind als andere. Dort, wo es noch nicht so funktioniert, fehlt es an branchenweiten Standards oder an der Zusammenarbeit zwischen den Unternehmen, was den Austausch aktueller Informationen angeht. Innerhalb des Umsetzungsplanes KRITIS können verschiedene Branchen durchaus noch voneinander lernen.

Neuer Kontaktpunkt zum BSI

CW: Inwieweit funktioniert die freiwillige Selbstverpflichtung der Wirtschaft bezüglich des Meldens von Sicherheitsvorfällen?

JUNKER: Nach unseren Erfahrungen kommt man über die Freiwilligkeit nicht sehr weit. Liegt ein IT-Sicherheitsvorfall vor, machen sich die Betroffenen selbstverständlich Gedanken über die Konsequenzen einer veröffentlichten Meldung. Aber wenn ein Unternehmen sich für die offensive Variante entschließt und den Vorfall meldet, kann es sich leichter Unterstützung holen - auch vom BSI. Mit der Allianz für Cyber-Sicherheit haben wir einen Kontaktpunkt zum BSI geschaffen, um Vorfälle melden zu können. Bei den wichtigsten kritischen Infrastrukturen wird derzeit eine Meldepflicht bei IT-Sicherheitsvorfällen mit Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit diskutiert.

CW: Stichwort Unterstützung - was empfehlen Sie den Unternehmen, gerade auch denen, die kritische Infrastrukturen betreiben?

JUNKER: Wir haben eine Reihe von Empfehlungen veröffentlicht, die dort ansetzen, wo das Security-Bewusstsein von produzierenden kleinen mittelständischen Unternehmen aufhört. Diese Unternehmen sind meist nicht in der Lage, von heute auf morgen ein ganzheitliches Informationssicherheits-Management einzuführen. Es ist daher wichtig, Maßnahmen zu identifizieren, um das Bedrohungspotenzial mit einem überschaubaren Aufwand in den Griff zu bekommen. Wir haben beispielsweise die zehn kritischsten Angriffspunkte industrieller Steuerungsanlagen aufgezeigt und geeignete Schutzempfehlungen veröffentlicht. Das Ziel des BSI ist es, schrittweise das Unternehmen insgesamt, also sowohl das Office-Netz als auch die Produktionsanlagen, mithilfe von Standards wie dem IT-Grundschutz abzusichern - in gut verdaulichen Dosen sozusagen. Erreichen möchten wir das auch in Zusammenarbeit mit den Industrieverbänden, indem wir beispielsweise dort an der Erstellung von Standards mitarbeiten.

CW: Sicherheitsanbieter wie RSA proklamieren einen "Security Intelligence"-Ansatz, der mehr auf die aktive Begegnung potenzieller Gefahren abzielt, anstatt sie reaktiv zu bekämpfen. Verfolgen Sie diese Idee auch?

JUNKER: Der Grundsatz des BSI lautet "Prävention, Reaktion, Nachhaltigkeit". Prävention heißt, dass wir uns beispielsweise anschauen, was es in Deutschland an exponiert im Internet stehenden Systemen gibt, die für einen Angreifer leichte Beute sein könnten. Das betrifft industrielle Anlagen und alles, was sonst noch in den Bereich cyberkritischer Systeme fällt. Immer dann, wenn wir Kenntnis von internetverbundenen Systemen erhalten, die in gewisser Weise angreifbar sind, informieren wir die Betreiber und leisten aktive Unterstützung bei der Absicherung. Das führt nicht selten zu einem Aha-Effekt seitens der Betreiber, weil ihnen die Gefahr vorher oftmals nicht bewusst gewesen ist.

Kooperationen vorleben

CW: Nimmt Deutschland mit dem BSI eine Vorreiterrolle ein?

JUNKER: Dass wir bereits relativ weit sind, merken wir immer wieder auf Konferenzen auf europäischer Ebene, auf denen die nationalen Partner zusammentreffen. Deutschland nimmt durchaus eine Vorreiterrolle ein, was die Sicherheit internetverbundener Systeme oder Sicherheitsanalysen von Komponenten angeht. Wir fungieren auch als Ideengeber, weil wir in Deutschland insgesamt und als BSI im Speziellen zahlreiche Kooperationen mit und innerhalb der Wirtschaft bereits vorleben.

CW: Inwieweit sind die privatwirtschaftlichen IT-Sicherheits-Anbieter in der Verantwortung?

Die "Allianz für Cyber-Sicherheit" hat ihren Betrieb aufgenommen.
Die "Allianz für Cyber-Sicherheit" hat ihren Betrieb aufgenommen.
Foto: BSI

JUNKER: Was den industriellen Bereich angeht, beobachten wir besonders seit Stuxnet im Jahr 2010 ein größeres Bewusstsein für die Marktchancen seitens der Security-Produkthersteller und -Dienstleister. Bestimmte Gegebenheiten auf Seiten der Anwender lassen sich aber nicht eins zu eins aus der Office-IT-Welt übertragen. Gerade Sicherheitsmaßnahmen wie Anti-Virus und Patch-Management sind mitunter nicht übertragbar, es braucht andere Lösungskonzepte. Die deutschen Anbieter sind hier aber sehr aktiv - dies zeigt auch die Resonanz auf die Allianz für Cyber-Sicherheit, an der sich viele Sicherheitsanbieter beteiligen. Allgemein auf die Wirtschaft bezogen lässt sich ebenfalls feststellen, dass derzeit ein Umdenken stattfindet. Auch die Hersteller von Industriesteuerungsanlagen erkennen, dass sie bessere Schutzvorkehrungen direkt in ihre Produkte einbauen müssen. Die Verantwortung für IT-Sicherheit liegt bei der gesamten Industrie - vom Komponentenbauer über die Integratoren und Maschinenbauer bis hin zu den Betreibern der Anlagen und den Sicherheitsanbietern.

Newsletter 'CP Business-Tipps' bestellen!