acatech am Dienstag: Cybersicherheit – Herausforderungen für kritische Infrastrukturen
München, 4. April 2023
Versehentlich durchtrennte Glasfaserkabel legen einen Flughafen lahm, der Bundestag wurde von Hackern angegriffen: Cybersicherheit wird immer wieder ein Thema, vor allem, wenn sie fehlt und die Folgen empfindlich sind. Entsprechend lohne es sich, Cybersicherheit neu zu denken, sagte IT-Forscherin und acatech Präsidiumsmitglied Claudia Eckert bei acatech am Dienstag am 4. April. Einblicke aus der Praxis gaben IT-Experten der Stadtwerke München und der Deutschen Telekom.
Immer dann, wenn Kritische Infrastrukturen (KRITIS) wie zum Beispiel Krankenhäuser oder der Schienenverkehr betroffen sind, können Cyber-Angriffe und Unfälle weitreichende gesellschaftliche Folgen haben. Umfassende Sicherheit wird essentiell. acatech Präsident Jan Wörner beleuchtete in seiner Einführung die verschiedenen Bereiche von Sicherheit. Die Sicherheit von Infrastrukturen könne auf drei Arten gestört werden: Sabotage, Unfälle und Naturgewalten. Das mache die Resilienz, also die Widerstandsfähigkeit, dieser Strukturen so bedeutsam.
acatech Mitglied Claudia Eckert, Lehrstuhl Sicherheit in der Informatik an der TU München und Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), legte ihrem Vortrag die acatech Publikation „Cybersicherheit. Status quo und zukünftige Herausforderungen“ zugrunde. Eine von ihr geführte Arbeitsgruppe hatte Empfehlungen erarbeitet, wie die Cybersicherheit in Deutschland erhöht werden kann.
Mit fortschreitender Digitalisierung werde entscheidend, sich gegen professionelle Cyberangriffe zu rüsten, so Claudia Eckert. Darüber sei Cybersicherheit eine Grundlage für Vertrauen in die digitalen Systeme, mit denen täglich gearbeitet wird. Eng verwoben mit Cybersicherheit sei das Themenfeld Digitale Souveränität: Auch unabhängige digitale Infrastrukturen, wie sie aktuell beispielsweise im Rahmen des Projekts Gaia-X vorbereitet werden, müssen geschützt werden. Nur dann ist selbstbestimmtes und vertrauenswürdiges Handeln im Cyberraum möglich.
Definition Cybersicherheit
Das Ziel von Cybersicherheit ist somit einerseits der Schutz von Daten und Informationen sowie andererseits auch der Schutz aller Kommunikations- und Informationssysteme, die zur Verarbeitung und Übertragung dieser Daten und Informationen genutzt werden und der sie umgebenden physischen Systeme. Nachdem ein kompletter Schutz beziehungsweise das vollständige Erreichen der Schutzziele nicht garantiert werden kann, muss immer abgewogen werden, wie ein angemessener Grad an Zielerreichung mit angemessenem Aufwand erlangt werden soll. Was Angemessenheit im jeweiligen Kontext bedeutet, bedarf eines gesellschaftlichen Diskurses.
aus: acatech Publikation Cybersicherheit. Status quo und zukünftige Herausforderungen
Definition Digitale Souveränität
aus: acatech Publikation Cybersicherheit. Status quo und zukünftige Herausforderungen
Egal, ob im Auto, bei der Arbeit am PC oder in der Freizeit mit dem privaten Smartphone – mit IT-basierten Produkten und -Systemen hat jeder jeden Tag zu tun, machte Claudia Eckert deutlich. Ebenso stecken sie in Kritischen Infrastrukturen (KRITIS) für Transport, Gesundheitswesen, Kommunikation, Finanzbranche, Energie- und Wasserversorgung. Ebenso sind sie Bestandteil von Unternehmensinfrastrukturen wie Buchhaltung, Abrechnung, Personalwesen, Produktion bis hin zu digitalen Dienstleistungen. Immer mehr digitale Schnittstellen verbinden Produkte und Infrastrukturen mit der Außenwelt. Sie verarbeiten Daten und tauschen sie aus – und können über diese Einfallstore auch angegriffen oder manipuliert werden. Hier setze die Cybersicherheit mit abgestimmten und organisatorischen Maßnahmen an, um IT-basierte Systeme zu schützen und Schäden zu minimieren, so Claudia Eckert.
Cybersicherheit sei also nicht allein eine Frage der Sicherheitstechnik, sondern noch viel mehr der Organisation und Verankerung von Schutz. Entsprechend müsse auch das Handeln der relevanten Akteure – Politik, Unternehmen, Wissenschaft sowie Bürgerinnen und Bürger – miteinander abgestimmt werden, so die IT-Forscherin. Um die Herausforderungen der Gegenwart zu meistern, brauche es klare Zuständigkeiten bei den Behörden, eine Bündelung der Kräfte, eine klar definierte Cybersicherheitsstrategie und deren exakte Umsetzung.
Cybersecurity in der Praxis
Betreiber kritischer Infrastrukturen sind verpflichtet, IT-Störungen oder erhebliche Beeinträchtigungen zu melden und die IT-Sicherheit stets auf dem aktuellen Stand der Technik zu halten. Doch wie sieht das in der Praxis aus?
Jörg Ochs, Leiter des Bereichs Informationstechnologie der Stadtwerke München, erklärte die 3-Säulen-Strategie seiner Organisation: Prävention, Detektion und Response. Die kritischsten Angriffspunkte bei Strom, Gas, Fernwärme und Wasser seien Umspannwerke und Regelanlagen, weil sie öffentlich sichtbar sind, sagte Jörg Ochs. Die Stadtwerke München setzten hier auf ein mehrstufiges Konzept mit eigener Infrastruktur und eigenen Glasfaserleitungen. Neben den mehrfach vermaschten aktiven Netzen bestehe ein zusätzlicher Schutz über niederbandbreite Kupfernetze. Weiterhin setzen die Stadtwerke München auf „Zero Trust“ mit einer Mikrosegmentierung, das heißt, die Netze werden möglichst klein gebaut, damit Mikrosegmente bei einem Angriff relativ einfach zu- und abgeschaltet werden können, um so den Angriff schnell eindämmen zu können.
Christian Sachgau, Head of Business Resilience bei der Deutsche Telekom Security GmbH, ging auf das Thema Resilienz ein. Es gebe zum einen die direkten Schutzmaßnahmen, die dafür sorgen, dass ein Schaden gar nicht oder nur in geringem Ausmaß eintritt. Dazu gehören physikalische Maßnahmen, Notstromversorgung und Cyberabwehr. Wenn trotz aller Maßnahmen nicht verhindert werden kann, dass eine Komponente oder ein Teil eines Geschäftsprozesses ausfällt, müsse man die Prozesse möglichst schnell wieder zum Anlaufen bringen.
Cybersecurity sei auch bei der Deutschen Telekom dreistufig aufgebaut. Einerseits gebe es ein Lagemanagement, das die Cyberlage beobachtet und erkennt, welche Bedrohungen in der Cyberwelt aktuell vorhanden sind. Diese Bedrohungen werden darauf hin analysiert, ob sie für die Telekom-Systeme relevant sind. Aus diesen Erkenntnissen können schließlich Handlungsoptionen abgeleitet werden. Beim Thema Cybersecurity, so Christian Sachgau weiter, sei die Gesetzgebung sehr umfangreich und komplex. Gerade die unterschiedlichen Regelungen in den verschiedenen Bundesländern oder gar Landkreisen seien für große, bundesweit agierende Unternehmen sehr herausfordernd.
Die anschließende Diskussion moderierte Marc-Denis Weitze. Dabei ging es auch um die Frage nach der Digitalen Souveränität Europas. acatech Präsident Jan Wörner betonte, wie wichtig in diesem Zusammenhang die Wahl der richtigen internationalen Partner sei. Claudia Eckert zeigte sich in diesem Zusammenhang besorgt darüber, wie abhängig Deutschland aktuell von Chipherstellern aus dem Ausland ist. Es sei wichtig darauf zu achten, wie diese Chips gefertigt werden. Man müsse dazu Regeln vorgeben, um eine gewisse Nachvollziehbarkeit zu ermöglichen und entsprechend eine sichere Basis aufzubauen. Auch die Lieferketten müssen nach ihren Worten im Auge behalten werden: Woher stammt die Hardware? Was steckt darin? Man müsse sicher gehen können, dass nichts in ungewünschter Weise manipuliert wurde.