Aufgrund der kontinuierlich wachsenden Vernetzung von elektronischen Geräten wie PCs, Servern, Smartphones und Tablets über die klassischen Infrastrukturen hinaus erließ die Bundesregierung 2015 das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" - kurz "IT-Sicherheitsgesetz" genannt. Es soll die negativen Folgen der Vernetzung, etwa eine erhöhte Anfälligkeit für Cyberattacken, Störungen oder Ausfälle auf ein Minimalmaß reduzieren.
Der Ausfall eines Unternehmens kann wegen des hohen Vernetzungsgrades eine Art Dominoeffekt auslösen, durch den viele verbundene Organisationen ebenfalls "angesteckt" werden. Diese Risiko ist vor allem bei Unternehmen und Institutionen groß, die im Bereich der kritischen Infrastrukturen (KRITIS) tätig sind, und denen daher eine zentrale gesellschaftlicher Bedeutung zukommt. Konkret werden die folgenden Branchen KRITIS zugeordnet: Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung sowie Finanz- und Versicherungswesen.
KRITIS-Zugehörigkeit wird gerne verdrängt
Da die KRITIS-Definition bestimmte Branchen umfasst, ist es für viele Unternehmen eigentlich nicht schwierig zu erkennen, ob sie den kritischen Infrastrukturen zuzuordnen sind. Wenn ein Unternehmen diese Frage mit "Ja" beantworten muss, sieht es sich zumeist einer großen Herausforderung gegenüber. Denn viele Unternehmen wissen nicht, wie sie IT-Sicherheit und Ausfallsicherung so umsetzen sollen, dass der geforderte Standard nach dem "aktuellen Stand der Technik" erreicht wird und welcher Weg dorthin der beste ist.
Auf den ersten Blick erscheinen die Investitionen erzwungen. Sie sind mit viel bürokratischem Aufwand verbunden und bringen keinen erkennbaren Gewinn - weder für das Wachstum noch für die Innovationskraft des Unternehmens. Betrachtet man die staatlichen Anforderungen jedoch im Kontext der Digitalisierungsstrategie sieht die Sache anders aus. Unternehmen können das Notwendige mit dem Nützlichen zu verbinden und sich echte Wettbewerbsvorteile erarbeiten.
Foto: hywards - shutterstock.com
KRITIS ist mehr als zusätzliche IT-Sicherheit
Derzeit ist die KRITIS-Diskussionen stark vom Thema Cybersicherheit geprägt. Hacker provozieren immer wieder Stromausfälle, sei es in Haushalten oder in Krankenhäusern, um der Bevölkerung und Unternehmen einen Schrecken einzujagen und sie zu verunsichern. Beim zweiten großen Thema, der Ausfallsicherung, sollte bedacht werden, dass für mindestens 80 Prozent der zu KRITIS gehörenden Organisationen und Unternehmen die IT kein Kerngeschäft ist.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Schon aus Kostensicht lohnt sich eine Auslagerung der unternehmerischen IT-Ressourcen in externe, professionell betriebene Rechenzentren. Diese werden von spezialisierten IT-Unternehmen betrieben und sind mit hochwertiger Infrastruktur ausgestattet, die sich immer auf dem aktuellen technischen Stand befindet und gegen Gefahren wie Brände oder Naturkatastrophen abgesichert ist. Auch wenn eine derartige Auslagerung sicherlich nicht neu ist, erhält sie durch das IT-Sicherheitsgesetz eine ganz andere Tragweite.