| 1 | I. Einleitung |
| 2 | |
| 3 | 1. Ausgangslage |
| 4 | |
| 5 | • Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine |
| 6 | vernetzte und effiziente Welt. Gleichzeitig besteht eine |
| 7 | sehr starke IKT-Abhängigkeit auf nationaler und |
| 8 | internationaler Ebene. Betroffen sind Gesellschaft, Politik |
| 9 | und Wirtschaft. |
| 10 | • Die umfassende Vernetzung durch das Internet eröffnet |
| 11 | Außentätern neue Angriffsmöglichkeiten. Vernetzte |
| 12 | Strukturen werden allerdings nicht nur über das Internet |
| 13 | bedroht, sondern v.a. auch durch Innentäter. |
| 14 | • Die Komplexität (der Infrastruktur selbst, aber auch der |
| 15 | Vernetzung mit anderen Infrastrukturen wie z. B. |
| 16 | Stromversorgung und Ernährungsversorgung) und die |
| 17 | Geschwindigkeit des Datenaustauschs könnten dazu führen, |
| 18 | dass IKT technisch schwieriger beherrschbar wird. |
| 19 | • In Zukunft wird noch mehr IKT eingesetzt werden (z. B. |
| 20 | Smart Grids) und durch die verstärkte Vernetzung steigt |
| 21 | auch die Anfälligkeit. |
| 22 | • Besondere Problemlage bei privatwirtschaftlicher |
| 23 | Erbringung kritischer Infrastrukturleistungen, soweit |
| 24 | „Service-Level“ und Sicherheitsniveau unzureichend geregelt |
| 25 | sind. |
| 26 | |
| 27 | 2. Definitionen |
| 28 | |
| 29 | Der Schutz kritischer Informationsinfrastrukturen (CIIP – |
| 30 | Critical Information Infrastructure Protection): IKT-Sektor |
| 31 | an sich sowie die IKT-basierten Infrastrukturen der anderen |
| 32 | Sektoren |
| 33 | • physische Komponenten (Computer, Satelliten, |
| 34 | Glasfaserkabel) |
| 35 | • Software, das Internet selbst (Zugang, Kommunikation), |
| 36 | IT-Netzwerke, kritische Informationen, Sicherheitskonzepte |
| 37 | |
| 38 | Der Schutz kritischer Infrastrukturen (KRITIS) (CIP – |
| 39 | Critical Infrastructure Protection): „Kritische |
| 40 | Infrastrukturen sind Organisationen und Einrichtungen mit |
| 41 | wichtiger Bedeutung für das staatliche Gemeinwesen, bei |
| 42 | deren Ausfall oder Beeinträchtigung nachhaltig wirkende |
| 43 | Versorgungsengpässe, erhebliche Störungen der öffentlichen |
| 44 | Sicherheit oder andere dramatische Folgen eintreten |
| 45 | würden.“ (BMI, in: Nationaler Plan zum Schutz der |
| 46 | Informationsstrukturen (NPSI)) |
| 47 | |
| 48 | Wir möchten in der Projektgruppe nur kritische |
| 49 | Informationsinfrastrukturen behandeln, da die sonstigen |
| 50 | Teile nicht unter die Gesamtkompetenz der |
| 51 | Enquete-Kommission Internet und digitale Gesellschaft |
| 52 | fallen. Die kritischen Informationsinfrastrukturen sollen |
| 53 | auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit |
| 54 | anderen kritischen Infrastrukturen dargestellt werden. |
| 55 | |
| 56 | |
| 57 | |
| 58 | |
| 59 | |
| 60 | |
| 61 | |
| 62 | |
| 63 | II. Risikoanalyse |
| 64 | |
| 65 | 1. Bedrohungen |
| 66 | |
| 67 | Als Ursachen für Gefährdungen des Internets sind |
| 68 | technisches und menschliches Versagen, Naturgefahren und |
| 69 | gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen |
| 70 | der Enquete-Kommission Internet und digitale Gesellschaft |
| 71 | erscheint es sinnvoll, sich auf die IT-Angriffe zu |
| 72 | konzentrieren, da andere Gefährdungspotenziale an anderen |
| 73 | Stellen durch den Deutschen Bundestag schon eingehend |
| 74 | betrachtet wurden. |
| 75 | |
| 76 | Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich |
| 77 | IKT in zwei Bereichen: die Infrastruktur ist einerseits |
| 78 | Begehungsmittel und andererseits Angriffsobjekt. |
| 79 | |
| 80 | 1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163 |
| 81 | endgültig)] |
| 82 | z. B. Advanced Persistent Threats für wirtschaftliche oder |
| 83 | politische Spionage, Identitätsdiebstahl, z. B. Angriffe |
| 84 | auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z. |
| 85 | B. französisches Finanzministerium) |
| 86 | |
| 87 | Akteure [FN: z.B. Hacker, Organisierte |
| 88 | Kriminalität/Terroristen, Unternehmen, Staaten] |
| 89 | |
| 90 | Schäden [FN: z.B. personell, materiell, finanziell, |
| 91 | immateriell/Ansehen, öffentliche/nationale Sicherheit] |
| 92 | |
| 93 | 1.2 Störung |
| 94 | z. B. DDoS-Angriffe |
| 95 | Akteure |
| 96 | Schäden |
| 97 | z.B. Spamming Botnetze (z. B. Conficker-Netz) |
| 98 | Akteure |
| 99 | Schäden |
| 100 | z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte |
| 101 | Kommunikationsmittel |
| 102 | Akteure |
| 103 | Schäden |
| 104 | |
| 105 | 1.3 Zerstörung (noch nicht passiert) |
| 106 | z. B. intelligente Netze |
| 107 | Akteure |
| 108 | Schäden |
| 109 | |
| 110 | |
| 111 | 2. Vorhandene Regelungen und Maßnahmen |
| 112 | |
| 113 | 2.1 Europäische Ebene |
| 114 | 2.1.1 Initiativen Europäische Kommission |
| 115 | 2.1.2 ENISA |
| 116 | |
| 117 | |
| 118 | 2.2 Bundesebene |
| 119 | 2.2.1 Federführend BMI |
| 120 | • Mit den Abteilungen KM (Krisenmanagement und |
| 121 | Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT- |
| 122 | Direktor. |
| 123 | • BSI |
| 124 | o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum) |
| 125 | o Übungen – UP-KRITIS-Kontext |
| 126 | o SCADA-Sicherheit |
| 127 | • Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV |
| 128 | • AK KRITIS: Arbeitskreis von Behördenvertretern und |
| 129 | ausgewählten Infrastrukturunternehmen |
| 130 | • Maßnahmen/Instrumente: |
| 131 | o Nationale Strategie zum Schutz Kritischer Infrastrukturen |
| 132 | (KRITIS-Strategie) (2009) |
| 133 | o Umsetzungsplan UP KRITIS (2007) |
| 134 | o Nationaler Plan zum Schutz der |
| 135 | Informationsinfrastrukturen (2005) + 2 Umsetzungspläne, |
| 136 | 2007 verabschiedet |
| 137 | 2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi, |
| 138 | Bundesnetzagentur, BMJ, BMVg, BMBF, BND |
| 139 | 2.3 Internationale Ebene |
| 140 | 2.3.1 NATO |
| 141 | 2.3.2 UN |
| 142 | 2.3.3 G8 |
| 143 | 2.3.4 Internet Governance Forum |
| 144 | |
| 145 | III. Strategien |
| 146 | Aufgaben Staat/Wirtschaft/Gesellschaft bei: |
| 147 | 1. Prävention & Abwehrbereitschaft |
| 148 | o technisch |
| 149 | - Entwicklung Hardware |
| 150 | - Entwicklung Software |
| 151 | - Gestaltung Informationsinfrastrukturen |
| 152 | o organisatorisch |
| 153 | o menschlich/gesellschaftlich |
| 154 | - Medienkompetenz |
| 155 | o gesetzgeberisch |
| 156 | o international |
| 157 | |
| 158 | |
| 159 | |
| 160 | 2. Erkennen und Reaktion |
| 161 | o technisch |
| 162 | o organisatorisch |
| 163 | o menschlich/gesellschaftlich |
| 164 | o gesetzgeberisch |
| 165 | o international |
| 166 | |
| 167 | 3. Folgeminderung und Wiederherstellung |
| 168 | o technisch |
| 169 | o organisatorisch |
| 170 | o menschlich/gesellschaftlich |
| 171 | o gesetzgeberisch |
| 172 | o international |
| 173 | |
| 174 | 4. Nachhaltigkeit |
| 175 | o technisch |
| 176 | o organisatorisch |
| 177 | o menschlich/gesellschaftlich |
| 178 | o gesetzgeberisch |
| 179 | o international |
| 180 | |
| 181 | IV. Handlungsempfehlungen |
1-3 von 3
-
02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)
von EnqueteSekretariat, angelegtDiese Version hat keinen Text. -
02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)
von EnqueteSekretariat, angelegt -
02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)
von EnqueteSekretariat, angelegt1 I. Einleitung 2 3 1. Ausgangslage 4 5 • Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine 6 vernetzte und effiziente Welt. Gleichzeitig besteht eine 7 sehr starke IKT-Abhängigkeit auf nationaler und 8 internationaler Ebene. Betroffen sind Gesellschaft, Politik 9 und Wirtschaft. 10 • Die umfassende Vernetzung durch das Internet eröffnet 11 Außentätern neue Angriffsmöglichkeiten. Vernetzte 12 Strukturen werden allerdings nicht nur über das Internet 13 bedroht, sondern v.a. auch durch Innentäter. 14 • Die Komplexität (der Infrastruktur selbst, aber auch der 15 Vernetzung mit anderen Infrastrukturen wie z. B. 16 Stromversorgung und Ernährungsversorgung) und die 17 Geschwindigkeit des Datenaustauschs könnten dazu führen, 18 dass IKT technisch schwieriger beherrschbar wird. 19 • In Zukunft wird noch mehr IKT eingesetzt werden (z. B. 20 Smart Grids) und durch die verstärkte Vernetzung steigt 21 auch die Anfälligkeit. 22 • Besondere Problemlage bei privatwirtschaftlicher 23 Erbringung kritischer Infrastrukturleistungen, soweit 24 „Service-Level“ und Sicherheitsniveau unzureichend geregelt 25 sind. 26 27 2. Definitionen 28 29 Der Schutz kritischer Informationsinfrastrukturen (CIIP – 30 Critical Information Infrastructure Protection): IKT-Sektor 31 an sich sowie die IKT-basierten Infrastrukturen der anderen 32 Sektoren 33 • physische Komponenten (Computer, Satelliten, 34 Glasfaserkabel) 35 • Software, das Internet selbst (Zugang, Kommunikation), 36 IT-Netzwerke, kritische Informationen, Sicherheitskonzepte 37 38 Der Schutz kritischer Infrastrukturen (KRITIS) (CIP – 39 Critical Infrastructure Protection): „Kritische 40 Infrastrukturen sind Organisationen und Einrichtungen mit 41 wichtiger Bedeutung für das staatliche Gemeinwesen, bei 42 deren Ausfall oder Beeinträchtigung nachhaltig wirkende 43 Versorgungsengpässe, erhebliche Störungen der öffentlichen 44 Sicherheit oder andere dramatische Folgen eintreten 45 würden.“ (BMI, in: Nationaler Plan zum Schutz der 46 Informationsstrukturen (NPSI)) 47 48 Wir möchten in der Projektgruppe nur kritische 49 Informationsinfrastrukturen behandeln, da die sonstigen 50 Teile nicht unter die Gesamtkompetenz der 51 Enquete-Kommission Internet und digitale Gesellschaft 52 fallen. Die kritischen Informationsinfrastrukturen sollen 53 auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit 54 anderen kritischen Infrastrukturen dargestellt werden. 55 56 57 58 59 60 61 62 63 II. Risikoanalyse 64 65 1. Bedrohungen 66 67 Als Ursachen für Gefährdungen des Internets sind 68 technisches und menschliches Versagen, Naturgefahren und 69 gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen 70 der Enquete-Kommission Internet und digitale Gesellschaft 71 erscheint es sinnvoll, sich auf die IT-Angriffe zu 72 konzentrieren, da andere Gefährdungspotenziale an anderen 73 Stellen durch den Deutschen Bundestag schon eingehend 74 betrachtet wurden. 75 76 Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich 77 IKT in zwei Bereichen: die Infrastruktur ist einerseits 78 Begehungsmittel und andererseits Angriffsobjekt. 79 80 1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163 81 endgültig)] 82 z. B. Advanced Persistent Threats für wirtschaftliche oder 83 politische Spionage, Identitätsdiebstahl, z. B. Angriffe 84 auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z. 85 B. französisches Finanzministerium) 86 87 Akteure [FN: z.B. Hacker, Organisierte 88 Kriminalität/Terroristen, Unternehmen, Staaten] 89 90 Schäden [FN: z.B. personell, materiell, finanziell, 91 immateriell/Ansehen, öffentliche/nationale Sicherheit] 92 93 1.2 Störung 94 z. B. DDoS-Angriffe 95 Akteure 96 Schäden 97 z.B. Spamming Botnetze (z. B. Conficker-Netz) 98 Akteure 99 Schäden 100 z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte 101 Kommunikationsmittel 102 Akteure 103 Schäden 104 105 1.3 Zerstörung (noch nicht passiert) 106 z. B. intelligente Netze 107 Akteure 108 Schäden 109 110 111 2. Vorhandene Regelungen und Maßnahmen 112 113 2.1 Europäische Ebene 114 2.1.1 Initiativen Europäische Kommission 115 2.1.2 ENISA 116 117 118 2.2 Bundesebene 119 2.2.1 Federführend BMI 120 • Mit den Abteilungen KM (Krisenmanagement und 121 Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT- 122 Direktor. 123 • BSI 124 o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum) 125 o Übungen – UP-KRITIS-Kontext 126 o SCADA-Sicherheit 127 • Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV 128 • AK KRITIS: Arbeitskreis von Behördenvertretern und 129 ausgewählten Infrastrukturunternehmen 130 • Maßnahmen/Instrumente: 131 o Nationale Strategie zum Schutz Kritischer Infrastrukturen 132 (KRITIS-Strategie) (2009) 133 o Umsetzungsplan UP KRITIS (2007) 134 o Nationaler Plan zum Schutz der 135 Informationsinfrastrukturen (2005) + 2 Umsetzungspläne, 136 2007 verabschiedet 137 2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi, 138 Bundesnetzagentur, BMJ, BMVg, BMBF, BND 139 2.3 Internationale Ebene 140 2.3.1 NATO 141 2.3.2 UN 142 2.3.3 G8 143 2.3.4 Internet Governance Forum 144 145 III. Strategien 146 Aufgaben Staat/Wirtschaft/Gesellschaft bei: 147 1. Prävention & Abwehrbereitschaft 148 o technisch 149 Entwicklung Hardware 150 Entwicklung Software 151 Gestaltung Informationsinfrastrukturen 152 o organisatorisch 153 o menschlich/gesellschaftlich 154 Medienkompetenz 155 o gesetzgeberisch 156 o international 157 158 159 160 2. Erkennen und Reaktion 161 o technisch 162 o organisatorisch 163 o menschlich/gesellschaftlich 164 o gesetzgeberisch 165 o international 166 167 3. Folgeminderung und Wiederherstellung 168 o technisch 169 o organisatorisch 170 o menschlich/gesellschaftlich 171 o gesetzgeberisch 172 o international 173 174 4. Nachhaltigkeit 175 o technisch 176 o organisatorisch 177 o menschlich/gesellschaftlich 178 o gesetzgeberisch 179 o international 180 181 IV. Handlungsempfehlungen 182 183