Unkategorisiert

Kritische Infrastruktur: Orientierungshilfe zum Einsatz möglicher Methoden und unsere Meinung dazu

Die Angriffserkennung ist in der IT-Sicherheit ein wesentlicher Bestandteil. Gerade für die frühzeitige Angriffserkennung bedarf es aber einiges an Fachwissen. Schon allein, um die notwendigen gesetzlichen Verpflichtungen in diesem Bereich entsprechend exakt umsetzen zu können.

Das betrifft vor allem auch die kritischen Infrastrukturen, die davon nicht nur besonders betroffen sind, sondern auch weitere Verpflichtungen von den entsprechenden Unternehmen verlangen. Diese sind zum Teil auch gesetzlich verankert, sodass es sich hierbei nicht einfach um freiwillige Maßnahmen oder Empfehlungen, sondern um gesetzlich erforderliche Schritte handelt.

Als Unternehmen und Dienstleister für Informationssicherheit besitzen wir die Prüfverfahrenskompetenz nach BSIG § 8a und stellen Ihnen hier weitere Hinweise zur Verfügung, mit denen Sie die entsprechenden Maßnahmen nicht nur verstehen, sondern auch spielend einfach einsetzen können. Falls Sie dabei Hilfe benötigen, sind wir zudem gerne für Sie da.

Was genau ist die kritische Infrastruktur?

Im Grunde geht es bei der sogenannten kritischen Infrastruktur um Systeme, die eine Aufrechterhaltung des Allgemeinwohls oder der Gesellschaft betreffen. IT-Systeme von Krankenhäusern wären hier sicherlich ein verständliches Beispiel, aber auch Dienste im Finanzwesen oder der Nahrungsmittelversorgung müssen entsprechend abgesichert werden.

Der Begriff oder die Bewegung selbst entstand in den 90er-Jahren innerhalb der USA. Dort wurde das Bewusstsein immer größer, dass vieles vom Internet abhängig ist und gleichzeitig bei einem Angriff vollständig lahmgelegt werden könnte. Sei es nun aufgrund von Bombenanschlägen oder durch gezielte Hacks auf genau diese kritische Infrastruktur. Also gab es die Überlegung, diese besondere und sehr kritische Infrastruktur noch einmal umfassender zu schützen.

Bei der kritischen Infrastruktur geht es also immer darum, dass ein Ausfall extrem schwere Folgen und entsprechende Auswirkungen auf die Bevölkerung hätte. Sei es nun, weil der Verkehr nicht mehr wie gewohnt funktioniert, der Rettungsdienst nicht mehr arbeiten kann oder aber die Notversorgung im Krankenhaus ausfällt. Kritische Infrastruktur ist für den Erhalt des alltäglichen Lebens schlichtweg notwendig und muss daher gesondert geschützt werden, damit sie im besten Fall eben niemals wirklich ausfallen kann. Selbst dann nicht, wenn es Krieg gibt oder digitale Angriffe auf ein Land verübt werden.

Wie kann die kritische Infrastruktur geschützt werden?

Letztlich ist nicht ganz klar geregelt, wie genau die kritische Infrastruktur im Detail geschützt werden muss. Es gibt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings einen Leitfaden oder besser gesagt die sogenannte Orientierungshilfe, die Sie als Unternehmer dabei unterstützen soll, die richtigen Maßnahmen einzuleiten, um Ihre Systeme entsprechend zu schützen.

Darin werden Grundlagen, Anforderungen, Erkennung und Reaktionen behandelt. Natürlich nicht in aller Gänze und bis in die tiefsten Details, schließlich handelt es sich lediglich um eine Orientierungshilfe, doch dennoch in sehr wertvoller und umfangreicher Art und Weise. Die Anforderungen und Bedingungen der kritischen Infrastruktur sollten damit jedenfalls klar werden. Vor allem verdeutlicht der Leitfaden aber noch einmal, worauf es dabei wirklich ankommt und was essenziell ist.

Allerdings ist das Thema auch mit vielen Fallstricken versehen. Ganz so einfach, wie es erst einmal scheint, ist es also nicht. Kritische Infrastruktur gilt es am Ende immer besonders zu schützen und das kann ebenso kritische Besonderheiten mit sich bringen. Auf die rechtlichen Aspekte möchten wir im nächsten Absatz noch einmal genauer eingehen. Auch diese spielen bei der kritischen Infrastruktur nämlich eine entsprechend große Rolle.

Welche rechtlichen Aspekte gibt es zu beachten?

Kritische Infrastruktur ist nach der Richtlinie 2008/114/EG eine Anlage, ein System oder ein Teil davon, welches große Bedeutung für die Aufrechterhaltung gesellschaftlicher Funktionen aufweist. Insbesondere im Bereich Gesundheit, Sicherheit, Wirtschaft oder Soziales.

Seit 2008 hat sich der Begriff »kritische Infrastruktur« auch in Deutschland etabliert und ist als Rechtsbegriff entsprechend geläufig. Betreiber von kritischen Infrastrukturen sind zudem nach § 8a Abs. 1 BSI-Gesetz dazu verpflichtet, organisatorische und technische Vorkehrungen zu treffen, um einen Ausfall möglichst auszuschließen. Diese Vorkehrungen müssen »angemessen« ausfallen und betreffen auch oder sogar besonders die IT-Sicherheit im jeweiligen Bereich.

Wir selbst besitzen die Prüfverfahrenskompetenz nach BSIG § 8a. Deshalb helfen wir Ihnen auch gerne weiter, wenn Sie die offizielle Orientierungshilfe vom BSI für Ihr Unternehmen umsetzen möchten. Vieles davon ist gar nicht so einfach zu realisieren, weshalb wir Ihnen dabei gerne unterstützend zur Seite stehen. Auf diese Weise gelingt es Ihnen, sich rechtlich abzusichern und die geforderten Maßnahmen bestmöglich umzusetzen.

Angriffserkennung als Teil der kritischen Infrastruktur

Die Angriffserkennung spielt bei all dem die größte Rolle. Deshalb sind auch Nachweise nach § 8a Absatz 3 BSIG und § 11 Absatz 1e EnWG notwendig. Damit das alles nicht übermäßig kompliziert wird, werden diese anhand von dem sogenannten Umsetzungsgrad erbracht. Dazu dient das Umsetzungsgradmodell, welches im verlinkten Leitfaden auch noch einmal entsprechend erklärt wird.

Im Artikel sind wir bereits auf alle notwendigen Maßnahmen ein wenig eingegangen. Wie diese in Ihrem konkreten Fall aussehen werden, lässt sich pauschal aber nicht ohne Weiteres feststellen. Hier ist es zudem wichtig, sehr individuelle Schritte einzuleiten, statt auf gängige Routinen zu setzen.

Kontaktieren Sie uns also gerne noch einmal unverbindlich, wenn Sie sich eine weitere Beratung in diesem Bereich wünschen. Mit unserer Expertise stehen wir Ihnen dabei gerne zur Seite und setzen gemeinsam die gesetzlichen Anforderungen entsprechend weitreichend um.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.