| 1 |
I. Einleitung |
| 2 |
|
| 3 |
1. Ausgangslage |
| 4 |
|
| 5 |
• Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine |
| 6 |
vernetzte und effiziente Welt. Gleichzeitig besteht eine |
| 7 |
sehr starke IKT-Abhängigkeit auf nationaler und |
| 8 |
internationaler Ebene. Betroffen sind Gesellschaft, Politik |
| 9 |
und Wirtschaft. |
| 10 |
• Die umfassende Vernetzung durch das Internet eröffnet |
| 11 |
Außentätern neue Angriffsmöglichkeiten. Vernetzte |
| 12 |
Strukturen werden allerdings nicht nur über das Internet |
| 13 |
bedroht, sondern v.a. auch durch Innentäter. |
| 14 |
• Die Komplexität (der Infrastruktur selbst, aber auch der |
| 15 |
Vernetzung mit anderen Infrastrukturen wie z. B. |
| 16 |
Stromversorgung und Ernährungsversorgung) und die |
| 17 |
Geschwindigkeit des Datenaustauschs könnten dazu führen, |
| 18 |
dass IKT technisch schwieriger beherrschbar wird. |
| 19 |
• In Zukunft wird noch mehr IKT eingesetzt werden (z. B. |
| 20 |
Smart Grids) und durch die verstärkte Vernetzung steigt |
| 21 |
auch die Anfälligkeit. |
| 22 |
• Besondere Problemlage bei privatwirtschaftlicher |
| 23 |
Erbringung kritischer Infrastrukturleistungen, soweit |
| 24 |
„Service-Level“ und Sicherheitsniveau unzureichend geregelt |
| 25 |
sind. |
| 26 |
|
| 27 |
2. Definitionen |
| 28 |
|
| 29 |
Der Schutz kritischer Informationsinfrastrukturen (CIIP – |
| 30 |
Critical Information Infrastructure Protection): IKT-Sektor |
| 31 |
an sich sowie die IKT-basierten Infrastrukturen der anderen |
| 32 |
Sektoren |
| 33 |
• physische Komponenten (Computer, Satelliten, |
| 34 |
Glasfaserkabel) |
| 35 |
• Software, das Internet selbst (Zugang, Kommunikation), |
| 36 |
IT-Netzwerke, kritische Informationen, Sicherheitskonzepte |
| 37 |
|
| 38 |
Der Schutz kritischer Infrastrukturen (KRITIS) (CIP – |
| 39 |
Critical Infrastructure Protection): „Kritische |
| 40 |
Infrastrukturen sind Organisationen und Einrichtungen mit |
| 41 |
wichtiger Bedeutung für das staatliche Gemeinwesen, bei |
| 42 |
deren Ausfall oder Beeinträchtigung nachhaltig wirkende |
| 43 |
Versorgungsengpässe, erhebliche Störungen der öffentlichen |
| 44 |
Sicherheit oder andere dramatische Folgen eintreten |
| 45 |
würden.“ (BMI, in: Nationaler Plan zum Schutz der |
| 46 |
Informationsstrukturen (NPSI)) |
| 47 |
|
| 48 |
Wir möchten in der Projektgruppe nur kritische |
| 49 |
Informationsinfrastrukturen behandeln, da die sonstigen |
| 50 |
Teile nicht unter die Gesamtkompetenz der |
| 51 |
Enquete-Kommission Internet und digitale Gesellschaft |
| 52 |
fallen. Die kritischen Informationsinfrastrukturen sollen |
| 53 |
auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit |
| 54 |
anderen kritischen Infrastrukturen dargestellt werden. |
| 55 |
|
| 56 |
|
| 57 |
|
| 58 |
|
| 59 |
|
| 60 |
|
| 61 |
|
| 62 |
|
| 63 |
II. Risikoanalyse |
| 64 |
|
| 65 |
1. Bedrohungen |
| 66 |
|
| 67 |
Als Ursachen für Gefährdungen des Internets sind |
| 68 |
technisches und menschliches Versagen, Naturgefahren und |
| 69 |
gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen |
| 70 |
der Enquete-Kommission Internet und digitale Gesellschaft |
| 71 |
erscheint es sinnvoll, sich auf die IT-Angriffe zu |
| 72 |
konzentrieren, da andere Gefährdungspotenziale an anderen |
| 73 |
Stellen durch den Deutschen Bundestag schon eingehend |
| 74 |
betrachtet wurden. |
| 75 |
|
| 76 |
Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich |
| 77 |
IKT in zwei Bereichen: die Infrastruktur ist einerseits |
| 78 |
Begehungsmittel und andererseits Angriffsobjekt. |
| 79 |
|
| 80 |
1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163 |
| 81 |
endgültig)] |
| 82 |
z. B. Advanced Persistent Threats für wirtschaftliche oder |
| 83 |
politische Spionage, Identitätsdiebstahl, z. B. Angriffe |
| 84 |
auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z. |
| 85 |
B. französisches Finanzministerium) |
| 86 |
|
| 87 |
Akteure [FN: z.B. Hacker, Organisierte |
| 88 |
Kriminalität/Terroristen, Unternehmen, Staaten] |
| 89 |
|
| 90 |
Schäden [FN: z.B. personell, materiell, finanziell, |
| 91 |
immateriell/Ansehen, öffentliche/nationale Sicherheit] |
| 92 |
|
| 93 |
1.2 Störung |
| 94 |
z. B. DDoS-Angriffe |
| 95 |
Akteure |
| 96 |
Schäden |
| 97 |
z.B. Spamming Botnetze (z. B. Conficker-Netz) |
| 98 |
Akteure |
| 99 |
Schäden |
| 100 |
z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte |
| 101 |
Kommunikationsmittel |
| 102 |
Akteure |
| 103 |
Schäden |
| 104 |
|
| 105 |
1.3 Zerstörung (noch nicht passiert) |
| 106 |
z. B. intelligente Netze |
| 107 |
Akteure |
| 108 |
Schäden |
| 109 |
|
| 110 |
|
| 111 |
2. Vorhandene Regelungen und Maßnahmen |
| 112 |
|
| 113 |
2.1 Europäische Ebene |
| 114 |
2.1.1 Initiativen Europäische Kommission |
| 115 |
2.1.2 ENISA |
| 116 |
|
| 117 |
|
| 118 |
2.2 Bundesebene |
| 119 |
2.2.1 Federführend BMI |
| 120 |
• Mit den Abteilungen KM (Krisenmanagement und |
| 121 |
Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT- |
| 122 |
Direktor. |
| 123 |
• BSI |
| 124 |
o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum) |
| 125 |
o Übungen – UP-KRITIS-Kontext |
| 126 |
o SCADA-Sicherheit |
| 127 |
• Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV |
| 128 |
• AK KRITIS: Arbeitskreis von Behördenvertretern und |
| 129 |
ausgewählten Infrastrukturunternehmen |
| 130 |
• Maßnahmen/Instrumente: |
| 131 |
o Nationale Strategie zum Schutz Kritischer Infrastrukturen |
| 132 |
(KRITIS-Strategie) (2009) |
| 133 |
o Umsetzungsplan UP KRITIS (2007) |
| 134 |
o Nationaler Plan zum Schutz der |
| 135 |
Informationsinfrastrukturen (2005) + 2 Umsetzungspläne, |
| 136 |
2007 verabschiedet |
| 137 |
2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi, |
| 138 |
Bundesnetzagentur, BMJ, BMVg, BMBF, BND |
| 139 |
2.3 Internationale Ebene |
| 140 |
2.3.1 NATO |
| 141 |
2.3.2 UN |
| 142 |
2.3.3 G8 |
| 143 |
2.3.4 Internet Governance Forum |
| 144 |
|
| 145 |
III. Strategien |
| 146 |
Aufgaben Staat/Wirtschaft/Gesellschaft bei: |
| 147 |
1. Prävention & Abwehrbereitschaft |
| 148 |
o technisch |
| 149 |
- Entwicklung Hardware |
| 150 |
- Entwicklung Software |
| 151 |
- Gestaltung Informationsinfrastrukturen |
| 152 |
o organisatorisch |
| 153 |
o menschlich/gesellschaftlich |
| 154 |
- Medienkompetenz |
| 155 |
o gesetzgeberisch |
| 156 |
o international |
| 157 |
|
| 158 |
|
| 159 |
|
| 160 |
2. Erkennen und Reaktion |
| 161 |
o technisch |
| 162 |
o organisatorisch |
| 163 |
o menschlich/gesellschaftlich |
| 164 |
o gesetzgeberisch |
| 165 |
o international |
| 166 |
|
| 167 |
3. Folgeminderung und Wiederherstellung |
| 168 |
o technisch |
| 169 |
o organisatorisch |
| 170 |
o menschlich/gesellschaftlich |
| 171 |
o gesetzgeberisch |
| 172 |
o international |
| 173 |
|
| 174 |
4. Nachhaltigkeit |
| 175 |
o technisch |
| 176 |
o organisatorisch |
| 177 |
o menschlich/gesellschaftlich |
| 178 |
o gesetzgeberisch |
| 179 |
o international |
| 180 |
|
| 181 |
IV. Handlungsempfehlungen |
| 182 |
|
| 183 |
|
Vorschlag
Meinungsfreiheit sichern
Es sollte im Internet ein freies Meinungsforum geben, indem jeder anonym seine Meinung posten kann. Dieses wird von zufällig aus der Bevölkerung gewählten Freiwilligengruppe kontrolliert. Entscheidend, ob eine Meinung gegen z.B. das Persönlichkeitsrecht verstößt, tut nur die Gruppe. Die Freiwilligengruppe arbeitet vollkommen anonym. D.h. die einzelnen Kontroll-Bürger kennen sich nicht gegenseitig. Außerdem kann niemand sie kontrollieren. Sie sind nur ihrem Gewissen unterworfen. In dem öffentlichen Meinungsforum sollen ausschließlich Texte gepostet werden können. Jemand, der im Meinungsforum postet, kann in keinem Fall bestraft werden. Es ist aber möglich, einzuschränken wieviele Beiträge pro Internetanschluss am Tag gestellt werden können. Dies sollte aber nicht einfach zu verändern sein.
Daneben sollte es noch ein Offline-Meinungsforum geben, in dem alle hier beschriebenen Vorgänge mit mechanischen Schreibmaschinen und Papier stattfinden.