Kritische Infrastrukturen: Das Zwiebelmodell
Mit der Resilienz kritischer Infrastrukturen befasst sich in der August-Ausgabe des Behördenspiegel Michael Littger, Deutschland sicher im Netz e.V. Resilienz zielt in der IT-Sicherheit auf bestmögliche Beherrschung von Gefährdung und Schadenswirkung, um im Krisenfall schnell zur Normalität zurückzukehren. Um kritische Infrastrukturen vor einem Blackout und seinen Folgen zu schützen, wird es darauf ankommen, die Resilienz der digitalen Gesellschaft zu stärken. Alle Schutzfaktoren von Wirtschaft, Staat und Gesellschaft müssen ineinandergreifen.
Eine erste Annäherung lässt vier Kreise im Zwiebelmodell erkennen: Der äußere Ring steht für die internationale Verantwortung und global abgestimmte Lösungsansätze, der zweite für regulatorische Schutzmechanismen. Auf dem dritten Ring finden sich technologisch getriebene Innovationen der Wirtschaft, und im Kern des Zwiebelmodells stehen Anwender und Nutzer. Die Wirkungen und das Verhältnis der benannten Schutzfaktoren zueinander bedürfen weiterer Diskussionen. Augenfällig ist aber das Nachholbedürfnis von KMU bei IT-Sicherheit im Kern des Modells.
Europaweiter Stromausfall durch Cyberattacke möglich
Die Cyberexperten der Bundesregierung halten es für möglich, dass Hacker durch Angriffe auf einzelne Energieversorger in Deutschland einen europaweiten Stromausfall verursachen könnten, berichtet Matthias Gebauer auf spiegel.de. In einem Dokument des Cyber-Abwehrzentrums von BKA, BND, BSI und BfV sind zwei Cyberangriffe auf Energieversorger in der Westukraine aus den Jahren 2015 und 2016 analysiert worden.
Die beiden seinerzeit beschuldigten Hackergruppen „Sandworm“ und „Berserk Bear“ sollen von russischen Nachrichtendiensten gesteuert worden sein. Beunruhigend ist die Qualität der Schadsoftware, die beim zweiten Angriff eingesetzt wurde. Sie ist mit „Stuxnet“ gleichzusetzen. Aktivitäten von Hackergruppen bei deutschen Energieunternehmen zeigen Fähigkeiten und Absichten zur Sabotage.
Neuer Bundesverband für den Schutz kritischer Infrastrukturen
Der Behördenspiegel weist am 3. September darauf hin, dass der neu gegründete Bundesverband für den Schutz kritischer Infrastrukturen (BSKI) seine Arbeit aufgenommen hat. Er setzt sich für ganzheitliche Schutzkonzepte ein und versteht sich als Plattform für Betreiber kritischer Infrastrukturen, die aufgrund ihrer Größe nicht in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Dabei handelt es sich insbesondere um KMU. Der Verbandsvorsitzende Holger Berens fordert eine neue Definition kritischer Infrastrukturen, die jeder versteht.
Fernwartung ist auch bei kritischen Infrastrukturen möglich
Die Deutsche Rentenversicherung zeigt, wie die Fernwartung für die als KRITIS klassifizierten IT-Systeme machbar ist und den höchsten Sicherheitsanforderungen gerecht wird, wird in der Septemberausgabe des Behördenspiegel festgestellt. Die BSI-Regeln sind für die Rentenversicherung die Grundlage des Pflichtenhefts der Fernwartungslösung gewesen. Auf die revisionssichere Aufzeichnung auch per Video und die Umsetzung eines Vier Augen-Prinzips hat man besonderen Wert gelegt.
Zentrales Sicherheitselement der Lösung des IT-Sicherheitsunternehmens genua ist das sogenannte Rendezvous-Konzept. Alle externen Verbindungen erfolgen über einen Rendezvous-Server, der in einer demilitarisierten Zone neben der Firewall installiert ist. Verbindungen zum Server werden als stark verschlüsselte und authentisierte „Punkt zu Punkt-Verbindungen“ über einen VPN-Tunnel erzeugt. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Zu den weiteren Anforderungen gehört die Möglichkeit, die Option eines Datentransfers konfigurierbar zu gestalten.
