| 1 |
I. Einleitung |
| 2 |
|
| 3 |
1. Ausgangslage |
| 4 |
|
| 5 |
• Heutzutage wird IKT breit eingesetzt. Dies bedeutet eine |
| 6 |
vernetzte und effiziente Welt. Gleichzeitig besteht eine |
| 7 |
sehr starke IKT-Abhängigkeit auf nationaler und |
| 8 |
internationaler Ebene. Betroffen sind Gesellschaft, Politik |
| 9 |
und Wirtschaft. |
| 10 |
• Die umfassende Vernetzung durch das Internet eröffnet |
| 11 |
Außentätern neue Angriffsmöglichkeiten. Vernetzte |
| 12 |
Strukturen werden allerdings nicht nur über das Internet |
| 13 |
bedroht, sondern v.a. auch durch Innentäter. |
| 14 |
• Die Komplexität (der Infrastruktur selbst, aber auch der |
| 15 |
Vernetzung mit anderen Infrastrukturen wie z. B. |
| 16 |
Stromversorgung und Ernährungsversorgung) und die |
| 17 |
Geschwindigkeit des Datenaustauschs könnten dazu führen, |
| 18 |
dass IKT technisch schwieriger beherrschbar wird. |
| 19 |
• In Zukunft wird noch mehr IKT eingesetzt werden (z. B. |
| 20 |
Smart Grids) und durch die verstärkte Vernetzung steigt |
| 21 |
auch die Anfälligkeit. |
| 22 |
• Besondere Problemlage bei privatwirtschaftlicher |
| 23 |
Erbringung kritischer Infrastrukturleistungen, soweit |
| 24 |
„Service-Level“ und Sicherheitsniveau unzureichend geregelt |
| 25 |
sind. |
| 26 |
|
| 27 |
2. Definitionen |
| 28 |
|
| 29 |
Der Schutz kritischer Informationsinfrastrukturen (CIIP – |
| 30 |
Critical Information Infrastructure Protection): IKT-Sektor |
| 31 |
an sich sowie die IKT-basierten Infrastrukturen der anderen |
| 32 |
Sektoren |
| 33 |
• physische Komponenten (Computer, Satelliten, |
| 34 |
Glasfaserkabel) |
| 35 |
• Software, das Internet selbst (Zugang, Kommunikation), |
| 36 |
IT-Netzwerke, kritische Informationen, Sicherheitskonzepte |
| 37 |
|
| 38 |
Der Schutz kritischer Infrastrukturen (KRITIS) (CIP – |
| 39 |
Critical Infrastructure Protection): „Kritische |
| 40 |
Infrastrukturen sind Organisationen und Einrichtungen mit |
| 41 |
wichtiger Bedeutung für das staatliche Gemeinwesen, bei |
| 42 |
deren Ausfall oder Beeinträchtigung nachhaltig wirkende |
| 43 |
Versorgungsengpässe, erhebliche Störungen der öffentlichen |
| 44 |
Sicherheit oder andere dramatische Folgen eintreten |
| 45 |
würden.“ (BMI, in: Nationaler Plan zum Schutz der |
| 46 |
Informationsstrukturen (NPSI)) |
| 47 |
|
| 48 |
Wir möchten in der Projektgruppe nur kritische |
| 49 |
Informationsinfrastrukturen behandeln, da die sonstigen |
| 50 |
Teile nicht unter die Gesamtkompetenz der |
| 51 |
Enquete-Kommission Internet und digitale Gesellschaft |
| 52 |
fallen. Die kritischen Informationsinfrastrukturen sollen |
| 53 |
auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit |
| 54 |
anderen kritischen Infrastrukturen dargestellt werden. |
| 55 |
|
| 56 |
|
| 57 |
|
| 58 |
|
| 59 |
|
| 60 |
|
| 61 |
|
| 62 |
|
| 63 |
II. Risikoanalyse |
| 64 |
|
| 65 |
1. Bedrohungen |
| 66 |
|
| 67 |
Als Ursachen für Gefährdungen des Internets sind |
| 68 |
technisches und menschliches Versagen, Naturgefahren und |
| 69 |
gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen |
| 70 |
der Enquete-Kommission Internet und digitale Gesellschaft |
| 71 |
erscheint es sinnvoll, sich auf die IT-Angriffe zu |
| 72 |
konzentrieren, da andere Gefährdungspotenziale an anderen |
| 73 |
Stellen durch den Deutschen Bundestag schon eingehend |
| 74 |
betrachtet wurden. |
| 75 |
|
| 76 |
Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich |
| 77 |
IKT in zwei Bereichen: die Infrastruktur ist einerseits |
| 78 |
Begehungsmittel und andererseits Angriffsobjekt. |
| 79 |
|
| 80 |
1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163 |
| 81 |
endgültig)] |
| 82 |
z. B. Advanced Persistent Threats für wirtschaftliche oder |
| 83 |
politische Spionage, Identitätsdiebstahl, z. B. Angriffe |
| 84 |
auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z. |
| 85 |
B. französisches Finanzministerium) |
| 86 |
|
| 87 |
Akteure [FN: z.B. Hacker, Organisierte |
| 88 |
Kriminalität/Terroristen, Unternehmen, Staaten] |
| 89 |
|
| 90 |
Schäden [FN: z.B. personell, materiell, finanziell, |
| 91 |
immateriell/Ansehen, öffentliche/nationale Sicherheit] |
| 92 |
|
| 93 |
1.2 Störung |
| 94 |
z. B. DDoS-Angriffe |
| 95 |
Akteure |
| 96 |
Schäden |
| 97 |
z.B. Spamming Botnetze (z. B. Conficker-Netz) |
| 98 |
Akteure |
| 99 |
Schäden |
| 100 |
z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte |
| 101 |
Kommunikationsmittel |
| 102 |
Akteure |
| 103 |
Schäden |
| 104 |
|
| 105 |
1.3 Zerstörung (noch nicht passiert) |
| 106 |
z. B. intelligente Netze |
| 107 |
Akteure |
| 108 |
Schäden |
| 109 |
|
| 110 |
|
| 111 |
2. Vorhandene Regelungen und Maßnahmen |
| 112 |
|
| 113 |
2.1 Europäische Ebene |
| 114 |
2.1.1 Initiativen Europäische Kommission |
| 115 |
2.1.2 ENISA |
| 116 |
|
| 117 |
|
| 118 |
2.2 Bundesebene |
| 119 |
2.2.1 Federführend BMI |
| 120 |
• Mit den Abteilungen KM (Krisenmanagement und |
| 121 |
Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT- |
| 122 |
Direktor. |
| 123 |
• BSI |
| 124 |
o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum) |
| 125 |
o Übungen – UP-KRITIS-Kontext |
| 126 |
o SCADA-Sicherheit |
| 127 |
• Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV |
| 128 |
• AK KRITIS: Arbeitskreis von Behördenvertretern und |
| 129 |
ausgewählten Infrastrukturunternehmen |
| 130 |
• Maßnahmen/Instrumente: |
| 131 |
o Nationale Strategie zum Schutz Kritischer Infrastrukturen |
| 132 |
(KRITIS-Strategie) (2009) |
| 133 |
o Umsetzungsplan UP KRITIS (2007) |
| 134 |
o Nationaler Plan zum Schutz der |
| 135 |
Informationsinfrastrukturen (2005) + 2 Umsetzungspläne, |
| 136 |
2007 verabschiedet |
| 137 |
2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi, |
| 138 |
Bundesnetzagentur, BMJ, BMVg, BMBF, BND |
| 139 |
2.3 Internationale Ebene |
| 140 |
2.3.1 NATO |
| 141 |
2.3.2 UN |
| 142 |
2.3.3 G8 |
| 143 |
2.3.4 Internet Governance Forum |
| 144 |
|
| 145 |
III. Strategien |
| 146 |
Aufgaben Staat/Wirtschaft/Gesellschaft bei: |
| 147 |
1. Prävention & Abwehrbereitschaft |
| 148 |
o technisch |
| 149 |
- Entwicklung Hardware |
| 150 |
- Entwicklung Software |
| 151 |
- Gestaltung Informationsinfrastrukturen |
| 152 |
o organisatorisch |
| 153 |
o menschlich/gesellschaftlich |
| 154 |
- Medienkompetenz |
| 155 |
o gesetzgeberisch |
| 156 |
o international |
| 157 |
|
| 158 |
|
| 159 |
|
| 160 |
2. Erkennen und Reaktion |
| 161 |
o technisch |
| 162 |
o organisatorisch |
| 163 |
o menschlich/gesellschaftlich |
| 164 |
o gesetzgeberisch |
| 165 |
o international |
| 166 |
|
| 167 |
3. Folgeminderung und Wiederherstellung |
| 168 |
o technisch |
| 169 |
o organisatorisch |
| 170 |
o menschlich/gesellschaftlich |
| 171 |
o gesetzgeberisch |
| 172 |
o international |
| 173 |
|
| 174 |
4. Nachhaltigkeit |
| 175 |
o technisch |
| 176 |
o organisatorisch |
| 177 |
o menschlich/gesellschaftlich |
| 178 |
o gesetzgeberisch |
| 179 |
o international |
| 180 |
|
| 181 |
IV. Handlungsempfehlungen |
| 182 |
|
| 183 |
|
