„Das ist kein strukturierter Katastrophenschutz“

Manuel Atug ist Gründer und Sprecher der unabhängigen AG KRITIS. Im Interview mit com! professional erklärt er, warum der Gesetzgeber beim Schutz Kritischer Infrastrukturen noch nachlegen sollte und wie sich KRITIS-Betreiber angemessen vor Bedrohungen schützen können.

Manuel Atug
Gründer und Sprecher der AG KRITIS

(Quelle: Manuel Atug)

Manuel Atug: Die Schwellenwerte sehen dekorativ aus, sind aber nicht zielführend und sollten unserer Meinung nach angepasst werden. Das kann man gut am Beispiel der Wasserwerke aufzeigen. Es sind nur diejenigen als Kritische Infrastruktur definiert, die mehr als 500.000 Menschen versorgen. Von den etwa 5500 Wasserwerken in Deutschland gilt daher nur rund 1 Prozent als KRITIS und muss entsprechend eine hohe IT-Sicherheit gewährleisten. In Städten wie Augsburg oder Bonn würde bei einem Cyberangriff möglicherweise die Wasserversorgung zusammenbrechen, aber diese mussten laut Gesetz keine Cybersicherheitsmaßnahmen umsetzen. Das ist sehr seltsam und kein strukturierter Katastrophenschutz.

Atug: Die KritisV soll grundsätzlich alle zwei Jahre evaluiert werden, auch unter wissenschaftlichen Gesichtspunkten. Das erfolgt allerdings nicht öffentlich. Und es fehlt die Transparenz, da sich nicht nachvollziehen lässt, warum und wie die Schwellenwerte zustande kommen. Auch die Kumulation wurde nicht berücksichtigt, sprich wenn etwa ein Stadtwerk als Wasserwerks- und Kraftwerksbetreiber gleichzeitig auch Internet-Services anbietet. Diesen Punkt haben verschiedene Experten und auch wir bei der Anhörung des Gesetzgebers eingebracht, wurden aber ignoriert. Dabei geht es hier um den Schutz der Öffentlichkeit.

Atug: Wir bezeichnen die UBI intern als „KRITIS light“. Dazu gehören beispielsweise die Rüstungsindustrie und die in der Störfallverordnung beschriebenen chemischen Anlagen. Die UBI benötigen nur ein IT-Sicherheitskonzept, das jedoch nicht kontrolliert wird. Das ist eine halbherzige Geschichte beziehungsweise ein sehr schlechter Kompromiss – und es zeigt, dass offenbar Lobbyarbeit im Hintergrund erfolgreich funktioniert hat. Auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sieht Chemie ganz klar als Kritische Infrastruktur, doch der Gesetzgeber hat das weichgespült und zu wenig reguliert. Auch dem für Anfang 2023 geplanten KRITIS-Dachgesetz für physische Sicherheit sehen wir nicht positiv entgegen. Es wird sehr schnell ohne Transparenz und Diskussionen oder Beteiligung der Öffentlichkeit durchgepeitscht. Das kann nicht gut sein und zeigt wenig Interesse an einem echten Schutz.

Atug: Wie „normale“ Unternehmen sind auch Kritische Infrastrukturen von Cyberangriffen bedroht, vor allem von Ransomware-Attacken. Zu den Angreifern gehören auch Nachrichten- und Geheimdienste mit dem Ziel, Kritische Infrastrukturen auszukundschaften, sie lahmzulegen und dadurch die Bevölkerung von innen zu destabilisieren. Hinzu kommen mögliche physische Angriffe wie Sabotage an einer Pipeline oder am Stromnetz. Je nachdem, wie der entsprechende KRITIS-Betreiber aufgestellt ist, wird daraus eine Krise oder Katastrophe. Wir müssen geeignete Maßnahmen gegen Ereignisse und Vorfälle anwenden, damit sie nur eine Störung bewirken, aber die Versorgung der Bevölkerung nicht gefährden. Auch beim Hochwasser im Ahrtal wurde Kritische Infrastruktur zerstört. Ich gehe davon aus, dass klimabedingte Katastrophen sowie Ransomware-Angriffe in den nächsten Jahren deutlich zunehmen.

Atug: Das Bild hier ist bunt und vielfältig. Die Bandbreite reicht in allen KRITIS-Sektoren von KRITIS-Betreibern, die nur ein Mindestmaß an IT-Sicherheit umsetzen, bis hin zu KRITIS-Betreibern, die sich sehr gut aufgestellt haben und sich auch gut gegen Ausfälle schützen.

Am höchsten ist das Security-Niveau tendenziell wohl eher bei Banken und Versicherungen wegen der vielen Regulierung seit Jahren und eher niedriger im KRITIS-Sektor Staat und Verwaltung aufgrund der geringeren Bezahlung nach Tarif und der fehlenden Regulierung und Haftung.

Atug: Ja, leider. Das hat mehrere Ursachen. Viele Kommunen und Landkreise nutzen veraltete Lösungen; teils laufen da noch Windows-95-Systeme. Die Digitalisierung wurde bislang nur unzureichend umgesetzt und es fehlt an Fachpersonal mit der notwendigen Digitalkompetenz. Hinzu kommt, dass es für die KRITIS-Sektoren Staat und Verwaltung sowie Medien und Kultur quasi keine gesetzlichen Anforderungen zur IT-Sicherheit gibt. Denn beide Sektoren unterliegen nicht dem IT-Sicherheitsgesetz, das von KRITIS-Betreibern fordert, ein Information Security Management System (ISMS) mit Business Continuity Management (BCM) umzusetzen. Warum ist das so? Medien und Kultur sind schlicht und einfach Ländersache – und die Vorgaben des BSI gelten nicht für Verwaltungen auf Landes- oder Kommunalebene, da das BSI dem Bundesinnenministerium unterstellt und nicht unabhängig ist.

Atug: Ja. Grundsätzlich geht die Gesetzgebung in die richtige Richtung, der Einfluss der Lobbyisten und der Wirtschaft ist aber noch zu groß. Der Gesetzgeber sollte Anreize für KRITIS-Betreiber schaffen, sichere Systeme zu betreiben. Stichworte wären hier Security by Design oder Privacy by Design. Es geht um Daten und Datenschutz, weil wir damit den Schutz von Menschen sicherstellen.

Natürlich müssen die umgesetzten Maßnahmen auch überprüft werden. Das Beispiel DSGVO zeigt, dass das Recht nur selten durchgesetzt wird. Es werden nur wenige Firmen, die gegen den Datenschutz verstoßen, ermittelt und bestraft. Insgesamt passiert mir auf gesetzlicher Ebene zu wenig; das ist nicht angemessen im Vergleich zum Risiko und der aktuellen Bedrohungslage. Und schauen Sie auf die Verteilung der Fördergelder: Diese gibt es oft für Hype-Themen wie Blockchain oder KI, nicht aber für Maßnahmen rund um IT-Sicherheit und Menschenschutz. Man könnte aber beispielsweise auch festlegen, dass Unternehmen den Aufwand für den Aufbau und Betrieb eines ISMS mit BCM steuerlich absetzen können.

Atug: Ja, leider. Denn dieses Gesetz geht an der Praxis vorbei und ist wenig zielführend. Die Lobby verdient sich hier eine goldene Nase. Natürlich sind Angriffserkennungssysteme sinnvoll. Sie bilden aber nicht den ersten Schritt, sondern kommen erst viel weiter hinten in der Sicherheitskette an Stelle x, nicht aber an erster Stelle. Bevor ich als KRITIS-Betreiber ein System zur Angriffserkennung einsetze, sollte ich zunächst die Minimalmaßnahmen eines ISMS mit BCM umsetzen und kontinuierlich verbessern. Das BSI-Gesetz zwingt die KRITIS-Betreiber jetzt zu relativ hohen Investitionen und Aufwand in die Implementierung eines Systems zur Angriffserkennung; es besteht daher die Gefahr, dass andere, wichtigere Security-Maßnahmen auf der Strecke bleiben.

Atug: Die Lösung ist ein Mix aus verschiedenen Maßnahmen im Rahmen einer ganzheitlichen Cybersicherheitsstrategie, um die Bedrohungen einzudämmen und resilient zu werden. Am Anfang steht die Strategie, erst danach folgen die technischen Maßnahmen. Zentral sind fast langweilige Grundlagen wie Backup und Wiederherstellung von Daten, Backup-Tests oder die Frage, ob Backups auch offline vorliegen. Denn Online-Backups werden meist auch Opfer von Ransomware.

Des Weiteren geht es um die regelmäßige Prüfung von Firewall-Regeln, das schnelle Schließen von Sicherheitslücken durch das Aufspielen von Patches oder die sichere Fernwartung etwa mit Zwei-Faktor-Authentifizierung. Erst danach sollten KRITIS-Betreiber über Systeme zur Angriffserkennung nachdenken müssen.