Stellungnahme

Kritische Infrastrukturen schützen. Jetzt!

Stellungnahme der Gesellschaft für Informatik e.V. zur Drucksache 18/0296 vom 26. April 2017, Antrag der FDP-Fraktion im Berliner Abgeordnetenhaus „Kritische Infrastrukturen schützen. Jetzt!“

1. Vorbemerkungen

Mit der zunehmenden Verbreitung informatischer und informationstechnischer Systeme hat die Informationstechnologie (IT) Einzug in unseren Alltag gehalten. Die Verknüpfung von Daten und die Vernetzung von technischen Geräten ermöglichen es, IT-Systeme noch umfassender zu nutzen: E-Government, das Internet der Dinge und Industrie 4.0 zeigen das Potenzial, das im digitalen Wandel steckt. Dabei darf nicht vergessen werden, dass all diese Neuerungen auch mit einem immensen Zuwachs an Sicherheitsrisiken einhergehen. Die zunehmende Vernetzung von IT-Komponenten und daraus erwachsende Abhängigkeiten führen zu einer erhöhten Verletzlichkeit der eingesetzten Systeme.

Betreiber kritischer Infrastrukturen (KRITIS) sind privatwirtschaftliche oder öffentlich-rechtliche Organisationen aus den Branchen der kritischen Infrastrukturen, die Einrichtungen betreiben, die für das Funktionieren der sogenannten kritischen Dienstleistungen erforderlich sind. Neben der Informations- und Kommunikationstechnik sind das die IT-Infrastrukturen staatlicher Behörden und öffentlicher Verwaltungen sowie in den Bereichen Energie, Gesundheit, Transport und Verkehr, Medien und Kultur, Wasserversorgung, Finanz- und Versicherungswesen sowie Ernährung.

Insbesondere die Betreiber dieser kritischen Infrastrukturen sind – wie andere Unternehmen auch – lukrative Angriffsziele, besitzen jedoch ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft. Ausfälle oder Beeinträchtigungen bei kritischen Infrastrukturen können zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Die Absicherung der IT-Systeme, die von KRITIS-Betreibern eingesetzt werden, ist hoch komplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.

Kritische Infrastrukturen sind an ihrer zugrundeliegenden IT derart angreifbar, dass die Infrastrukturen selbst versagen. Typische Beispiele sind Angriffe auf ihre

- Verfügbarkeit: die Dienste brechen zusammen
- Integrität: sie liefern falsche Daten und Steuerinformationen - Vertraulichkeit: sie liefern sensible Geheimnisse aus

Ein besonders gefährlicher Angriff auf die Integrität und Verfügbarkeit ist die unautorisierte Fremdsteuerung mit geplanten Fehlfunktionen. Der Bruch der Vertraulichkeit kann Firmengeheimnisse und personenbezogene Daten (Datenschutz) betreffen.

Erfolgreiche Angriffe sind die regelmäßige Folge von Sicherheitslücken eines ungenügenden Schutzes von Zugangsberechtigungen, etwa aufgrund von Viren- und/oder Hackerangriffen. Eine weithin unterschätzte Gefahr ist der Angriff über Innentäter, die über ausreichende Zugangsberechtigungen verfügen.

Gegen alle Risiken gibt es etablierte Schutzmechanismen technischer und organisatorischer Art, die zum Schutz kritischer Infrastrukturen unbedingt eingerichtet werden müssen, aber oftmals mangels Kenntnis oder Unachtsamkeit fehlen.

2. Stellungnahme

Vor dem Hintergrund der großen Bedeutung der Cyber-Sicherheit für den zuverlässigen und störungsfreien Betrieb kritischer Infrastrukturen begrüßt die Gesellschaft für Informatik e.V. (GI), als Fachgesellschaft der Informatikerinnen und Informatiker in Deutschland, den Antrag „Kritische Infrastrukturen schützen. Jetzt!“, in dem der Berliner Senat aufgefordert wird „Maßnahmen einzuleiten, dass die in Berlin ansässigen Betreiber kritischer Infrastrukturen unverzüglich Vorbereitungen treffen, um der im IT-Sicherheitsgesetz angelegten geforderten Berichtspflicht zur Verbesserung der Informationssicherheit ab dem Jahr 2018 zeitgerecht und vollumfänglich nachzukommen.“

Gleichzeitig erkennt die GI die Bemühungen der Senatsverwaltung zum Schutz kritischer Infrastrukturen an. Dazu zählt insbesondere, dass die Arbeitsgruppe Cybersicherheit als Koordinierungsstelle (Stabsstelle) der Abteilung III – Öffentliche Sicherheit und Ordnung fungiert und die Benennung konkreter Ansprechpartnerin für sowohl für Betreiber kritischer Infrastrukturen als auch für Opfer von Internetkriminalität.

Zudem begrüßt die GI, dass die Senatsverwaltung insbesondere das Thema Cybersicherheit proaktiv adressiert, indem sich die AG Cybersicherheit beispielsweise als Teilnehmerin in die Allianz für Cyber- Sicherheit einbringt (der auch die GI angehört) oder Veranstaltungen wie die im Dezember 2016 „Cyberraum Berlin sicher – vernetzt" unter Beteiligung von EUROPOL, BKA, Bundesverteidigungsministerium, LKA Berlin und der Staatsanwaltschaft Berlin.

Gleichzeit bemängelt die GI, dass aus den öffentlich zugänglichen Informationen nicht ersichtlich, was die Berliner Senatsverwaltung tatsächlich getan hat, um auf den Schutz kritischer Infrastrukturen hinzuwirken und zur Umsetzung der BSI-KritisV vom 03.05.2016. Insbesondere wäre wichtig zu erfahren, welche Maßnahmen die Berliner Senatsverwaltung ergriffen hat, um bei Betreibern kritischer Infrastrukturen in Berlin das Bewusstsein für Fragen der IT-Sicherheit zu erhöhen. Für eine umfassende Einschätzung seitens der GI wäre wichtig zu erfahren, welche Angriffe auf Berliner KRITIS-Unternehmen beim BSI gemeldet wurden.

Zudem regt die GI an, die eingeleiteten Maßnahmen des Senats zum Schutz kritischer Infrastrukturen und die Unterstützungsangebote für Betreiber von KRITIS – insbesondere in der Rolle als Aufsichtsbehörde – transparent und nachvollziehbar darzustellen. Ein erster Ansatz sollte sein – sofern nicht schon geschehen, die im Einflussbereich des Landes Berlin liegenden kritischen Infrastrukturen zu benennen und die Betreiber aktiv anzusprechen. Das können aber auch die Aktivitäten des Landes Berlin im Rahmen der Bund-Länder Kooperation im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) oder von UP KRITIS, der öffentlich-private Kooperation zum Schutz Kritischer Infrastrukturen, sein.

Da viele KRITIS-Unternehmen erfahrungsgemäß entweder nicht wissen, ob das Gesetz für sie gilt oder wie sie damit umzugehen haben, empfiehlt die GI dem Berliner Senat, den betroffenen Unternehmen entsprechende Beratungsleistungen zur Verfügung zu stellen, auf das Angebot aufmerksam zu machen und umfassend darüber zu informieren bspw. in Form eine Kampagne.

Einige Sofortmaßnahmen, die der Berliner Senat aus Sicht der GI ergreifen sollte:

  • Nehmen Sie die KRITIS-Unternehmen in die Pflicht, eine vollständige Risikoanalyse aller Daten und Anwendungen zu erstellen.

  • Weisen Sie die KRITIS-Unternehmen darauf hin, das Sicherheitsniveau ihrer Anwendungssoftware, Apps und Systeme von Innen und Außen von einem unabhängigen Dritten sorgfältig untersuchen zu lassen. Sorgfältig heißt auf der Basis der ISO 27034 ‚Application Security‘: Nicht nur Penetration Testing, sondern auch Bewertung der Sicherheitsarchitektur der Netze, Systeme und Anwendungen wie Webserver etc. sowie Code Reading und Fuzzing.

  • Weisen Sie die KRITIS-Unternehmen darauf hin, gleichermaßen auch die Sicherheitsprodukte selbst zu untersuchen auf zielführende Parametereinstellungen: Firewalls, Verschlüsselung, Intrusion Detection und Protection. Häufig genug ist z.B. eine Firewall oder Verschlüsselung installiert – per Parameter sind aber sicherheitsrelevante Funktionen abgeschaltet.

  • Tragen Sie dafür Sorge, dass IT-Sicherheit in den KRITIS- Unternehmen zur Chefsache wird und im Verantwortungsbereich der Geschäftsführung liegt.

Vor diesem Hintergrund ist dem Antrag „Kritische Infrastrukturen schützen. Jetzt!“ uneingeschränkt zuzustimmen. Gleichzeitig bietet die Gesellschaft für Informatik e.V. ihre Unterstützung an u.a. bei der Stärkung des Bewusstseins oder der Aufklärung unter den Berliner Betreibern kritischer Infrastrukturen bspw. durch die Bereitstellung von Expertise oder die Umsetzung gemeinsamer Projekt und Veranstaltungen.

3. Die Gesellschaft für Informatik e.V.

Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. In der GI befassen sich insbesondere der Fachbereich „Sicherheit – Schutz und Zuverlässigkeit“ und der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ mit Fragen des Datenschutzes und der IT-Sicherheit.