Hendrick Lehmann befasst sich in Protector, Ausgabe 6-2019, S. 36-38, mit dem Schutz kritischer Infrastrukturen in der Energieversorgung. Eine Gasmangellage zum Beispiel kann sich gravierend auf eine Vielzahl von Strukturen ausdehnen, darunter auch andere Kritis-Sektoren, etwa Ernährung, Transport und Verkehr. Das Szenario der Gasmangellage habe auch die Frage des Risikos von Cyberangriffen und die Resilienz des Sektors dagegen aufgeworfen. Laut der Studie des „Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen“ werden Betreiber Kritischer Infrastrukturen immer wieder Opfer von Cyberattacken. Sofern solche Attacken erfolgreich verlaufen, sind laut Studie vor allem Fehlkonfigurationen von Systemen, nicht erfolgte Patches und das Fehlverhalten von Mitarbeitern dafür verantwortlich. Für Energieträger und -verteiler stellten solche Angriffe bedingt durch die starke Vernetzung der Systeme und die zunehmende Digitalisierung ein hohes Risiko dar. Behörden und Betreiber seien angehalten, abseits von Großübungen ein gemeinsames Verständnis von Auswirkungen im Fall einer Krise zu erarbeiten.
Haftungsfragen nach IT-Ausfällen
In GIT Sicherheit, Ausgabe 6-2019, S. 92/93 befassen sich Manfred Grühn, Dekra Certification, Dr. Hans v. Gehlen und Johannis Jäger, Beiten Burkhardt, mit Haftungsfragen nach IT-Ausfällen bei Kritischen Infrastrukturen. Bei den von KRITIS-Betreibern nach §§ 8a,b BSIG nachzuweisenden angemessenen Vorkehrungen sind Mindeststandards branchenspezifisch zu definieren. Massiv unterschätzt worden sind die Haftungsrisiken, die für Vorstände, Aufsichtsräte und Geschäftsführer der Kritis-Betreiber nicht nur virulent sind, sondern mit den immer subtileren Hackerangriffen weiter zunehmen. Die Bußgelder können bei datenschutzrechtlich relevanten IT-Sicherheitsvorfällen drastisch ausfallen – bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des Betriebes. An einer rechtskonformen, technisch sicheren und wirtschaftlich effizienten IT-Sicherheitsarchitektur insbesondere für Kritis-Betreiber führt deshalb kein Weg vorbei. Der Nachweis kann durch die Zertifizierung vor allem nach ISO 27001, unter Berücksichtigung der branchenspezifischen Relevanz von Bedrohungen und Schwachstellen, erbracht werden.
Schutz der IT-Infrastruktur bei Berliner Wasserbetrieben
5.500 Laptops und PCs und zusätzlich 1.500 Smartphones gebe es bei den Berliner Wasserbetrieben, meldet golem.de am 8. Juli. Etwa 600.000 Kubikmeter Trinkwasser und 620.000 Kubikmeter Abwasser laufen hier täglich durch die Klärwerke. Käme zu einem Ausfall, hätte Berlin ein großes Problem. Der Schutz der IT-Infrastruktur sei bei 4.382 Mitarbeitern und noch mehr Geräten eine Herausforderung. Ein Team von 213 Personen kümmert sich beständig um Administration, Wartung und Probleme der Nutzer. Große Hersteller von IT-Sicherheitslösungen böten für den Schutz der Endgeräte eigene Software-Lösungen oder -Suiten an, häufig eine Kombination aus verschiedenen IT-Sicherheitskomponenten wie Viren-Scannern, Netzwerk-Überwachung und VPN-Lösungen.
Schärfere Strafen für Verfehlungen von Stromhändlern
„Nach Chaostagen im Stromnetz zieht die Netzagentur die Zügel an“, titelt die FAZ am 19. Juli. Sie wird Händler und Netzbetreiber stärker in die Pflicht nehmen. Sie präsentierte einen Maßnahmenkatalog, der schwerwiegende Unterdeckungen, wie sie im Juni an gleich drei Tagen vorgekommen sind, verhindern soll. Dazu gehörten schärfere Strafen für Händler, die gegen Vorschriften verstoßen, schnellere Informationen und die Überarbeitung des Preismodells.
Zu wenig Meldungen von Banken an die Bafin
Die Zahl der Vorfälle, die Geldhäuser an die Bafin melden, sorgt für Kritik, berichtet das Handelsblatt am 15. Juli. 2018 sind 301 Sicherheitsvorfälle gemeldet worden. 2019 seien es bis zum 8. Juli 160 Fälle. Die IT-Systeme etwa der Deutschen Bank und der Commerzbank würden als veraltet und anfällig gelten. Die große Mehrzahl von Cybervorfällen sei aber nicht das Ergebnis krimineller Attacken von außen, sondern von internen Fehlern, betont Bafin-Chef Felix Hufeld.
Die Nachrichten zum Themenbereich Schutz Kritischer Infrastrukturen (KI) unterstreichen die Bedeutung der IT-Sicherheit für die Steuerung dieser Systeme. Dass die Betreiber KI Cyber-Attacken nicht hilflos ausgeliefert sind, zeigt das Ergebnis der im Securitas Blog erwähnten Studie „Monitor 2.0 IT-Sicherheit KI“, nach dem der Erfolg solcher folgenschweren Angriffe primär auf mangelnde IT-Sicherheitsvorkehrungen zurückzuführen ist. Dasselbe gilt übrigens für den Bankensektor, wie in dem Blog nachzulesen ist. Der wirtschaftlichen und gesellschaftlichen Bedeutung KI entsprechend schreibt das BSIG den Nachweis angemessener Vorkehrungen zur Vermeidung von IT-Störungen vor. Angesichts der Haftungsrisiken sind Vorstände und Aufsichtsräte von Betreibern KI gut beraten, diesen Nachweis insbesondere durch die Zertifizierung nach dem Standard ISO 27001 zu erbringen.