Nicht nur im europäischen Raum hat man längst die Risiken der Digitalisierung und Verknüpfung von Systemen erkannt. Weltweit werden Gesetze und Strategien erarbeitet und umgesetzt, um die Sicherheit von kritischen Infrastrukturen zu garantieren.
Denn heutzutage ist ein Hack nicht mehr auf nur ein Gerät oder System beschränkt. Mittlerweile kann ein solcher Angriff die komplette Infrastruktur eines Betreibers bzw. eines Unternehmens kompromittieren. Dank der steigenden Anbindungen von Netzwerken und Geräten bedeutet ein Eindringen in ein System, dass damit nicht nur Spionage, sondern Manipulationen und Beeinträchtigungen sämtlicher Systeme Tür und Tor geöffnet ist. Das hat nicht nur am jeweiligen Standort drastische Auswirkungen, sondern kann sich auf Gesundheit, Sicherheit einer Bevölkerung und ganzer Wirtschaftssysteme negativ auswirken.
Ein Blick auf kritische Infrastrukturen in der Welt
USA
In Amerika wird seit 1996 der Schutz der kritischen Infrastruktur vorangetrieben. 1998 wurde eine Präsidentschaftsdirektive erlassen, die bestimmte Bereiche als für die nationale Sicherheit und die Wirtschaft als kritisch einstuft. Im Patriot Act, der 2001 beschlossen wurde, wurde der Begriff der kritischen Infrastrukturen auf Systeme und Anlagen, sowohl physischer als auch virtueller Natur, die für das Land wichtig sind, erweitert. 2014 wurde das NIST Cybersecurity Framework veröffentlicht, das zahlreiche Richtlinien für kritische Infrastrukturen beinhaltet.
In den Vereinigten Staaten von Amerika ist CISA für den Schutz der kritischen Infrastruktur des Landes vor physischen und digitalen Bedrohungen verantwortlich. Dieser ist für die effektive Koordination und Zusammenarbeit zwischen einem breiten Spektrum an Unternehmen und Bereichen verantwortlich. Das National Cybersecurity and Communications Integration Center (NCCIC) des CISA bietet der Bundesregierung, den Regierungen von Bundesstaaten, Kommunen, dem Privatsektor und internationalen Partnern rund um die Uhr Möglichkeiten zur Analyse, Reaktion auf Vorfälle, Einschätzung der Sicherheitslage und Cyberabwehr.
Schweiz
2012 hat der Schweizer Bundesrat erstmals eine nationale Strategie zum Schutz kritischer Infrastrukturen verabschiedet. Darin wurden 15 Maßnahmen angeführt, mit denen die Widerstandsfähigkeit (Resilienz) der Schweiz im Hinblick auf kritische Infrastrukturen gestärkt werden soll. Am 8. Dezember 2017 hat der Bundesrat eine neue Version der nationalen Strategie zum Schutz kritischer Infrastrukturen 2018 – 2022 verabschiedet.
Das Spektrum der kritischen Infrastrukturen umfasst insgesamt neun Bereiche, unterteilt in 27 Branchen. Das Inventar bezeichnet einzelne kritische Infrastruktur-Elemente, die von strategisch wichtiger Bedeutung sind. Grundsätzlich gelten sämtliche Elemente wie Betreiberfirmen, IT-Systeme, Anlagen, Bauten usw. als Teil der kritischen Infrastruktur, die Leistungen in einem der 27 Teilsektoren erbringen – unabhängig von ihrer Kritikalität. Dabei handelt es sich zum einen um wichtige Bauten und Anlagen, etwa zentrale Knotenpunkte in der Stromversorgung, der Telekommunikation (Internet) oder im Nationalstrassennetz. Neu sollen zum anderen auch wichtige IT-Systeme, beispielsweise für die Steuerung des Stromnetzes oder des Schienenverkehrs, sowie wichtige Betreiberfirmen identifiziert und im Inventar erfasst werden. Was als kritische Infrastruktur klassifiziert ist, ist nur zugriffsberechtigten Stellen (Bund, Kantone und Betreiber) als Planungs- und Priorisierungsgrundlage im Risikomanagement und in der Ereignisbewältigung zugänglich.
Israel
Israel verfolgt in Sachen kritischer Infrastruktur einen zentralisierten Regulierungszugang, der kritische Infrastrukturen definiert und Vorgaben macht. Schon 2002 begann Israel im Rahmen einer Resolution des Nationalen Sicherheitsministerausschusses mit der Ausarbeitung und Umsetzung einer nationalen Politik, die bestimmte als wesentlich erachtete computergestützte Systeme als schützens- bzw. überwachungswert anführte. Damit hatte das Land ein einzigartiges Rechts- und Regelungsmodell für den Schutz kritischer Infrastrukturen entwickelt. Der israelische Ansatz sieht auch eine Zusammenarbeit zwischen dem öffentlichen, dem Sicherheits-, dem akademischen und dem privaten Sektor vor.
Das Israel National Cyber Directorate ist für alle Aspekte der Cybersecurity verantwortlich, von der Formulierung von Richtlinien und dem Aufbau von Technologien bis hin zur operativen Verteidigung sowie der Steigerung der Widerstandsfähigkeit. Daneben bietet die Abteilung Beratung für kritische Infrastrukturen und für die israelische Wirtschaft. Zu den regulierten Stellen gehören Ministerien, Behörden, Börse und Banken, ausgewählte Verteidigungsindustrien, Gas-, Energie- und Wasserunternehmen, Krankenhäuser, Kommunikationsdienstleister und nationale Transportmittel. Für kritische Infrastrukturen gibt es bindende Richtlinien zu Informationssicherheit und Cybersecurity, die jedoch nicht veröffentlicht werden.
Japan
Im Zuge der Vorbereitung Japans auf die Olympischen und Paralympischen Spiele 2020 in Tokio wurde der Cybersecurity im Hinblick auf die Zunahme, Häufigkeit und Komplexität von Cyberangriffen mehr Aufmerksamkeit geschenkt. Dies wurde zum Anlass genommen, mehr Augenmerk auf die Sicherheit von Infrastrukturbereichen und der datenabhängigen Netze sowie das Internet der Dinge, IoT, zu legen.
Japans kritische Infrastruktur ist in 14 Bereiche aufgeteilt, die das Leben der Bevölkerung und ihre sozioökonomischen Aktivitäten ernsthaft beeinträchtigen können, falls sie ausfallen. Dazu zählen u.a. Informations- und Kommunikationsdienstleistungen, Energie, Finanzen, Regierung, Logistik und Gesundheit.
Die Regierungsbehörde IPA, Agentur zur Förderung von Informationstechnologie, hat im April 2017 das Industrial Cyber Security Center of Excellence (ICSCoE) gegründet. Bis 2020 soll es Japan so stärken, dass kritische Infrastrukturen effektiv geschützt werden können. Japan versucht damit eine Sicherheitslücke zu schließen, da ernsthafte Sicherheitslösungen zum Schutz von industriellen Steuerungssystemen bislang fehlten. Um kritische Infrastrukturen bestmöglich vor Angriffen zu sichern, ist die IPA in Forschung und aktive Prävention aufgeteilt.
Mögliche Bedrohungen, Angriffe oder Ausfälle müssen dem NISC, dem National Center of Incident Readiness and Strategy for Cybersecurity, gemeldet werden.
Kanada
Die nationale Strategie Kanadas basiert auf den Prinzipien des Emergency Management Frameworks for Canada – darin sind die verschiedenen Interessengruppen des kanadischen Notfallmanagementsystems festgehalten, die eingebunden werden müssen, um die Sicherheit der Bevölkerung zu erhöhen.
Die National Strategy und der Action Plan for Critical Infrastructure legen einen risikobasierten Ansatz zur Stärkung der Widerstandsfähigkeit der kritischen Infrastruktur Kanadas fest, wie z.B. die Lebensmittelversorgung, Stromnetze, Transport, Kommunikation und öffentliche Sicherheitssysteme. Da sich das Risikoumfeld laufend weiterentwickelt, werden auch die Sicherheitsstrategien entsprechend angepasst und adaptiert. So wird der Aktionsplan regelmäßig erweitert, um die sich ständig ändernden Bedrohungsszenarien, bekannte Schwachstellen und mögliche Vermeidungsstrategien einzubinden. In Übereinstimmung mit der Gesetzesvorgabe arbeitet Public Safety Canada daran, den Schutz von kritischen Infrastrukturen voranzutreiben. Kanada hat zehn Sektoren als wichtig für die kritische Infrastruktur des Landes eingestuft. Angesichts der fortschreitenden Vernetzung der kritischen Infrastruktur sind in die Umsetzung der Maßnahmen neben Regierungs- und Interessengruppen auch Eigentümer und Betreiber, Strafverfolgungsbehörden sowie Forschungs- und Entwicklungseinrichtungen involviert. Aufbauend auf diesem Ansatz arbeitet Public Safety Canada mit seinen Partnern zusammen, um Risiken zu managen, Schwachstellen zu reduzieren und die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken.
Australien
Schon 2009 überprüfte Australien seine Vorkehrungen zum Schutz kritischer Infrastrukturen. Die Überprüfung ergab, dass die Widerstandsfähigkeit und das Risikomanagement dieser Bereiche verbessert werden muss, um auch in Zukunft grundlegende Leistungen zu erbringen.
Australien hat im Innenministerium ein eigenes Zentrum für kritische Infrastrukturen eingesetzt und 2018 dazu den Security of Critical Infrastructure Act samt Compliance-Strategien verabschiedet. Das eigens eingesetzte Zentrum für kritische Infrastrukturen koordiniert das Management der komplexen nationalen Sicherheitsrisiken für die kritische Infrastruktur Australiens. Der Schwerpunkt liegt dabei auf den Risiken von Sabotage, Spionage und Zwang in den Bereichen Telekommunikation, Strom, Gas, Wasser und Häfen. Als kritische Infrastruktur werden jene physischen Einrichtungen, Lieferketten, Informationstechnologien und Kommunikationsnetze angesehen, die das Funktionieren der australischen Gesellschaft und Wirtschaft unterstützen und ein wesentlicher Bestandteil des Wohlstands der Nation sind. Dazu zählt auch die Bereitstellung grundlegender Dienstleistungen wie Lebensmittel, Wasserversorgung, Transport, Gesundheit, Energie, Kommunikation, Verkehr und Bankwesen. Die Strategie zum Schutz der kritischen Infrastruktur basiert auf den bislang gesammelten Erfahrungen sowie internationalen Best Practices.
Das Zentrum für kritische Infrastrukturen arbeitet mit Eigentümern, Betreibern sowie staatlichen und territorialen Regulierungsbehörden zusammen, um Bedrohungen in den risikoreichsten Anlagen zu identifizieren und zu minimieren. 2020 werden sowohl die Strategie als auch der Erfolg einer umfassenden Überprüfung unterzogen, um die bis dahin umgesetzten Maßnahmen zu bewerten.
OT-Risiken einschätzen
Die Sicherheitsrisiken für kritische Infrastrukturen werden immer komplexer und entwickeln sich kontinuierlich weiter. Auch der immer höhere Grad der Vernetzung kritischer Infrastrukturen sowie die steigende Abhängigkeit von globalen Lieferketten stehen dabei immer mehr im Fokus.
Was als kritische Infrastruktur angesehen wird, unterscheidet sich je nach Land oft nur in der dargestellten Detailtiefe. Viele Experten bemängeln aber noch, dass zwar die Risiken und Anfälligkeit erkannt werden, aber die Absicherung speziell von Operational Technology, sprich OT, kaum umgesetzt wird. Dafür würde sich ein Best-Practice-Ansatz bestens eignen, um OT-Cyberrisikotoleranz festzulegen und Leistungen daran zu messen. Allgemeine Sensibilisierung und Schulungen, Informationsaustausch über Bedrohungen sowie zu technischen Informationen gehören dazu ebenfalls auf die Agenda.
Die Priorisierung der Ressourcen ist ebenfalls notwendig, um Sicherheit in den Mittelpunkt zu rücken und entsprechende Maßnahmen umzusetzen. Denn je mehr Vorsprung Angreifer haben, desto größer ist die Bedrohung.