IT-Sicherheit: Spagat zwischen Fort Knox und semi-permeabler Membran

Wie kann es gelingen, einerseits Kritische Infrastrukturen (KRITIS) zu schützen und sie andererseits offen zu halten, um die digitale Gesellschaft nicht zu lähmen? Diese und weitere Fragen standen im Fokus des hochkarätig besetzten IT-Sicherheitsforums in Berlin. Veranstaltet wurde es vom VDE und von dem zurzeit 12 Forschungsprojekte umfassenden Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ ITS|KRITIS des Bundesministeriums für Bildung und Forschung (BMBF) am 23. November 2016 in Berlin.

„Kritische Infrastrukturen sind die Basis unserer Gesellschaft – und ihr Schutz ist eine gesamtgesellschaftliche Aufgabe“, betonte Dr. Christiane Thomas vom BMBF in ihrer Auftaktrede. Das Thema IT-Sicherheit und kritische Infrastrukturen stehe deshalb seit Jahren oben auf der politischen und der Forschungsagenda. Zumal die Stärke der Angriffe und die Zahl der Schadviren ständig zunähmen, ebenso wie die Wege, auf denen Systeme angegriffen werden. Gerade im Zuge von Industrie 4.0 und dem Internet der Dinge ergäben sich neue Angriffspotenziale. So sei es Forschern gelungen, mit einer Drohne die Steuerung smarter Glühbirnen zu übernehmen. Mit einer solchen ließe sich die gesamte – smarte – Beleuchtung einer Stadt ausschalten. „Ein einstündiger Stromausfall zur Mittagszeit in Berlin würde rund 23 Millionen Euro kosten“, veranschaulicht Thomas, „Dabei kann jedes System gehackt werden und im Kampf gegen Cyber-Kriminalität gibt es keine Sicherheit out-of-the-box“. Genau aus diesem Grund habe das BMBF den Förderschwerpunkt "IT-Sicherheit für Kritische Infrastrukturen" gestartet. Das Besondere dabei: Die Projekte arbeiten nicht unabhängig voneinander, sondern tauschen sich über die Forschungsplattform VeSiKi aus.

„Die grundlegenden Funktionen der digitalen Gesellschaft hängen von der Sicherheit kritischer Infrastrukturen ab. Energie, Verkehr, Wasser, Kommunikation – sie alle werden von einem vielschichtigen Netzwerk gesteuert, vergleichbar einem digitalen Nervensystem. Und wie jeder komplexe Organismus benötigt auch dieser effektive Schutzmechanismen“, so Ansgar Hinz, VDE-Vorstandsvorsitzender. Aber gerade bei der IT-Sicherheit müsse darauf geachtet werden, die digitale Gesellschaft nicht zu lähmen statt zu schützen: „Information ist das Gold des 21. Jahrhunderts. Unsere Herausforderung besteht darin, ein weltumspannendes Fort Knox mit semi-permeabler Membran zu schaffen.“ Das Förderprogramm „IT-Sicherheit für Kritische Infrastrukturen“ sei dabei ein wichtiger Baustein.

Im Forschungsprogramm gehe es zum einen darum, den Stand der IT-Sicherheit Kritischer Infrastrukturen zu bewerten und andererseits die Standards zu verbessern, erläuterte Prof. Dr. Ulrike Lechner, Projektleiterin VeSiKi, von der Universität der Bundeswehr, München. Eine aktuelle Umfrage unter Betreibern Kritischer Infrastrukturen sei zu folgendem Ergebnis gekommen: 28 % sehen im Bereich IT-Sicherheit in Deutschland eine sehr hohe Bedrohungslage. Für die eigene Branche schätzen 20 % der Befragten die Bedrohungslage als sehr hoch ein, in der eigenen Organisation sind es nur 8 %. „Die Umfrageergebnisse zeigen, dass das Thema IT-Sicherheit noch nicht in den Köpfen der Menschen angekommen ist und viele nach dem Motto verfahren `es trifft immer nur die anderen, aber nicht mich´.“

Der Lagebericht zur IT-Sicherheit 2016 mache jedoch deutlich, dass Angriffe heute nicht mehr nur noch auf Einzelne abzielen, sondern auf viele. So werden täglich rund 380.000 neue Schadprogrammvarianten gesichtet. Bis August 2016 waren insgesamt mehr als 560 Millionen verschiedene Schadprogrammvarianten bekannt. „Alleine kann dieser Lage niemand mehr Herr werden. Deshalb muss der IT-Sicherheitsstandort Deutschland weiterentwickelt und ein Ökosystem für IT-Security etabliert werden“, betonte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es sei deshalb besonders wichtig, dass Forschungsergebnisse in die Anwendung überführt werden. Denn erst wenn Anwender die Produkte einsetzen, steige auch die Sicherheit für alle.

IT-Sicherheit in Theorie und Praxis

Aus der Betreibersicht einer kritischen Infrastruktur stellte Jens Feddern, Leiter der Berliner Wasserversorgung, eine Prämisse an den Anfang seines Vortrags: „Perfekte Technik beziehungsweise Technik allgemein hilft nur, wenn sie verstanden und akzeptiert wird.“ Zudem mahnte er, immer die Betreibersicht und dabei vor allem Branchenspezifika im Blick zu behalten. Beim Aufbau einer IT-Sicherheitsarchitektur gehe es darum, intelligente Mauern zu bauen, die dennoch praktikabel seien und nicht die Falschen aussperren.

In der anschließenden Podiumsdiskussion ging es dann unter anderem genau um die Frage, was passieren muss, um eine solche IT-Sicherheitsarchitektur aufzubauen. „Ich wünsche mir mehr Kommunikation aller Beteiligten und dass das BSI weniger als Regulierungsbehörde, sondern als technikfördernde Institution auftritt, die Innovationen treibt“, so Michael Barth von der Firma Genua, einem Anbieter von Sicherheitssystemen. Das BSI könnte künftig für kleine Betreiber einen Beschaffungsleitfaden bereitstellen – so sein Wunsch.

Agilität mahnte Dr. Tim Stuchtey vom Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) an: „IT-Sicherheit ist kein statischer Zustand: Die Angreifer bewegen sich ständig und wir müssen es ihnen gleichtun.“ Dies erfordere Kenntnisse des eigenen Zustands. Um die Awareness für das Thema zu schaffen, sei die Haftungsfrage ein zentrales Element. Zudem wünsche er sich nicht nur eine Förderung der Forschung zum Thema KRITIS, sondern auch die Förderung der Lehre: „Es kommt nicht nur auf gute Produkte an, sondern vor allem auf die Fachkompetenz.“

Das Thema Awareness hält auch Feddern für entscheidend: „Ohne einen gewissen Leidensdruck, setzen sich Unternehmen leider nicht mit dem Thema IT-Sicherheit auseinander.“ Er persönlich wünsche sich Mindeststandards für jede Branche, die dann auch zertifiziert und auditiert werden. Dazu müsse die Forschung noch mehr die Betreibersicht einbinden.

Aus Sicht von Prof. Ina Schieferdecker vom Fraunhofer Fokus spielt das Thema Awareness ebenfalls eine wichtige Rolle: „Beim Verständnis fängt es an“, betont sie. Zudem regte sie ein systematisches Risikomanagement an: „So etwas sollte analog zu einem Qualitätsmanagementhandbuch, das heute Standard ist, etabliert werden.“ Forscher hätten zudem leider nur wenige Möglichkeiten, ihre Forschungsergebnisse im Feld zu testen.

Beim Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ soll genau diese Lücke geschlossen werden - indem Theorie und Praxis, Forscher und Betreiber gemeinsam an Projekten arbeiten und mit dem wissenschaftlichen Begleitforschungsprojekt VeSiKi der interdisziplinäre Austausch gefördert wird.