Unger Die Kritischen Infrastrukturen werden in Deutschland in neun Sektoren unterteilt. Bislang wurde der Energieversorgung aufgrund ihrer Bedeutung für andere Infrastrukturbereiche und damit für die Aufrechterhaltung des öffentlichen Lebens besondere Bedeutung zugemessen. Klar ist: Wir sehen aber auch in anderen Bereichen, ganz besonders auch im medizinischen Bereich zunehmend mehr Störungen durch IT-Vorfälle.

Welche Bereiche sind besonders sensibel?

Unger Innerhalb der Sektorenauflistung der Kritischen Infrastrukturen gelten die Stromversorgung und die IT als zentrale Bereiche, da von diesen beiden Branchen nahezu alle anderen Kritischen Infrastrukturen abhängen. Insgesamt aber sind in allen Sektoren und Branchen die Bereiche, die lebenswichtige oder Kritische Dienstleistungen erbringen, besonders sensibel. Diese Kritischen Dienstleistungen werden derzeit u.a. im Rahmen des im Jahr 2015 verabschiedeten IT-Sicherheitsgesetzes ermittelt und die dem Gesetz unterliegenden Betreiber verpflichtet, für diese Bereiche besondere Sicherheitsmaßnahmen umzusetzen.

Wird genug unternommen, um die kritische Infrastruktur vor Angriffen von Außen zu schützen?

Unger Diese Frage kann nicht mit Ja oder Nein beantwortet werden. So sind einige Branchen nicht zuletzt aufgrund bestehender gesetzlicher Vorgaben schon sehr gut aufgestellt; auch ist der Sensibilisierungsgrad in den Branchen, in denen die IT "der Produktionsfaktor" ist, sehr hoch. Gleichzeitig fehlen diese Vorgaben in anderen Bereichen völlig, auch werden potentielle IT-Angriffe in Risikomanagementsystemen nicht hinreichend abgebildet. Dieser "Flickenteppich" birgt aber bei einem derart hohen Vernetzungsgrad der Kritischen Infrastrukturen untereinander und der daraus resultierenden Interdependenzen ein zusätzliches Gefahrenpotential, dem mit dem 2015 verabschiedeten IT-Sicherheitsgesetz begegnet werden soll.

Gab es schon Angriffe, etwa durch Hacker, auf die sensiblen Bereiche?

Unger Ja, mehrere, als Beispiele sind hier zu nennen auf dem Sektor Gesundheit: Infektion mit Crypto-Ransomware und folgendes Abschalten aller Computersysteme beim aktuellen Fall in den Krankenhäusern in Neuss und Arnsberg. Aber auch bereits früher, so im April 2015 im Sektor Staat und Verwaltung: Cyberspionage im IT-Netz des Bundestages, Crypto-Ransomware analog zu den Krankenhausfällen im Innenministerium NRW im Dezember 2015. Und im Sektor Medien und Kultur: Unterbrechung der Ausstrahlung und der Social Media-Präsenz des französischen Senders TV5 Monde für mehrere Stunden im April 2015. Schließlich im Sektor Energie: Stromausfall in der West-Ukraine am 23.12.2015 für mehrere Stunden. Die Ursache ist noch nicht geklärt, aber es gibt deutliche Anzeichen für einen Hackerangriff.

Sind die Sorgen theoretisch oder real?

Unger Die jetzigen Krankenhausvorfälle und der ähnliche Vorfall mit Verschlüsselungstrojanern (Crypto-Ransomware) im Innenministerium NRW letzten Dezember zeigen, dass die Sorgen real sind und damit direkte Folgen haben. Festzuhalten ist dabei, dass es sich in diesen Fällen nicht um eine zielgerichtete größtmögliche Sabotage des Betriebes, sondern wahrscheinlich eher um einen breit gestreuten Angriff zu Erpressungszwecken handelte. In anderen Bereichen wurden noch keine großen Auswirkungen beobachtet, lediglich größere Cyberspionagewellen. Diese verwenden allerdings in Teilen ähnliche Angriffsvektoren, wie sie für Sabotage nötig wären. Auch hier gibt es reale Grundlagen für die Sorgen. Der Bericht zur Lage der IT-Sicherheit in Deutschland, den das BSI jährlich veröffentlicht, verdeutlicht die Menge der realen Vorfälle. Die große Menge bekannt werdender Softwarelücken trägt zudem zu den theoretischen Sorgen bei.

Was würde passieren, wenn etwa in NRW der Strom durch einen solchen Angriff längere Zeit ausfallen würde?

Unger Fällt die Versorgung mit Strom großflächig und langanhaltend aus, egal wodurch der Ausfall ausgelöst wird, stellt dies die Einsatzkräfte, die Bevölkerung und auch Unternehmen vor große Herausforderungen. Wären die 18 Millionen Menschen in NRW für mehrere Tage von einem Stromausfall betroffen, hätte das schwerwiegende Auswirkungen. Unterbrechungsfreie Stromversorgungen und Netzersatzanlagen würden dort — wo installiert — anspringen und erste Auswirkungen abmildern. Krankenhäuser beispielsweise verfügen über Notstromlösungen, die die wichtigsten Bereiche absichern. Für Betreiber Kritischer Infrastrukturen empfiehlt das BBK grundsätzlich die Vorhaltung einer Notstromversorgung, die ohne nachzutanken mindestens 72 Stunden laufen kann. In einem solchen sehr unwahrscheinlichen aber auch nicht unmöglichen Fall des langen und großflächigen Stromausfalles werden viele Installationen des täglichen Lebens selbst bei bestmöglicher Vorsorge durch Behörden und Betreiber nicht oder nur eingeschränkt funktionieren: Das Telefonieren, die Wasserversorgung, die Toilettenspülung werden in vielen Regionen nur eingeschränkt nutzbar sein. Durch Maßnahmen zum Selbstschutz kann jeder Bürgerin und Bürger die eigene Betroffenheit und die Betroffenheit im unmittelbaren Umfeld bei einem solchen Ereignis minimieren. Recht einfach umzusetzende Dinge, wie die Taschenlampe und Kerzen sind griffbereit, einige Konserven und Getränke vorrätig zu halten. Wann haben Sie Ihr Wissen zur Ersten Hilfe aufgefrischt? Wir als BBK haben auf unserer Homepage für jeden zugänglich einen Ratgeber erstellt.

Wie leicht ist es für professionelle Hacker, die kritische Infrastruktur zu attackieren?

Unger Durch gute Schutzmaßnahmen, wie sie im IT-Grundschutz-Katalog des BSI empfohlen werden, kann man professionellen Hackern den Angriff deutlich erschweren. Dazu sind allerdings zeitnahe Einspielungen veröffentlichter Software-Patches und eine Sensibilisierung der Mitarbeiter bezüglich der Risiken zwingend notwendig. Die Mitarbeiterinnen und Mitarbeiter sind in diesem Zusammenhang das wichtigste Kapital. Gute Schulungen zahlen sich hier schnell aus. Wir als BBK stellen schon seit mehreren Jahren für die Betreiber Kritischer Infrastrukturen einen Leitfaden zum Risiko- und Krisenmanagement bereit. Auch speziell für Einrichtungen im Gesundheitswesen wurden von uns Empfehlungen zum allgemeinen Risikomanagement im Krankenhaus herausgegeben. Weiterhin waren wir auch als Fachberater an einem Leitfaden zur "Risikoanalyse für die Krankenhaus-IT" des BSI beteiligt.

Christian Schwerdtfeger führte das Gespräch.