Staat und Wirtschaft wollen IT-Infrastrukturen besser absichern

Das Bundeskabinett hat einen Umsetzungsplan für den bereits vorgezeichneten Grundriss zum Schutz der Informationsinfrastrukturen verabschiedet, in dem Behörden und Firmen mehr Kooperation geloben.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 5 Min.

Das Bundeskabinett hat heute eine Implementierungsskizze für den bereits vorgezeichneten "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI) verabschiedet. Hauptziel des "Umsetzungsplans Kritis" ist es, "die Lebensadern unserer Gesellschaft" besser abzusichern. Sonst könnten die wirtschaftliche Entwicklung, das Wohlergehen der Gesellschaft und die politische Stabilität gefährdet sein. Da der Staat in den meisten Fällen nicht Betreiber der für das Gemeinwohl wichtigen Infrastrukturen ist, holte das federführende Bundesinnenministerium frühzeitig Wirtschaftsvertreter und Verbände mit an Bord. Beide Seiten geloben in der Skizze, den Schutz kritischer Infrastrukturen "als wichtig nationale Aufgabe" zu sehen.

Als besonders vordringlich erscheint in dem die Plan Gewährleistung der IT-Sicherheit. "Viele Geschäftsmodelle basieren darauf, dass das Internet verfügbar ist", begründet Martin Schallbruch, IT-Direktor im Innenressort, diese Schwerpunktsetzung. Über das datenpaketbasierte Netz werde etwa auch die Kommunikation mit Lieferanten abgewickelt. Störungen über einen längeren Zeitplan hinweg könnten so einen "entsprechenden Schaden" mit Versorgungsengpässen und erheblichen Störungen auch der inneren Sicherheit auslösen. Weiter den "Kritis" zugeordnet werden hierzulande neben der Informationstechnik und der Telekommunikation Transport und Verkehr, Energie, Gefahrstoffe, das Finanz- und Versicherungswesen, allgemein der Bereich Versorgung, Verwaltung und Justiz sowie "sonstige" Institutionen wie die Medien, Großforschungseinrichtungen oder herausragende Bauwerke.

Leitbild des Umsetzungsvorhabens ist es, "die Kompetenz und das Know-how der deutschen Wirtschaft und der Bundesregierung in der gemeinsamen Verantwortung für die IT-Sicherheit" in den genannten Infrastrukturen zu beschreiben. Für den Bund selbst gibt es einen eigenen, als vertraulich eingestuften Umsetzungsplan. Dieser sei weitgehend parallel zum Kritis-Vorbild angelegt und betreffe rund 400 Behörden, verriet Schallbruch bei einem Pressegespräch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) achte dabei auf einheitliche Regeln, mit denen Erkenntnisse über Sicherheitsvorkommnisse auch verwaltungsintern ausgetauscht werden sollen. Dabei sorge das BSI auch für einen "gemeinsamen Krisenreaktionsprozess" durch die Benennung zuständiger IT-Sicherheitsverantwortlicher.

Generell liegt dem Kritis-Plan laut Schallbruch "ein sehr breiter Sicherheitsbegriff" zugrunde. So gehe es im Bereich Prävention um die Identifikation kritischer Geschäftsprozesse und Alternativen. Als zweites großes Feld bezeichnete der IT-Direktor die Ausarbeitung von Krisenreaktionsmechanismen. "Fest miteinander vereinbart" hätten Staat und Wirtschaft dabei auch entsprechende praxisnahe Übungen. Der dritte Sektor ist mit dem Begriff "Nachhaltigkeit" umschrieben. Dabei sollen etwa Investitionen in Forschung und Entwicklung zu IT-Sicherheitsmechanismen festgezurrt werden.

Konkret nachgefragt, was es bei der IT Security im Unternehmensbereichzu verbessern gibt, halten sich Branchenvertreter aus Imagegründen mit Selbstkritik gern zurück. Man habe keine "Monokultur" im Einsatz und investiere schon seit Jahren in die Abwehr informationstechnischer Angriffe, heißt es etwa im Finanzumfeld. Das mache es zumindest schwierig, mit einem Streich die gesamte deutsche Bankenlandschaft zu erfassen. Hinweise auf derlei gezielte Großattacken lägen auch nicht vor. Einen Mehrwert erhoffen sich die Geldverwalter aber von einem verbesserten Erfahrungsaustausch über Branchengrenzen hinweg.

Potenzial für umfassende Störungen sehen andere Firmen durchaus. Bei der Deutschen Bahn etwa sei beim Einsatz eines Güterzuges "alles rechnergesteuert", heißt es bei dem Verkehrsanbieter. Container würden über das Internet gesucht, der Zug per IT disponiert und die Trasse verfügbar gemacht, mit Personal besetzt und mit Strom versorgt. Zugleich seien die Rechenzentren aber komplett gespiegelt, um Ausfällen entgegenzuwirken. "Die Abhängigkeit von der IT wächst beständig", weiß auch Michael Freiberg vom Verband der Mineralölwirtschaft. Extremes Beispiel seien "menschenlose Ölplattformen". Im Notfall wäre man zwar momentan noch in der Lage, Prozesse händisch zu steuern. Doch das Risiko steige, zumal auch vermehrt Naturereignisse "ganze Rechenzentren auslöschen könnten". Wenn einer der Partner im Kfz- und Versicherungswesen nicht mehr netzgesteuert kommunizieren könne, warnt auch ein Experte vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV), "dann hätten wir ein volkswirtschaftliches Problem".

Die Beamten im Innenministerium haben die angeblich aus China stammenden Trojaner-Angriffe auf Bundesbehörden nachdenklich gemacht. "Finstere dritte Mächte" hätten entsprechende Versuche unternommen, weiß Staatssekretär August Hanning. Diese seien aber "erfolgreich abgewehrt worden". IT-Einbrüche gehören laut dem Ex-Chef des Bundesnachrichtendienstes "zum Instrumentarium moderner Geheimdienste", wobei deren Angriffsstärke "schon eine andere Qualität hat als bei privaten Kriminellen". Genauso wie die großflächigen Denial-of-Service-Attacken (DoS) auf estnische Regierungsserver, die Hanning zufolge 22 Tage gedauert haben, würden derlei Vorfälle "zu zusätzlicher Aufmerksamkeit" ermahnen. Zumal hierzulande das Bundesverwaltungsamt (BVA), das Portale für die Bundesbehörden betreibt, bereits ins Visier von Angreifern geraten sei.

Generell sieht Schallbruch die Bundesregierung gemeinsam mit den USA an der Spitze "der Champions League", was die Abwehr von IT-Störfällen angeht. Die Bundesverwaltung habe "schon über 70 Millionen Euro für IT-Sicherheitsmaßnahmen abgestellt". Es müsse also nicht mehr Geld, sondern dieses gezielter ausgegeben werden. Gemeinsam mit den Bundesländern arbeite man unter der Federführung Hessens daran, ein gemeinsames Behördennetz im Rahmen des Projekts "Deutschland Infrastruktur" aufzubauen. Dabei solle nach und nach ein einheitliches Sicherheitsniveau für die gesamte Kommunikation vom Ministerium bis zum Bürgermeisteramt erreicht werden. Grundstandards dafür würden bis Ende des Jahres festgelegt. Die Integration aller vorhandenen und weiter genutzten Computernetze der Verwaltung würde aber noch viele Jahre dauern. (Stefan Krempl) / (anw)