15 www.net-im-web.de 12/25 wiederum sind Systeme zur Verbindung der Hardware-Komponenten, um die unidirektionale und bidirektionale Übertragung von Daten zu ermöglichen. Folgende Netz-Typen sind hier von Bedeutung: • Glasfasernetze • Koaxnetze • DSL-Netze • Mobilfunknetze • Datennetze • Internet Bei diesen müssen stets alle aktiven und passiven Komponenten betrachtet und außerdem auch die Endgeräte einbezogen werden. Bereiche Kritischer Infrastruktur Bei jeder KRITIS lassen sich bezüglich der Schutzmaßnahmen folgende Bereiche unterscheiden: • Software • Hardware • Grundstück • Gebäude • Personal Die Software ist eine besonders sensible KRITIS-Komponente, weil bei ihr äußere Einflüsse (Veränderungen, Austausch, Diebstahl, …) signifikante Funktionsstörungen bewirken. Es muss deshalb der Zugriff auf die Software besonders stringend geregelt werden. Da bei jeder Hardware Bedienvorgänge und Abläufe gezielt beeinflussbar sind, ist es erforderlich, den Zugang zu dieser nur autorisiertem Personal zu ermöglichen. Anlagen der KRITIS befinden sich im Regelfall auf Grundstücken. Deren Grenzen sollten deshalb elektronisch, aber auch manuell überwacht werden, um das Eindringen Unbefugter zu verhindern oder zu erkennen. Bei Anlagen der KRITIS in Gebäuden sollte unbedingt ein erhöhter Schutz gegen Zugriffe Unbefugter integriert werden, was durch mechanische oder elektrische Schlösser sowie elektronische Bewegungsmelder realisiert werden kann. Damit kann über den Versuch des unerlaubten Zugangs Dritter eine entsprechende Meldung zu der im Gebäude erforderlichen und durchgehend bemannten Überwachungszentrale erfolgen. Das bei KRITIS eingesetzte Personal muss besonders qualifiziert sein, um den durchgängigen Betrieb der Infrastruktur zu gewährleisten. Es bedarf dafür aber auch der regelmäßigen Fortbildung, um stets auf dem aktuellen Stand der Sicherheitsanforderungen zu sein. An die Personalauswahl werden also hohe Anforderungen gestellt. Aus den bereits aufgezeigten Gründen erfordert KRITIS einen nicht unerheblichen Aufwand für die Sicherheit bezüglich Zugang und Zugriff. Nur damit lässt sich eine hohe betriebliche Verfügbarkeit erreichen. Für diese Zuverlässigkeit bedarf es • ständigem Personaleinsatz für die Überwachung • mechanischer, elektrischer und/oder elektronischer Schutzmaßnahmen • schneller Meldeverfahren Für jede KRITIS ist auch das Vorhandensein von Redundanzen bei der technischen Ausstattung von Wichtigkeit, zu denen auch Notstromaggregate für die Energieversorgung gehören. Damit lässt sich bei Betriebsstörungen oder Ausfällen die volle Funktionsfähigkeit der jeweiligen Anlage schnellstmöglich wieder herstellen. Auch bei der Software sollte Redundanz verfügbar sein. Cyber Security KRITIS ist unmittelbar mit dem Begriff Cyber Security (Cyber-Sicherheit) verknüpft. Die altgriechische Bezeichnung „cyber“ steht für Steuerung, was heute als Steuerung technischer Systeme verstanden wird. Bezogen auf die IT gibt es den Cyber-Raum als virtuellen Raum aus allen vernetzten Computersystemen und über diese erfolgte Kommunikation. Er umfasst alle IT-Systeme, Infrastrukturen, Prozesse und Daten, die über das Internet und andere für Datenübertragung geeignete Netze global vernetzt sind. Bei unerlaubten Zugriffen auf IT-Systeme handelt es sich um auch als Cyber-Angriffe bezeichnete Cyber-Attacken, bei denen Daten verändert oder gestohlen werden sollen. Die Cyber Security umfasst alle Maßnahmen zum Schutz gegen CyberAttacken, um die Integrität der jeweiligen KRITIS sicherzustellen und die Vertraulichkeit und Verfügbarkeit von Informationen zu gewährleisten. Cyber Security umfasst damit den Schutz digitaler Systeme, Netze, Programme und Daten vor Cyber-Attacken und weist folgende Aspekte auf: • Technische und organisatorische Maßnahmen zum Schutz von Computern, Servern, Netzen, Geräten und Daten. • Bedrohungen (wie Malware, Pishing, Ransomware, unbefugte Zugriffe, Denial of Service (DoS) – Angriffe, …) frühzeitig erkennen, abwehren und Schäden vermeiden. • Geschäftsprozesse von Unternehmen bei Cyber-Attacken aufrechterhalten. • Technisch-betriebliche Maßnahmen (Firewall, Verschlüsselung, …). • Prozessrelevante Maßnahmen (regelmäßige Updates, Antiviren-Programme, Zugriffskontrollen, …). • Personenbezogene Maßnahmen (Mitarbeiterschulung, sichere Passworte) Fazit Zusammenfassend lässt sich feststellen, dass KRITIS die Grundlage für eine moderne und leistungsfähige Gesellschaft ist, weshalb der Schutz dieser Infrastruktur hohe Priorität haben muss. Dafür sind allerdings die im Beitrag aufgezeigten Maßnahmen unerlässlich. Mehr Sicherheit für die IT
RkJQdWJsaXNoZXIy MjE2Mzk=