neu

Sicherheit ist kein Luxus: Warum IT-Systeme fast immer hochkritisch sind

Die Ransomware WannaCry hat uns alle schmerzhaft spüren lassen: Wir sind so sehr von Informationstechnik abhängig, dass fast alle IT-Systeme als kritisch eingestuft werden sollten. Bisher werden zu wenige Branchen in die Pflicht genommen.

Wesentliche Teile der Energiebranche hechten derzeit einem Thema hinterher: der Zertifizierung ihrer IT-Infrastruktur. Nicht zuletzt haben Cyberattacken wie beispielsweise die Ransomware WannaCry bewiesen, dass IT-Systeme überlebenswichtig für Unternehmen und öffentliche Institutionen sind – und deswegen besonders schützenswert.

Es ist gut, dass die Energiebranche auf der Pflichtenliste gelandet ist. Anfang 2018 müssen Betreiber von Strom- und Gasnetzen bei der Bundesnetzagentur nachweisen, dass ihre IT-Infrastruktur wirklich sicher ist. Die Energiebranche ist eine logische Wahl: Denn fällt der Strom großflächig und über einen längeren Zeitraum aufgrund von Cyberangriffen aus, katapultiert es den betroffenen Teil der Gesellschaft zurück in die Steinzeit. Weder Licht noch mobile Kommunikation oder elektrischer Transport sind dann noch möglich.

Und dank der Vorgaben der Bundesnetzagentur drängt die Zeit. Erst Ende 2016 hat die Bundesnetzagentur die ersten Zertifizierungsstellen zugelassen. Viele Unternehmen der Energiebranche haben mit Blick auf die möglichen Vorgaben der Behörde bis dahin abgewartet. Kein Zuckerschlecken für die IT-Verantwortlichen, für die solch eine Zertifizierung zusätzliche Belastung neben dem Alltagsbetrieb ist. Externe Berater und Lösungspakete können helfen, den hohen Aufwand zumindest einzudämmen.

Doch in Wahrheit müssten wir viel tiefgehender auf die IT-Systeme blicken als bisher. Eine logische Faustregel wäre: Sobald ein IT-System die Öffentlichkeit auch nur indirekt gefährden kann, muss es zertifiziert werden. Konkret bedeutet das: Fast alle heutigen IT-Systeme sind kritisch.



Diese drastische Ausweitung der Definition von kritischer Infrastruktur kommt nicht von ungefähr. Ein paar Beispiele zur Illustration:

  1. Krankenhäuser und Ärztehäuser sind bereits im Visier der Behörden und ein eminent wichtiger Schritt in die richtige Richtung. Hier hat WannaCry besonders Schaden in Großbritannien anrichten können. Mit der Gesundheit von Menschen ist nicht zu scherzen: Oder möchten Sie im Ernstfall in ein Krankenhaus eingeliefert werden, in dem die Abstimmung zwischen Ärzten und Abteilungen nicht funktioniert?

  2. Bahn- und Flugverkehr sowie öffentlicher Nahverkehr – denn Schindluder mit den Systemen dieser Branche kostet Menschenleben. Ein Glück, dass WannaCry nur die Informationstafeln der Deutschen Bahn in Beschlag genommen hat – und nicht etwa Stellwerke oder Signale.

  3. Kommunikationsunternehmen sollten schon aufgrund ihrer starken Verflechtung mit der IT-Branche das nötige Bewusstsein haben. Doch auch hier gilt: Vertrauen ist gut, Kontrolle ist besser. Denn brechen Kommunikationsnetze zusammen, könnten fatale Missverständnisse entstehen und Panik in der Bevölkerung ausbrechen.

  4. Auch die Finanz- und Versicherungsbranche wird sich dem Sog der Sicherheit von IT-Infrastruktur nicht entziehen können. Sie spielt zwar nicht direkt mit Menschenleben, aber ist durch Geld ein Rückgrat unseres Zusammenlebens. Auch hier haben sich die Behörden bereits auf Weg gemacht.

  5. Um Menschenleben geht es wieder in der Chemie- und Pharmabranche. Denn die Stoffe, mit denen hier hantiert wird, sind bisweilen hochgefährlich. Fallen hier Steuerungs- und Sicherheitsmechanismen aus, können Städte und ganze Landstriche verseucht werden.

  6. Polizei und Feuerwehr sind als Ordnungshüter und Retter in der Not wichtiger Baustein unserer Gesellschaft. Datenbanken und Kommunikationssysteme der Helfer sind überlebenswichtig für ein funktionierendes Zusammenleben.

  7. Auch die IT-Systeme für Straßenverkehr müssen maximal gesichert werden, denn in Großstädten werden etwa Ampeln zentral über IT-Systeme gesteuert. Massen-Unfälle durch Cyberterroristen? Kein völlig abwegiges Risiko. Und keines, das wir eingehen sollten.

Wir stehen erst am Anfang einer sehr zähen, aber umso wichtigeren Transformation. Unser Eintauchen ins digitale Zeitalter läuft bisher über den Drang zu Neuem, und das ist spannend und gut so. Doch es fehlt bisweilen an Verantwortungs- und Sicherheitsbewusstsein. Eine Prüfung der IT-Systeme auf Herz und Nieren durch Dritte ist fast überall zwingend notwendig. Der Staat hat hier mit der KRITIS zumindest die richtige Richtung eingeschlagen.

Die digitale Transformation ist eben nicht nur eine Frage der Innovation – sondern auch und besonders der Sicherheit. Nicht aus Geschäftssinn, sondern weil Menschenleben auf dem Spiel stehen.

Author image
Leipzig