02.01 Schutz kritischer Infrastrukturen im Internet

1-3 von 3
  • 02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)

    von EnqueteSekretariat, angelegt
    Diese Version hat keinen Text.
  • 02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)

    von EnqueteSekretariat, angelegt
    1 I. Einleitung
    2
    3 1. Ausgangslage
    4
    5 • Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine
    6 vernetzte und effiziente Welt. Gleichzeitig besteht eine
    7 sehr starke IKT-Abhängigkeit auf nationaler und
    8 internationaler Ebene. Betroffen sind Gesellschaft, Politik
    9 und Wirtschaft.
    10 • Die umfassende Vernetzung durch das Internet eröffnet
    11 Außentätern neue Angriffsmöglichkeiten. Vernetzte
    12 Strukturen werden allerdings nicht nur über das Internet
    13 bedroht, sondern v.a. auch durch Innentäter.
    14 • Die Komplexität (der Infrastruktur selbst, aber auch der
    15 Vernetzung mit anderen Infrastrukturen wie z. B.
    16 Stromversorgung und Ernährungsversorgung) und die
    17 Geschwindigkeit des Datenaustauschs könnten dazu führen,
    18 dass IKT technisch schwieriger beherrschbar wird.
    19 • In Zukunft wird noch mehr IKT eingesetzt werden (z. B.
    20 Smart Grids) und durch die verstärkte Vernetzung steigt
    21 auch die Anfälligkeit.
    22 • Besondere Problemlage bei privatwirtschaftlicher
    23 Erbringung kritischer Infrastrukturleistungen, soweit
    24 „Service-Level“ und Sicherheitsniveau unzureichend geregelt
    25 sind.
    26
    27 2. Definitionen
    28
    29 Der Schutz kritischer Informationsinfrastrukturen (CIIP –
    30 Critical Information Infrastructure Protection): IKT-Sektor
    31 an sich sowie die IKT-basierten Infrastrukturen der anderen
    32 Sektoren
    33 • physische Komponenten (Computer, Satelliten,
    34 Glasfaserkabel)
    35 • Software, das Internet selbst (Zugang, Kommunikation),
    36 IT-Netzwerke, kritische Informationen, Sicherheitskonzepte
    37
    38 Der Schutz kritischer Infrastrukturen (KRITIS) (CIP –
    39 Critical Infrastructure Protection): „Kritische
    40 Infrastrukturen sind Organisationen und Einrichtungen mit
    41 wichtiger Bedeutung für das staatliche Gemeinwesen, bei
    42 deren Ausfall oder Beeinträchtigung nachhaltig wirkende
    43 Versorgungsengpässe, erhebliche Störungen der öffentlichen
    44 Sicherheit oder andere dramatische Folgen eintreten
    45 würden.“ (BMI, in: Nationaler Plan zum Schutz der
    46 Informationsstrukturen (NPSI))
    47
    48 Wir möchten in der Projektgruppe nur kritische
    49 Informationsinfrastrukturen behandeln, da die sonstigen
    50 Teile nicht unter die Gesamtkompetenz der
    51 Enquete-Kommission Internet und digitale Gesellschaft
    52 fallen. Die kritischen Informationsinfrastrukturen sollen
    53 auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit
    54 anderen kritischen Infrastrukturen dargestellt werden.
    55
    56
    57
    58
    59
    60
    61
    62
    63 II. Risikoanalyse
    64
    65 1. Bedrohungen
    66
    67 Als Ursachen für Gefährdungen des Internets sind
    68 technisches und menschliches Versagen, Naturgefahren und
    69 gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen
    70 der Enquete-Kommission Internet und digitale Gesellschaft
    71 erscheint es sinnvoll, sich auf die IT-Angriffe zu
    72 konzentrieren, da andere Gefährdungspotenziale an anderen
    73 Stellen durch den Deutschen Bundestag schon eingehend
    74 betrachtet wurden.
    75
    76 Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich
    77 IKT in zwei Bereichen: die Infrastruktur ist einerseits
    78 Begehungsmittel und andererseits Angriffsobjekt.
    79
    80 1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163
    81 endgültig)]
    82 z. B. Advanced Persistent Threats für wirtschaftliche oder
    83 politische Spionage, Identitätsdiebstahl, z. B. Angriffe
    84 auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z.
    85 B. französisches Finanzministerium)
    86
    87 Akteure [FN: z.B. Hacker, Organisierte
    88 Kriminalität/Terroristen, Unternehmen, Staaten]
    89
    90 Schäden [FN: z.B. personell, materiell, finanziell,
    91 immateriell/Ansehen, öffentliche/nationale Sicherheit]
    92
    93 1.2 Störung
    94 z. B. DDoS-Angriffe
    95 Akteure
    96 Schäden
    97 z.B. Spamming Botnetze (z. B. Conficker-Netz)
    98 Akteure
    99 Schäden
    100 z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte
    101 Kommunikationsmittel
    102 Akteure
    103 Schäden
    104
    105 1.3 Zerstörung (noch nicht passiert)
    106 z. B. intelligente Netze
    107 Akteure
    108 Schäden
    109
    110
    111 2. Vorhandene Regelungen und Maßnahmen
    112
    113 2.1 Europäische Ebene
    114 2.1.1 Initiativen Europäische Kommission
    115 2.1.2 ENISA
    116
    117
    118 2.2 Bundesebene
    119 2.2.1 Federführend BMI
    120 • Mit den Abteilungen KM (Krisenmanagement und
    121 Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT-
    122 Direktor.
    123 • BSI
    124 o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum)
    125 o Übungen – UP-KRITIS-Kontext
    126 o SCADA-Sicherheit
    127 • Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV
    128 • AK KRITIS: Arbeitskreis von Behördenvertretern und
    129 ausgewählten Infrastrukturunternehmen
    130 • Maßnahmen/Instrumente:
    131 o Nationale Strategie zum Schutz Kritischer Infrastrukturen
    132 (KRITIS-Strategie) (2009)
    133 o Umsetzungsplan UP KRITIS (2007)
    134 o Nationaler Plan zum Schutz der
    135 Informationsinfrastrukturen (2005) + 2 Umsetzungspläne,
    136 2007 verabschiedet
    137 2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi,
    138 Bundesnetzagentur, BMJ, BMVg, BMBF, BND
    139 2.3 Internationale Ebene
    140 2.3.1 NATO
    141 2.3.2 UN
    142 2.3.3 G8
    143 2.3.4 Internet Governance Forum
    144
    145 III. Strategien
    146 Aufgaben Staat/Wirtschaft/Gesellschaft bei:
    147 1. Prävention & Abwehrbereitschaft
    148 o technisch
    149 - Entwicklung Hardware
    150 - Entwicklung Software
    151 - Gestaltung Informationsinfrastrukturen
    152 o organisatorisch
    153 o menschlich/gesellschaftlich
    154 - Medienkompetenz
    155 o gesetzgeberisch
    156 o international
    157
    158
    159
    160 2. Erkennen und Reaktion
    161 o technisch
    162 o organisatorisch
    163 o menschlich/gesellschaftlich
    164 o gesetzgeberisch
    165 o international
    166
    167 3. Folgeminderung und Wiederherstellung
    168 o technisch
    169 o organisatorisch
    170 o menschlich/gesellschaftlich
    171 o gesetzgeberisch
    172 o international
    173
    174 4. Nachhaltigkeit
    175 o technisch
    176 o organisatorisch
    177 o menschlich/gesellschaftlich
    178 o gesetzgeberisch
    179 o international
    180
    181 IV. Handlungsempfehlungen
  • 02.01 Schutz kritischer Infrastrukturen im Internet (Originalversion)

    von EnqueteSekretariat, angelegt
    1 I. Einleitung
    2
    3 1. Ausgangslage
    4
    5 • Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine
    6 vernetzte und effiziente Welt. Gleichzeitig besteht eine
    7 sehr starke IKT-Abhängigkeit auf nationaler und
    8 internationaler Ebene. Betroffen sind Gesellschaft, Politik
    9 und Wirtschaft.
    10 • Die umfassende Vernetzung durch das Internet eröffnet
    11 Außentätern neue Angriffsmöglichkeiten. Vernetzte
    12 Strukturen werden allerdings nicht nur über das Internet
    13 bedroht, sondern v.a. auch durch Innentäter.
    14 • Die Komplexität (der Infrastruktur selbst, aber auch der
    15 Vernetzung mit anderen Infrastrukturen wie z. B.
    16 Stromversorgung und Ernährungsversorgung) und die
    17 Geschwindigkeit des Datenaustauschs könnten dazu führen,
    18 dass IKT technisch schwieriger beherrschbar wird.
    19 • In Zukunft wird noch mehr IKT eingesetzt werden (z. B.
    20 Smart Grids) und durch die verstärkte Vernetzung steigt
    21 auch die Anfälligkeit.
    22 • Besondere Problemlage bei privatwirtschaftlicher
    23 Erbringung kritischer Infrastrukturleistungen, soweit
    24 „Service-Level“ und Sicherheitsniveau unzureichend geregelt
    25 sind.
    26
    27 2. Definitionen
    28
    29 Der Schutz kritischer Informationsinfrastrukturen (CIIP –
    30 Critical Information Infrastructure Protection): IKT-Sektor
    31 an sich sowie die IKT-basierten Infrastrukturen der anderen
    32 Sektoren
    33 • physische Komponenten (Computer, Satelliten,
    34 Glasfaserkabel)
    35 • Software, das Internet selbst (Zugang, Kommunikation),
    36 IT-Netzwerke, kritische Informationen, Sicherheitskonzepte
    37
    38 Der Schutz kritischer Infrastrukturen (KRITIS) (CIP –
    39 Critical Infrastructure Protection): „Kritische
    40 Infrastrukturen sind Organisationen und Einrichtungen mit
    41 wichtiger Bedeutung für das staatliche Gemeinwesen, bei
    42 deren Ausfall oder Beeinträchtigung nachhaltig wirkende
    43 Versorgungsengpässe, erhebliche Störungen der öffentlichen
    44 Sicherheit oder andere dramatische Folgen eintreten
    45 würden.“ (BMI, in: Nationaler Plan zum Schutz der
    46 Informationsstrukturen (NPSI))
    47
    48 Wir möchten in der Projektgruppe nur kritische
    49 Informationsinfrastrukturen behandeln, da die sonstigen
    50 Teile nicht unter die Gesamtkompetenz der
    51 Enquete-Kommission Internet und digitale Gesellschaft
    52 fallen. Die kritischen Informationsinfrastrukturen sollen
    53 auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit
    54 anderen kritischen Infrastrukturen dargestellt werden.
    55
    56
    57
    58
    59
    60
    61
    62
    63 II. Risikoanalyse
    64
    65 1. Bedrohungen
    66
    67 Als Ursachen für Gefährdungen des Internets sind
    68 technisches und menschliches Versagen, Naturgefahren und
    69 gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen
    70 der Enquete-Kommission Internet und digitale Gesellschaft
    71 erscheint es sinnvoll, sich auf die IT-Angriffe zu
    72 konzentrieren, da andere Gefährdungspotenziale an anderen
    73 Stellen durch den Deutschen Bundestag schon eingehend
    74 betrachtet wurden.
    75
    76 Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich
    77 IKT in zwei Bereichen: die Infrastruktur ist einerseits
    78 Begehungsmittel und andererseits Angriffsobjekt.
    79
    80 1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163
    81 endgültig)]
    82 z. B. Advanced Persistent Threats für wirtschaftliche oder
    83 politische Spionage, Identitätsdiebstahl, z. B. Angriffe
    84 auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z.
    85 B. französisches Finanzministerium)
    86
    87 Akteure [FN: z.B. Hacker, Organisierte
    88 Kriminalität/Terroristen, Unternehmen, Staaten]
    89
    90 Schäden [FN: z.B. personell, materiell, finanziell,
    91 immateriell/Ansehen, öffentliche/nationale Sicherheit]
    92
    93 1.2 Störung
    94 z. B. DDoS-Angriffe
    95 Akteure
    96 Schäden
    97 z.B. Spamming Botnetze (z. B. Conficker-Netz)
    98 Akteure
    99 Schäden
    100 z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte
    101 Kommunikationsmittel
    102 Akteure
    103 Schäden
    104
    105 1.3 Zerstörung (noch nicht passiert)
    106 z. B. intelligente Netze
    107 Akteure
    108 Schäden
    109
    110
    111 2. Vorhandene Regelungen und Maßnahmen
    112
    113 2.1 Europäische Ebene
    114 2.1.1 Initiativen Europäische Kommission
    115 2.1.2 ENISA
    116
    117
    118 2.2 Bundesebene
    119 2.2.1 Federführend BMI
    120 • Mit den Abteilungen KM (Krisenmanagement und
    121 Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT-
    122 Direktor.
    123 • BSI
    124 o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum)
    125 o Übungen – UP-KRITIS-Kontext
    126 o SCADA-Sicherheit
    127 • Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV
    128 • AK KRITIS: Arbeitskreis von Behördenvertretern und
    129 ausgewählten Infrastrukturunternehmen
    130 • Maßnahmen/Instrumente:
    131 o Nationale Strategie zum Schutz Kritischer Infrastrukturen
    132 (KRITIS-Strategie) (2009)
    133 o Umsetzungsplan UP KRITIS (2007)
    134 o Nationaler Plan zum Schutz der
    135 Informationsinfrastrukturen (2005) + 2 Umsetzungspläne,
    136 2007 verabschiedet
    137 2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi,
    138 Bundesnetzagentur, BMJ, BMVg, BMBF, BND
    139 2.3 Internationale Ebene
    140 2.3.1 NATO
    141 2.3.2 UN
    142 2.3.3 G8
    143 2.3.4 Internet Governance Forum
    144
    145 III. Strategien
    146 Aufgaben Staat/Wirtschaft/Gesellschaft bei:
    147 1. Prävention & Abwehrbereitschaft
    148 o technisch
    149  Entwicklung Hardware
    150  Entwicklung Software
    151  Gestaltung Informationsinfrastrukturen
    152 o organisatorisch
    153 o menschlich/gesellschaftlich
    154  Medienkompetenz
    155 o gesetzgeberisch
    156 o international
    157
    158
    159
    160 2. Erkennen und Reaktion
    161 o technisch
    162 o organisatorisch
    163 o menschlich/gesellschaftlich
    164 o gesetzgeberisch
    165 o international
    166
    167 3. Folgeminderung und Wiederherstellung
    168 o technisch
    169 o organisatorisch
    170 o menschlich/gesellschaftlich
    171 o gesetzgeberisch
    172 o international
    173
    174 4. Nachhaltigkeit
    175 o technisch
    176 o organisatorisch
    177 o menschlich/gesellschaftlich
    178 o gesetzgeberisch
    179 o international
    180
    181 IV. Handlungsempfehlungen
    182
    183