Einige Augenöffner gab es bei #9vor9 mit dem Kyndryl Cybersecurity-Experten Dominik Bredel, der mit uns über die Bedrohiung kritischer Infrastrukturen in Deutschland durch Cyberangriffe gesprochen hat. In punkto Regularien, der der sogenannte KRITIS-Verordnung (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) sind wir – typisch deutsch – ganz vorne dabei. Die Verordnung definiert neun Sektoren kritischer Infrastrukturen und legt fest, welche Unternehmen und Organisationen als Betreiber von kritischen Infrastrukturen gelten. Diese Betreiber von kritischen Infrastrukturen sind verpflichtet, bestimmte Sicherheitsanforderungen zu erfüllen und Störfälle zu melden.
Doch hören wir in unser Gespräch hinein:
Gesetze und Vorschriften also sehr gut, ob wir allerdings in der Vorbereitung und Abwehr ebenso gut sind, darf diskutiert werden, denn natürlich sind die Bedrohungen vielfältig. Vor allem ist unterdessen klar, dass nicht nur kommerziell interessierte Hacker unterwegs sind. In den durch ein internationales Rechercheteam mit Journalisten des Spiegel, des ZDF, des Guardian und des österreichischen Standards offen gelegten “Vulkan Files” wird deutlich, dass Russland systematisch Cyberangriffe konzipiert har. Die Dokumente geben einen Einblick in Putins digitale Cyberkriegspläne und zeigen, dass russische Geheimdienste Desinformation und Angriffe auf zivile Infrastruktur planen – mit Software des Moskauer Unternehmens Vulkan.
Die Bedrohungslage ist ernst, auch wenn es gerade etwas ruhiger geworden zu sein scheint. Doch sind das BSI, der Bundesnachrichtendienst und das BKA weiter besorgt. Man sei im vergangenen Jahr in zwei Fällen nur knapp an einer Krise vorbei geschrammt. Bei einer Konferenz zur Cybersicherheit am Hasso-Plattner-Institut riefen die Experten gerade kleineren Kommunen dazu auf, IT-Dienstleistungen an geeignete Cybersecurity-Profis auszulagern.
Hier sind wir bei einem weiteren kritischen Punkt, den Dominik bei #9vor9 angesprochen hat: Es gibt bei weitem nicht genug Cybersecurity-Experten und es scheint, dass man oft einfach auf die Kompetenzen von Branchenriesen wie Microsoft oder Google angewiesen ist, um den Bedrohungen qualifiziert begegnen zu können. Jedes Unternehmen muss hier entscheiden, welche Kompetenzen man selbst vorhalten, welche man an spezialisierte Security-Anbieter auslagern und wo man auf die Kompetenzen besagter Branchenriesen zurückgreifen sollte. Hier gilt es, einen gesunden Mix zu finden.
Dominik geht davon aus, dass die KRITIS-Verordnungen, die derzeit für die neun Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (ITK), Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur sowie natürlich Staat und Verwaltung gelten, weiter um sich greifen werden, also viele weitere Bereiche betreffen könnten. Doch halten wir uns vor Augen, dass es eben nicht primär um Vorschriften gehen sollte, sondern um wirksame Prävention, um Sensibilisierung der Mitarbeiterinnen und Mitarbeiter und aktuell gepatchte Systeme – und das aus reinem Selbstschutz.
Wir werden hoffentlich bald mit Dominik Bredel in genau diese Aspekte der Thematik Cybersecurity tiefer einzutauchen. Herzlichen Dank für die Expertise.
StefanPfeiffer.Blog 
Kommentar verfassen