KRITISCHE INFRASTRUKTUR (KRITIS) 34 DSD 2 | 2023 Die im November 2022 vom Parlament und Rat der EU angenommene NIS2- Direktive bildet den europäischen Rahmen für IT-Sicherheit der KRITIS-Betreiber. Sie legt Mindeststandards für die Regulierung von KRITIS fest. Spätestens ab Oktober 2024 müssen Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. Euro Umsatz Cybersecurity-Pflichten umsetzen. Die NIS2-Direktive erhöht die kritischen Essential-Sektoren auf sieben. Die Sektoren von „important entities“ auf elf. Cybersecurity muss nach dieser Direktive auch in Lieferketten betrachtet werden. Mögliche Geldbußen und Enforcement Actions werden deutlich ausgeweitet. Wie viel KRITIS- Betreiber 2021 aufgrund der ersten NIS-Direktive in Cybersicherheit investiert haben, zeigt der „NIS Investments 2022“-Report von ENISA (European Union Agency for Cybersecurity). Danach geben sie nur noch knapp 7 Prozent des IT-Budgets für IT- Sicherheit aus. Ein Drittel aller KRITIS-Betreiber im Energiesektor überwacht keine einzige kritische Betriebstechnik (OT) durch ein Security Operation Center. Schutz von Strom- und Kommunikationsnetzen Eine flächendeckende Überwachung der im Erdboden oder auf dem Meeresboden verlaufenden Strom- und Kommunikationskabel ist ausgeschlossen. Allein die Deutsche Telekom hat schon bisher ein Glasfasernetz von mehr als 650.000 km im Boden verlegt. Das deutsche Stromnetz verläuft über 1,8 Mio. km. Ein größerer Stromausfall könnte zum großflächigen Ausfall der Grundversorgung führen. Auch das Kabelnetz der Deutschen Bahn mit 34.000 km entlang des Schienennetzes kann nicht hundertprozentig geschützt werden. Das heißt aber nicht, dass der Betreiber dieses Netzes möglichen extremistisch motivierten Angriffen hilflos ausgeliefert ist. Wichtig ist vor allem die Verlegung redundanter Kabelnetze. Dass die Saboteure in Herne und Berlin wussten, wie sie die Redundanz überwinden konnten, lässt auf Insiderwissen und dessen mangelhafte Geheimhaltung schließen. Wichtig ist auch, dass eine Kabeldurchtrennung mithilfe sensorischer Überwachung lokalisiert und dann schnell behoben werden kann. Im August 2022 veröffentlichte die Bundesnetzagentur ein Strategiepapier zur Resilienz der deutschen Kommunikationsnetze. Schutz von Versorgungsleitungen Auch ein hundertprozentiger Schutz von Versorgungsleitungen im Energiesektor und der Wasserversorgung erscheint unmöglich. Das Erdgas-Fernnetz ist allein auf deutschem Boden über 40.000 km lang. Zwar sind die Stahlröhren überwiegend in 1,5 m Tiefe vergraben. Ein Anschlag wird dadurch aber nicht ausgeschlossen. Der Bundesverband der Energie- und Wasserwirtschaft hält flächendeckende Ausfälle in der Energie- und Wasserversorgung für sehr unwahrscheinlich. Pipelines auf dem Meeresboden zu schützen, ist besonders schwierig. Die Tausenden Sensoren, die der Betreiber von Nord Stream eingebaut hatte, zeigten die Gefahr erst, als es zu spät war. Umso wichtiger ist es, ein Gasleck rasch detektieren zu können. Forscher der Chinese Academy of Science haben eineMethode entwickelt, das 3D-Bild einer Leckgaswolke zu erstellen, das detaillierte Informationen über das Leck, dessen Volumen und die Gaskonzentration liefert. Um ein 3D-Bild anzufertigen, nutzen die Forscher zwei Systeme, um 2D-Messungen einer Gaswolke aus verschiedenen Perspektiven zu erhalten. Diese Informationen werden räumlich mit Standortangaben verknüpft. Der neue Ansatz könnte zur Früherkennung, Risikobewertung und Bestimmung der besten Methode zur Behebung des Gaslecks eingesetzt werden. Schutz von Knotenpunkten und Anlagen Natürlich lassen sich Knotenpunkte in den Kabelnetzen und Versorgungsleitungen und einzelne KRITIS-Anlagen – etwa Solarparks, Windräder, Überspannwerke, Kraft- und Wasserwerke, Rechenzentren, Krankenhäuser – weit besser als lineare Infrastrukturen mit baulichen Mitteln, mechanischer und elektronischer Sicherheitstechnik vor Angriffen schützen. Solche Anlagen sind andererseits sowohl für Saboteure wie für Cyberkriminelle, die die Steuerungssysteme angreifen, um Daten mit Ransomware zu verschlüsseln und Lösegeld zu erbeuten, leicht erkennbare und attraktive Ziele. Als Knotenpunkt der Internet- und Telefonverbindungen ist das deutsche Commercial Internet Exchange in Frankfurt am Main bekannt. Knotenpunkte von Tiefseekabeln, die auf Land treffen, werden teilweise rund um die Uhr kontrolliert. Anlagen und Betriebe von KRITIS bedürfen eines doppelten Perimeterschutzes, der aus Ummauerung oder Umzäunung sowie Überwachung durch Videoüberwachung mit Infrarotkameras und intelligenter Bildanalyse sowie im Boden verlegter oder in den Zaun integrierter Detektionskabel besteht. Insbesondere Glasfaser-Überwachungssysteme sind in der Lage, eine zuverlässige, vollautomatische Überwachung des Perimeters zu gewährleisten. Bei Beschädigung des Zaunes kommt es zum Kabelbruch und somit zur Unterbrechung der Signalübertragung. Dadurch wird die EMA aktiviert. Besonders schutzbedürftige Räume und Anlagen innerhalb von KRITIS, etwa das Rechenzentrum oder zum Beispiel Räume innerhalb eines Krankenhauses, in denen sich besonderswertvollemedizinischeGeräte befinden, sind zusätzlich durch Zutrittskontrolle mit Zwei-Faktor-Authentifizierung zu schützen. Fachleute warnen davor, dass Energieversorgungsanlagen durch das Eindringen in IT-Netzwerke über periphere Infrastrukturelemente angreifbar werden, etwa wenn unbemannte Spannwerke an das Netzwerk angebunden sind. Als Lösungsansatz wird eine Kopplung der Liegenschaftsüberwachung, der betrieblichen Kontrollsysteme und der ITSicherheitssysteme durch die Zusammenführung der Daten in einem gemeinsamen Lagebild vorgeschlagen. Notfallplanung Zum Schutz von KRITIS gehört jedenfalls auch eine umfassende Notfallplanung für den Fall, dass ein Angriff oder eine sonstige massive Störung oder Zerstörung nicht verhindert werden konnte. Sie basiert auf einer umfassenden, auf die jeweilige KRITIS spezifizierte Bedrohungs-, Gefahren- und Schwachstellenanalyse. Die Notfallplanung muss die Folgen entsprechender Angriffe und Beeinträchtigungen durch andere Einflussfaktoren auf die KRITIS analysieren, mögliche Versorgungsalternativen suchen und vorbereiten.
RkJQdWJsaXNoZXIy Mjc4MQ==