Kritische Infrastrukturen (KRITIS) sind im Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) definiert als Versorgungssysteme, die essentiell für das Allgemeinwohl sind. Kommt es bei diesen auf Hochverfügbarkeit ausgelegten Systemen durch technische Probleme oder Cyber-Angriffe zu Beeinträchtigungen, kann dies erhebliche Versorgungsengpässe auslösen und sogar die öffentliche Sicherheit gefährden.
Deutlich wird die hohe Abhängigkeit der Gesellschaft von kritischen Infrastrukturen unter anderem an einem Hacker-Angriff auf das Uniklinikum Düsseldorf im September 2020, der dazu führte, dass eine Patientin aufgrund eines umgeleiteten Rettungswagens starb.
Die zunehmende Digitalisierung und Vernetzung führt laut Experten der GH-Informatik GmbH und Entwickler von WOTAN Monitoring, einer Lösung zur automatischen Erkennung von IT-Problemen, mittel- und langfristig zu signifikant komplexeren Infrastrukturen von Unternehmen. Durch die über das Internet zur Verfügung gestellten Dienste steigen die Angriffsmöglichkeiten immens. Gerade bei kommunalen Betrieben und der Energiewirtschaft ist hier die Bevölkerung direkt betroffen, wenn es zu Ausfällen kommt. Der Schutz vor Cyber-Angriffen und die laufende Überwachung und Qualitätssicherung der zur Verfügung gestellten Dienste solcher Anbieter wird wichtiger den je.
IT-Sicherheit kritischer Infrastrukturen untersucht
Geteilt wird diese Einschätzung laut des Whitepapers „THE GLOBAL STATE OF INDUSTRIAL CYBERSECURITY“ des OT-Security-Spezialisten Claroty von einem Großteil der IT-Sicherheitsexperten. Fast drei Viertel der insgesamt 1.000 Umfrageteilnehmer aus den Vereinigten Staaten, Großbritannien, Deutschland, Frankreich und Australien sieht demnach Angriffe aus kritische Infrastrukturen als eine größere Bedrohung als Brüche der Datensicherheit.
Bei der Einschätzung der Cyber-Sicherheit gibt es regionale unter den IT-Sicherheitsexperten starke Unterschiede. Ein Großteil der Umfrageteilnehmer ist der Meinung, dass Industrienetzwerke (62 %) und die kritische Infrastruktur ihres Landes (60 %) ausreichend gegen Cyber-Angriffe geschützt sind. IT-Sicherheitsexperten in Deutschland (96 %) und Australien (93 %) sind verglichen mit ihren Kollegen in Großbritannien, den USA und Frankreich aber deutlich zuversichtlicher in Bezug auf den Schutz von kritischen Infrastrukturen der lokalen Industrie. Ähnliche Ergebnisse gibt es auch bei der kritischen Infrastrukturen in staatlicher Hand, von der ebenfalls IT-Sicherheitsexperten aus Deutschland (99 %) und Australien (90 %) der Ansicht sind, dass diese ausreichend gut geschützt sind.
Gefühlte oder tatsächliche IT-Sicherheit?
Ob die signifikanten Abweichungen durch einen stärkeren Pessimismus oder ein höheres Problembewusstsein ausgelöst sind oder ob sich die Absicherung der kritischen Infrastrukturen tatsächlich zwischen den untersuchten Ländern tatsächlich so stark unterscheiden, hat Claroty im Rahmen der Studie nicht untersucht. In Deutschland könnte aber das Kritis-Programm des BSI, das auch systemrelevante Banken und Sparkassen umfasst, dazu beitragen, dass das gefühlte und tatsächliche Sicherheitsniveau im internationalen Vergleich hoch ist. In vielen anderen Ländern existieren vergleichbare Programme bisher nicht.
Energieversorgung besonders stark gefährdet
Als besonders durch Cyber-Angriffe bedroht nannten die IT-Sicherheitsexperten auf dem ersten Platz die Energieversorgung (45 %), gefolgt von Öl und Gas (21 %). Dabei gehen die größten Gefahren von Hacking (43 %) und Ransomware-Angriffen (33 %) aus. Ein prominentes Beispiel dafür ist der kürzlich erfolgte Angriff auf die Colonial Pipeline in den USA, der dazu führte, dass die Benzinversorgung in großen Teilen des Landes für mehrere Tage unterbrochen wurde.
Staat in der Verantwortung bei kritischen Infrastrukturen
Die Umfrageteilnehmer sehen beim Schutz kritischer Infrastrukturen fast einstimmig den Staat in der Verantwortung. Am höchsten ist die Zustimmung hier in Deutschland (100 %), gefolgt von Australien (98 %), Großbritannien (91 %), Frankreich (89 %) und den USA (87 %). Unklar bleibt weiterhin, wie der Staat neben der Ausarbeitung der rechtlichen Rahmenbedingungen zum Schutz der kritischen Infrastrukturen beitragen soll. Der Hauptteil der Arbeit muss also weiterhin durch die IT-Sicherheitsexperten selbst erfolgen, die in ihren jeweiligen Unternehmen die vorgegebenen Regeln umsetzen müssen.