Kritische Infrastrukturen

KRITIS – von der Pflicht zum Wettbewerbsvorteil

| Autor / Redakteur: Lars Göbel / Peter Schmitz

KRITIS ist aktuell sehr stark von den Diskussionen um Cybersicherheit geprägt, dabei ist das Thema Ausfallsicherheit mindestens genauso wichtig.
KRITIS ist aktuell sehr stark von den Diskussionen um Cybersicherheit geprägt, dabei ist das Thema Ausfallsicherheit mindestens genauso wichtig. (© panimoni - Fotolia)

Mit dem IT-Sicherheitsgesetz und der Definition von Kritischen Infrastrukturen (KRITIS) hat der Gesetzgeber unterschiedlichen Organisationen eine „Motivation“ an die Hand gegeben, sich über die Sicherheit und Ausfallresistenz ihrer IT-Infrastruktur Gedanken zu machen. Viele Fragen sind jedoch bis heute offen.

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ reagiert auf die Tatsache, dass die zunehmende Vernetzung von Objekten, auch außerhalb klassischer IT-Infrastrukturen, über Netzwerke nicht nur die Effizienz und Wertschöpfungsfähigkeit erhöht. Sie trägt auch dazu bei, dass die vernetzten Strukturen anfälliger für Cyberattacken werden.

Hinzu kommt, dass der Ausfall von Anlagen durch die Verbindung zu anderen Organisationen zu Domino- und Kaskadeneffekten führen kann. In diesem Kontext bedeutet der Ausfall eines Bausteins automatisch den Exitus aller vernetzten Strukturen. Das IT-Sicherheitsgesetz fokussiert sich vor allem auf Branchen und Organisationsbereiche, die für den Fortbestand eines funktionierenden Staatswesens und der Gesellschaft von zentraler Bedeutung sind. Zu den von KRITIS betroffenen Unternehmen gehören solche aus den Branchen Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung sowie Finanz- und Versicherungswesen.

Ein unbeliebtes Thema

Kann aus der Branchenzugehörigkeit zumindest jetzt schon einmal die Betroffenheit von KRITIS abgeleitet werden, sieht es doch bei den Herausforderungen und Optionen noch ganz anders aus. Viele Organisationen wissen nicht, wie sie die IT-Sicherheit und Ausfallsicherheit nach dem „aktuellen Stand der Technik“ gewährleisten sollen und wie sie am besten vorgehen. Hinzu kommt, dass staatliche Auflagen bei Betroffenen selten für Enthusiasmus sorgen. Handelt es sich doch zumeist um Investitionen, die keinen erkennbaren Zugewinn für Wachstum und Innovationsfähigkeit mit sich bringen. Bei KRITIS ist das jedoch anders, sofern man die staatlichen Handlungsaufforderungen mit der Digitalisierungsstrategie in Verbindung setzt. Dann ist es möglich, das Notwendige mit dem Nützlichen zu verbinden und sich auf diese Weise echte Wettbewerbsvorteile zu erarbeiten.

KRITIS ist mehr als IT-Sicherheit

KRITIS ist aktuell sehr stark von den Diskussionen um Cybersicherheit geprägt. Dies liegt daran, dass von Hackern herbeigeführte Blackouts beispielsweise bei der Stromversorgung oder im Klinikbetrieb zu nachvollziehbaren Schreckreaktionen bei der Bevölkerung und auch bei Unternehmen führen. Mindestens genau so realistisch ist jedoch der zweite große Handlungsstrang, der sich um das Thema Ausfallsicherheit dreht. Man kann davon ausgehen, dass bei mindestens 80 Prozent der von KRITIS betroffenen kritischen Infrastrukturen der IT-Betrieb nicht zum Kerngeschäft gehört. Alleine aus betriebswirtschaftlichen Erwägungen heraus wäre es für viele Unternehmen schon vor Jahren an der Zeit gewesen, die IT-Infrastruktur in professionell betriebene Rechenzentren auszulagern. Die Möglichkeit, die eigene IT mit eigenem Personal in einer fremden Rechenzentrumsinfrastruktur zu betreiben, die immer auf dem aktuellen Stand der Technik ist, ist wahrlich nicht neu. Neu ist jedoch das Momentum, das durch das IT-Sicherheitsgesetz in die Debatte kommt und wie ein Katalysator wirkt.

Das Beispiel Stromversorgung

Alleine die Bereitstellung redundanter Stromversorgung für den kontinuierlichen IT-Betrieb ist ein Thema für sich. Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Verteilungsnetzbetreiber bzw. der Energieversorgungsunternehmen. Schon Unterbrechungen von mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Diese Unterbrechungen beruhen einzig auf Störungen im Versorgungsnetz. Hinzu gesellen sich Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten. Welches Unternehmen sieht es als seine Hauptaufgabe an, sich zu einem Experten für Versorgungssicherheit zu mausern, wenn er die Aufgabe auslagern kann? Wir sprechen hier unter anderem über A+B-Versorgung der installierten Systeme ab Hauseingang, Ausschluss geplanter Unterbrechungen der Energieversorgung gleichzeitig auf beiden Versorgungssträngen durch redundante vermaschte Versorgung und externen Energieversorger, N+1-redundante, USV-gesicherte Stromversorgung mit Batteriepufferung für 25 Minuten pro Seite bei Volllast und Notstromdiesel auf jeder Seite sowie Lastübernahme innerhalb von 15 Sekunden. Gleiches gilt für andere Rechenzentrumsthemen wie die gesamte Absicherung der Infrastruktur gegen Zugriffe physischer Natur und die Absicherung der Datenbestände durch Zugangskontrollen und ähnliches.

Die richtige Backup-Strategie fahren

Ähnliche Fragen ergeben sich im Hinblick auf die Sicherung und Verfügbarkeit von Datenbeständen. Wir sprechen an dieser Stelle von Backup-Strategien und Disaster Recovery-Szenarien. Wenn gespeicherter Daten verloren gehen, kann das starken Einfluss auf Geschäftsprozesse und damit auf die gesamte Organisation haben. Die Zerstörung oder Verfälschung geschäftsrelevanter Informationen kann dazu führen, dass Prozesse und Fachaufgaben verzögert und ihre Ausführung verhindert werden. Zusätzlich zum Produktionsausfall und den anfallenden Kosten für die Wiederbeschaffung der Daten sind es vor allem die langfristigen Konsequenzen, die Unternehmen fürchten müssen. Hierzu gehören Vertrauenseinbußen bei Kunden und Partnern sowie ein negatives Image in der Öffentlichkeit. Die direkten und indirekten Schäden durch Datenverluste können Institutionen sogar in ihrer Existenz bedrohen.

Disaster Recovery: Was tun wenn’s brennt?

Ein Daten-Backup an einem separaten Standort ist der erste wichtige Schritt, um die IT im Falle eines Ausfalls weiterführen zu können. Doch das allein genügt nicht: Bei der Etablierung eines Business-Continuity-Plans sollten im Besonderen Disaster Recovery-Lösungen bedacht werden. Im Katastrophenfall wie einem Brand im Rechenzentrum kann es zum Ausfall von Anwendungen und Server-Kapazitäten kommen. Die extern gesicherten Daten allein reichen so nicht mehr aus. Wir sprechen an dieser Stelle von umfassender Absicherung, auch von Anwendungen und Serverkapazitäten im Katastrophenfall, sofortiger Systemverfügbarkeit auch bei Komplettausfall, dem Vorhandensein von Notfallarbeitsplätzen sowie gesetzeskonformen Vorgehen streng gemäß deutscher Datenschutzgesetze.

ISO 27001 weist den Weg

Die hier skizzierten Ansätze sind nur ein Auszug derjenigen Maßnahmen, die im Rahmen des IT-Sicherheitsgesetzes angeschoben werden müssen. Die gute Nachricht ist, dass kein KRITIS-Verantwortlicher hier auf sich alleine gestellt ist. Full IT Service Provider mit eigenem Hochsicherheitsrechenzentrum sind heute in der Lage, Unternehmen mit modularen Service-Angeboten, die nach Quantität und Qualität flexibel skalierbar sind, an die Thematik heranzuführen. Der Goldstandard in diesem Kontext ist die Zertifizierung nach ISO 27001. Hinzu kommen noch technische Richtlinien wie BSI TR-03145, also Sicherheitszertifikate für Stromzähler, Wasserzähler, Smart Home Devices und andere Elemente der Vernetzung, auf die künftig verstärkt geachtet werden sollte. Auf diese Weise vollumfänglich zertifizierte Partner garantieren, dass alle genutzten Services und etablierten Lösungen gesetzeskonform sind. Und das ist es ja, worum es letztlich geht.

Über den Autor: Lars Göbel ist Leiter Strategie & Innovation bei der DARZ GmbH, einem Digital Evolution Provider.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44616096 / Notfallmanagement)