Podiumsdiskussion

Welche neuen Ansätze zur Beurteilung und Erhöhung der IT-Sicherheit gibt es? Diese und weitere Fragen standen im Fokus des IT-Sicherheitsforums von VDE und BMBF. Auf dem Podium: Prof. Ina Schieferdecker, Fraunhofer FOKUS, Jens Feddern, Berliner Wasserbetriebe, Dr. Tim Stuchtey, Brandenburgisches Institut für Gesellschaft und Sicherheit, Michael Barth, Genau mbH und Moderator Sven Oswald

| VDE
23.11.2016 Berlin Veranstaltungsrückblick 257 0 TOP

IT-Sicherheit: Spagat zwischen Fort Knox und semi-permeabler Membran

Kritische Infrastrukturen sind das Rückgrat moderner Industrienationen. Sie gewährleisten die – häufig als selbstverständlich wahrgenommene – Versorgung mit Strom, Wärme, Wasser, Informationen und weiteren lebensnotwendigen Diensten. Diese Infrastrukturen werden immer häufiger von IT-Systemen gesteuert, die mit dem Internet verbunden sind. Damit ist ein Angriff von außen möglich und der Schutz vor Cyber-Angriffen zu einer neuen Herausforderung geworden.

Kontakt

Andreas Harner

Wie kann es gelingen, einerseits Kritische Infrastrukturen (KRITIS) zu schützen und sie andererseits offen zu halten, um die digitale Gesellschaft nicht zu lähmen? Diese und weitere Fragen standen im Fokus des hochkarätig besetzten IT-Sicherheitsforums in Berlin. Veranstaltet wurde es vom VDE und von dem zurzeit 12 Forschungsprojekte umfassenden Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ ITS|KRITIS des Bundesministeriums für Bildung und Forschung (BMBF) am 23. November 2016 in Berlin.

Frau auf dem Podium

"Im Kampf gegen Cyber-Kriminalität gibt es keine Sicherheit out-of-the-box", Dr. Christiane Thomas, Bundesministerium für Bildung und Forschung (BMBF)

| VDE

„Kritische Infrastrukturen sind die Basis unserer Gesellschaft – und ihr Schutz ist eine gesamtgesellschaftliche Aufgabe“, betonte Dr. Christiane Thomas vom BMBF in ihrer Auftaktrede. Das Thema IT-Sicherheit und kritische Infrastrukturen stehe deshalb seit Jahren oben auf der politischen und der Forschungsagenda. Zumal die Stärke der Angriffe und die Zahl der Schadviren ständig zunähmen, ebenso wie die Wege, auf denen Systeme angegriffen werden. Gerade im Zuge von Industrie 4.0 und dem Internet der Dinge ergäben sich neue Angriffspotenziale. So sei es Forschern gelungen, mit einer Drohne die Steuerung smarter Glühbirnen zu übernehmen. Mit einer solchen ließe sich die gesamte – smarte – Beleuchtung einer Stadt ausschalten. „Ein einstündiger Stromausfall zur Mittagszeit in Berlin würde rund 23 Millionen Euro kosten“, veranschaulicht Thomas, „Dabei kann jedes System gehackt werden und im Kampf gegen Cyber-Kriminalität gibt es keine Sicherheit out-of-the-box“. Genau aus diesem Grund habe das BMBF den Förderschwerpunkt "IT-Sicherheit für Kritische Infrastrukturen" gestartet. Das Besondere dabei: Die Projekte arbeiten nicht unabhängig voneinander, sondern tauschen sich über die Forschungsplattform VeSiKi aus.

Cyber Security als Nervensystem der digitalen Gesellschaft

„Die grundlegenden Funktionen der digitalen Gesellschaft hängen von der Sicherheit kritischer Infrastrukturen ab. Energie, Verkehr, Wasser, Kommunikation – sie alle werden von einem vielschichtigen Netzwerk gesteuert, vergleichbar einem digitalen Nervensystem. Und wie jeder komplexe Organismus benötigt auch dieser effektive Schutzmechanismen“, so Ansgar Hinz, VDE-Vorstandsvorsitzender. Aber gerade bei der IT-Sicherheit müsse darauf geachtet werden, die digitale Gesellschaft nicht zu lähmen statt zu schützen: „Information ist das Gold des 21. Jahrhunderts. Unsere Herausforderung besteht darin, ein weltumspannendes Fort Knox mit semi-permeabler Membran zu schaffen.“ Das Förderprogramm „IT-Sicherheit für Kritische Infrastrukturen“ sei dabei ein wichtiger Baustein.

Cyber-Angriffe treffen immer nur die Anderen

Im Forschungsprogramm gehe es zum einen darum, den Stand der IT-Sicherheit Kritischer Infrastrukturen zu bewerten und andererseits die Standards zu verbessern, erläuterte Prof. Dr. Ulrike Lechner, Projektleiterin VeSiKi, von der Universität der Bundeswehr, München. Eine aktuelle Umfrage unter Betreibern Kritischer Infrastrukturen sei zu folgendem Ergebnis gekommen: 28 % sehen im Bereich IT-Sicherheit in Deutschland eine sehr hohe Bedrohungslage. Für die eigene Branche schätzen 20 % der Befragten die Bedrohungslage als sehr hoch ein, in der eigenen Organisation sind es nur 8 %. „Die Umfrageergebnisse zeigen, dass das Thema IT-Sicherheit noch nicht in den Köpfen der Menschen angekommen ist und viele nach dem Motto verfahren `es trifft immer nur die anderen, aber nicht mich´.“

Ökosystem für IT-Sicherheit in Deutschland entwickeln

Mann auf Podium

"Der IT-Sicherheitsstandort Deutschland muss weiterentwickelt und ein Ökosystem für IT-Security etabliert werden", Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)

| VDE

Der Lagebericht zur IT-Sicherheit 2016 mache jedoch deutlich, dass Angriffe heute nicht mehr nur noch auf Einzelne abzielen, sondern auf viele. So werden täglich rund 380.000 neue Schadprogrammvarianten gesichtet. Bis August 2016 waren insgesamt mehr als 560 Millionen verschiedene Schadprogrammvarianten bekannt. „Alleine kann dieser Lage niemand mehr Herr werden. Deshalb muss der IT-Sicherheitsstandort Deutschland weiterentwickelt und ein Ökosystem für IT-Security etabliert werden“, betonte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es sei deshalb besonders wichtig, dass Forschungsergebnisse in die Anwendung überführt werden. Denn erst wenn Anwender die Produkte einsetzen, steige auch die Sicherheit für alle.

IT-Sicherheit in Theorie und Praxis


Aus der Betreibersicht einer kritischen Infrastruktur stellte Jens Feddern, Leiter der Berliner Wasserversorgung, eine Prämisse an den Anfang seines Vortrags: „Perfekte Technik beziehungsweise Technik allgemein hilft nur, wenn sie verstanden und akzeptiert wird.“ Zudem mahnte er, immer die Betreibersicht und dabei vor allem Branchenspezifika im Blick zu behalten. Beim Aufbau einer IT-Sicherheitsarchitektur gehe es darum, intelligente Mauern zu bauen, die dennoch praktikabel seien und nicht die Falschen aussperren.

In der anschließenden Podiumsdiskussion ging es dann unter anderem genau um die Frage, was passieren muss, um eine solche IT-Sicherheitsarchitektur aufzubauen. „Ich wünsche mir mehr Kommunikation aller Beteiligten und dass das BSI weniger als Regulierungsbehörde, sondern als technikfördernde Institution auftritt, die Innovationen treibt“, so Michael Barth von der Firma Genua, einem Anbieter von Sicherheitssystemen. Das BSI könnte künftig für kleine Betreiber einen Beschaffungsleitfaden bereitstellen – so sein Wunsch.

Agilität mahnte Dr. Tim Stuchtey vom Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) an: „IT-Sicherheit ist kein statischer Zustand: Die Angreifer bewegen sich ständig und wir müssen es ihnen gleichtun.“ Dies erfordere Kenntnisse des eigenen Zustands. Um die Awareness für das Thema zu schaffen, sei die Haftungsfrage ein zentrales Element. Zudem wünsche er sich nicht nur eine Förderung der Forschung zum Thema KRITIS, sondern auch die Förderung der Lehre: „Es kommt nicht nur auf gute Produkte an, sondern vor allem auf die Fachkompetenz.“

Das Thema Awareness hält auch Feddern für entscheidend: „Ohne einen gewissen Leidensdruck, setzen sich Unternehmen leider nicht mit dem Thema IT-Sicherheit auseinander.“ Er persönlich wünsche sich Mindeststandards für jede Branche, die dann auch zertifiziert und auditiert werden. Dazu müsse die Forschung noch mehr die Betreibersicht einbinden.

Aus Sicht von Prof. Ina Schieferdecker vom Fraunhofer Fokus spielt das Thema Awareness ebenfalls eine wichtige Rolle: „Beim Verständnis fängt es an“, betont sie. Zudem regte sie ein systematisches Risikomanagement an: „So etwas sollte analog zu einem Qualitätsmanagementhandbuch, das heute Standard ist, etabliert werden.“ Forscher hätten zudem leider nur wenige Möglichkeiten, ihre Forschungsergebnisse im Feld zu testen.

Beim Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ soll genau diese Lücke geschlossen werden - indem Theorie und Praxis, Forscher und Betreiber gemeinsam an Projekten arbeiten und mit dem wissenschaftlichen Begleitforschungsprojekt VeSiKi der interdisziplinäre Austausch gefördert wird.

... Andreas Harner, Projektmanager Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE)

Was ist das Besondere am Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“?

Die Besonderheit ist, dass die beteiligten Projektkonsortien stets aus einer Kombination von Wissenschaftlern und Betreibern kritischer Infrastruktur bestehen. Der Schwerpunkt liegt dabei vor allem auf der Anwendbarkeit der Ergebnisse in kleinen und mittleren Unternehmen (KMU).

Was ist das Ziel?

ITSKRITIS erforscht Lösungen gegen Bedrohungen aus dem Cyberraum. Diese haben systemischen Charakter. Das heißt, dass Sicherheitsmechanismen von Anfang an in den Systemen – Stichwort: "security by design" – eingebaut sein müssen. Alle Projekte berücksichtigen deshalb die Faktoren Mensch, Prozesse und technische IT-Sicherheit.

Welchen Beitrag leistet der VDE?

Der VDE ist Partner in der Begleitforschung VeSiKi des Förderschwerpunkts und koordiniert den Austausch zwischen den Forschungsprojekten und den relevanten Normungsgremien. Ein Ergebnis aus der Projektarbeit ist die Security-Landschaft. Sie soll dem Anwender die Möglichkeit geben, relevante Normen, Standards und Richtlinien für den eigenen Anwendungsfall zu finden.

Andreas Harner IT-Sicherheitsforum 2016

Nachgefragt bei...

... Andreas Harner, Leitung VDE Kompetenzzentrum Informationssicherheit

Andreas Harner IT-Sicherheitsforum 2016

... Andreas Harner, Leitung VDE Kompetenzzentrum Informationssicherheit

Was ist das Besondere am Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“?

Die Besonderheit ist, dass die beteiligten Projektkonsortien stets aus einer Kombination von Wissenschaftlern und Betreibern kritischer Infrastruktur bestehen. Der Schwerpunkt liegt dabei vor allem auf der Anwendbarkeit der Ergebnisse in kleinen und mittleren Unternehmen (KMU).

Was ist das Ziel?

ITS.KRITIS erforscht Lösungen gegen Bedrohungen aus dem Cyberraum. Diese haben systemischen Charakter. Das heißt, dass Sicherheitsmechanismen von Anfang an in den Systemen – Stichwort: "security by design" – eingebaut sein müssen. Alle Projekte integrieren deshalb die Faktoren Mensch, Prozesse und technische IT-Sicherheit.

Welchen Beitrag leistet der VDE?

Der VDE ist Partner in der Begleitforschung VeSiKi des Förderschwerpunkts und koordiniert den Austausch zwischen den Forschungsprojekten und den relevanten Normungsgremien. Ein Ergebnis aus der Projektarbeit ist die Security-Landschaft. Sie soll dem Anwender die Möglichkeit geben, relevante Normen, Standards und Richtlinien für den eigenen Anwendungsfall zu finden.

Impressionen des IT-Sicherheitsforums