Mehr Sicherheit für kritische Infrastrukturen

Kürzlich einigte sich das EU-Parlament auf eine neue Cybersicherheits-Richtlinie. Diese soll kritische Infrastrukturen besser schützen. Nach langen Verhandlungen hat sich das EU-Parlament auf eine neue Richtlinie zur Cybersicherheit geeinigt. Diese ist dem Schutz kritischer Infrastrukturen gewidmet. Betreiber solcher Infrastrukturen aus den Bereichen Energie, Transport, Gesundheit und Finanzwesen sollen zukünftig besonderen Anforderungen genügen müssen und verpflichtet sein, sicherheitsrelevante Vorfälle den zuständigen Behörden zu melden. Das ist ein sinnvoller Schritt in einer Welt, die zunehmend auf Computer setzt und dadurch fortschrittlich, aber auch verwundbar geworden ist.

Kritische Infrastrukturen bedroht durch IT-Angriffe

In den letzten Jahren ist, insbesondere, aber nicht nur unter IT-Sicherheits-Experten, häufig die Rede von “kritischen Infrastrukturen”. Wikipedia definiert diese als “Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden”. Solche Strukturen sind beispielsweise Krankenhäuser und medizinische Labore, das Transportnetz, die öffentliche Strom- und Wasserversorgung, aber auch das Telekommunikationsnetz.

Schon immer waren diese Infrastrukturen bei Kriegen oder Terroranschlägen bedroht. In unserer heutigen, vernetzten Welt kommt aber eine weitere Bedrohung hinzu: Die durch Angriffe per IT. Viele kritische Infrastrukturen sind vernetzt. Das bietet einige Vorteile und erlaubt beispielsweise eine gezielte Steuerung und Datenanalyse. Es macht die Systeme aber auch angreifbar für Schadsoftware oder Hacks. Bekanntestes Beispiel ist der Sabotage-Trojaner Stuxnet, der vor einigen Jahren eine gesamte Fabrik im Iran lahm legte und sich anschließend (wohl von den Entwicklern unbeabsichtigt) in der halben Welt verbreitete.

Ein attraktives Ziel für organisierte Kriminelle, Terroristen und Saboteure

Angreifer, die Interesse an der Sabotage kritischer Infrastrukturen haben könnten, gibt es genug, und die wenigsten von ihnen dürften gelangweilte Teenager aus gutem Hause sein, wie das noch immer populäre “Hackers”- und “Wargames”-Klischee es nahe legt.

Vielmehr könnten handfeste Profit-Interessen hinter einem Angriff stehen, sei es in Form von Börsen-Manipulation oder schlichter Erpressung. Schon lange sind viele IT-Kriminelle genauso hoch spezialisiert, professionell und skrupellos wie diejenigen, die durch andere Formen der organisierten Kriminalität auf sich aufmerksam machen.

Daneben bieten kritische Infrastrukturen auch einer anderen Form von Kriminellen ein attraktives Ziel: Terroristen, die vor allem Chaos, Furcht und mediale Aufmerksamkeit zum Ziel haben. All das ließe sich mit einem gezielten Angriff etwa auf das Stromnetz oder das Internet ohne weiteres erreichen.

Last but not least: Auch staatliche oder vom Staat gesponserte Akteure könnten durchaus ein Interesse daran haben, kritische Infrastrukturen anderer Nationen anzugreifen. So handelte es sich beim bereits erwähnten Stuxnet-Trojaner wahrscheinlich um eine Entwicklung der USA und Israels, die das iranische Atomprogramm sabotieren sollte. In Osteuropa gehören Angriffe auf Netzwerk- und Medienressourcen verfeindeter Staaten schon seit Jahren zum Repertoire bei Konflikten. Vielfach wird gar über die Aufrüstung mit regelrechten Cyberwaffen diskutiert – oder diese von den Geheimdiensten einfach stillschweigend und ohne Diskussion durchgeführt.

Sinnvolle Sicherheitsmaßnahmen statt Panikmache

All das sollte nicht dazu führen, dass Menschen in Panik verfallen oder auf die vielen Vorteile des Internet und anderer moderner Ressourcen verzichten. Vielmehr sind sinnvolle Strategien gefragt, wie kritische Infrastrukturen abgesichert werden können. Absolute Sicherheit kann es nicht geben – ein Sicherheitsniveau, bei dem wahrscheinliche Angriffsszenarien scheitern und zudem ein Plan B für den Notfall erarbeitet wird, ist dagegen machbar.

Ein Schritt in die richtige Richtung

Der nun gefasste Beschluss des EU-Parlaments geht in die richtige Richtung. Ihm zufolge sollen Betreiber kritischer Infrastrukturen – wozu künftig auch besonders bedeutsame Online-Kaufhäuser wie eBay und Amazon zählen – EU-weit einheitlich definiert und erfasst werden. Für sie sollen dann besondere Richtlinien bei der Absicherung ihrer Systeme gelten. Zudem sollen sie verpflichtet werden, Angriffe und andere sicherheitsrelevante Vorfälle umgehend zu melden. Daneben soll auch die Kooperation der EU-Staaten bei der IT-Sicherheit weiter verbessert werden.

All das ist durchdacht, vernünftig und definitiv ein Schritt in die richtige Richtung. Es ist sinnvoll, entsprechende Infrastrukturen zu identifizieren und besonders abzusichern – und das kann am besten gelingen, wenn dabei direkt die Betreiber und Entwickler dieser Infrastrukturen in die Pflicht genommen werden.

Es bleibt zu hoffen, dass diese Maßnahmen effizient umgesetzt werden und nicht in der berüchtigten EU-Bürokratie versacken. Ein spektakulärer Angriff auf kritische Infrastrukturen nämlich könnte erhebliche Folgen für unsere Gemeinschaft und letztendlich auch für unsere Freiheit haben.


Image (adapted) “Cyber attacks” by Christiaan Colen (CC BY-SA 2.0)


 

Schlagwörter: , , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus