Feueralarmübungen sind Teil jeder Einrichtung. Etwa einmal im Jahr, müssen Mitarbeitende zeigen, wie sie sich korrekt bei einem Feuer verhalten müssen. Die Gefahr von Feuerausbrüchen ist zwar jederzeit möglich, aber eher unwahrscheinlich. Anders sieht es aus bei der Cyber-Angriffsgefahr aus. „Die Eintrittswahrscheinlichkeit für einen Cyber-Angriff ist höher als die Gefahr eines Feuers in einem Gebäude“, sagt Thomas Popp, Staatssekretär für Digitale Verwaltung und Verwaltungsmodernisierung und CIO des Freistaates Sachsen. Notfallübungen, die für einen Cyber-Angriff sensibilisieren, haben die wenigsten Unternehmen, resümiert Popp.
Besonders schutzwürdig seien dabei Kritische Infrastrukturen (KRITIS). Sie seien – wie Nordstream 1 und 2 und die Kabel der Bahn jüngst gezeigt haben – auch physisch gefährdet. Auch die öffentliche Verwaltung und der Staat fallen laut Popp unter KRITIS – wenngleich sie nicht durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) der Regulierung unterliegen.
Trotz der zunehmenden Gefahr, die KRITIS ausgesetzt sind, sieht Ministerialrat Andreas Reisen, Referatsleiter Cybersicherheit für die Wirtschaft und Gesellschaft im Bundesministerium des Innern und für Heimat (BMI) „noch keine breit angelegten Kampagnen gegen KRITIS in Deutschland“. Dennoch würden Supply-Chain-Attacken zunehmen, also Angriffe auf Lieferketten, die viele Bereiche in ihrer Arbeit beeinträchtigen. Aus diesen Grund fordert der Referatsleiter auf der protekt 2022, Lieferanten und Dienstleisterverfügbarkeit für Unternehmen mit ausländischen Anteilsstrukturen besonders in den Blick zu nehmen. Des Weiteren verlangte er eine Ausweitung der Meldepflichten, die auch für physische KRITIS-Vorfälle gelten sollen. Aktuell sei im BSIG der Fokus vorrangig auf IT-Störungen gerichtet.
Das BMI plant aktuell, „den generellen Erfahrungsaustausch, wenn es sich um akute, noch anhaltende, Störungen handelt, zu verstärken“, so Reisen. Da Ausfälle von kritischen Dienstleistungen auf lokalen, regionaler oder nationaler Ebene zukünftig nicht auszuschließen sind, muss mit den Betreibenden früher und häufiger in den Austausch gegangen werden.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet man sich für verstärkte Sabotageakte auf KRITIS vor: „Das werden wir in unsere Szenarien einbauen“, so Dr. Timo Hauschild, Fachbereichsleiter für Kritische Infrastrukturen im BSI. Der IT-Experte appellierte an die KRITIS-Einrichtungen, sich resilienter gegen Ausfallszenarien im Bereich Internet und IT zu machen. „Es ist im Allgemeinen zu empfehlen, unterschiedliche Soft- und Hardwareprodukte im Einsatz zu haben.“ Er appellierte ferner, sich bei der 2007 vom BSI gegründeten UP KRITIS zu beteiligen. Dabei handelt es sich um eine öffentlich-private Kooperation zwischen Betreibern von KRITIS, deren Verbänden und den zuständigen staatlichen Stellen. „Der Austausch ist aktuell wichtiger denn je“, resümiert der Abteilungsleiter.
