Mehr IT und Vernetzung, vor allem in Kritischen Infrastrukturen, erfordert mehr Sicherheitsdenken, Innovationen und Investitionen. Ulrike Lechner beschreibt den Beitrag der Forschung dazu.
Springer Professional: Was ist das Anliegen des BMBF-Verbundvorhabens "Vernetzte IT-Sicherheit Kritischer Infrastrukturen"?
Ulrike Lechner: Die IT-Sicherheit Kritischer Infrastrukturen zu erhöhen ist das zentrale Anliegen des Forschungsprojekts "Vernetzte IT-Sicherheit Kritischer Infrastrukturen (VeSiKi)". Die Kritischen Infrastrukturen Deutschlands gehören zu den sichersten und zuverlässigsten weltweit und wir leisten in der Forschung einen Beitrag dazu, dass das auch - trotz der neuen Cyberbedrohungen - so bleibt. Unser Anliegen ist auch, dass Technologie-Anbieter Kritische Infrastrukturen mit sicheren Technologien ausstatten können.
Welche Fragestellungen werden in den Teilprojekten thematisiert?
Zu den konkreten Forschungsresultaten gehören eine Fallstudienserie zu erfolgreichen Umsetzungsbeispielen von IT-Sicherheit, die IT-Security Matchplays als eine Serie von Serious Games mit Operation Digitaler Eule, Operation Digitalem Chamäleon und Operation Digitaler Schlange, mit der das Bewusstsein für IT-Sicherheit von IT-Fachpersonal gestärkt wird und mit der wir Angriffsketten analysieren. Wir haben einen Navigator für Normen, Standards und Gesetze entwickelt, mit der Anwender die für sie gültigen Regelungen interaktiv identifizieren können und erstellen das erste deutsche Handbuch zur Umsetzung von Cybersecurity-Recht.
Eine unserer Aufgaben ist die Begleitung des Förderschwerpunkts IT-Sicherheit für Kritische Infrastrukturen des BMBF (ITS|KRITIS). Dabei stellen wir die Plattform www.itskritis.de für die Vernetzung bereit. In diesem Förderschwerpunkt forschen circa 80 Betreiber Kritischer Infrastrukturen, Technologieanbieter und Forschungsinstitutionen zusammen in 13 Projekten.
Sind die Kritischen Infrastrukturen in Deutschland ausreichend vor aktuellen Bedrohungen geschützt?
Die Kritischen Infrastrukturen Deutschlands gehören zu den zuverlässigsten und sichersten der Welt. Wir sehen in unserer Forschung, dass die Betreiber erhebliche Anstrengungen unternehmen, das Thema IT-Sicherheit – auch in Zusammenarbeit mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) voranzubringen. Heute funktioniert der Schutz Kritischer Infrastrukturen offensichtlich gut. In Zukunft werden Themen wie Digitalisierung, Internet of Things, Industrie 4.0
oder Vernetztes und Automatisiertes Fahren wichtiger. Mehr Vernetzung und mehr IT bedeutet, dass auch für die Sicherheit heute etwas getan werden muss, dass die Innovationen für die neuen Geschäftsmodelle der Zukunft umgesetzt werden können.
Wie nehmen Betreiber der Kritischen Infrastrukturen das Thema IT-Sicherheit wahr und wie schützen sie sich vor potenziellen Gefahren?
In unserer Studie "Monitor IT-Sicherheit Kritischer Infrastrukturen" haben wir festgestellt, dass die IT-Sicherheitsverantwortlichen ihre eigene Bedrohungslage weniger dramatisch einschätzen als die Bedrohungen für ihre Branche und die wiederum weniger kritisch als die für den ganzen Wirtschaftsraum Deutschland. Analoges gilt für die Fähigkeit Cyberangriffe abwehren zu können. Die Zahlen legen nahe, dass diese Selbsteinschätzungen zu optimistisch sind. Hier setzt die Forschung des Förderschwerpunkts "IT-Sicherheit für Kritische Infrastrukturen" an. Technologien zu entwickeln, die es einerseits erlauben Bedrohungen zu erkennen und andererseits eine realistische Einschätzung der IT-Sicherheit der eigenen Organisation liefern, wird ein zentraler Beitrag von ITS|KRITIS zur IT-Sicherheit Kritischer Infrastruktur Deutschlands darstellen.
Der Branchenstandard "IT-Sicherheit Wasser/Abwasser" wurde im August vom BSI anerkannt. Was regelt der Standard und bis wann sind die verpflichtenden Anforderungen an die IT-Sicherheit von den Betreibern einzuhalten?
Das IT-Sicherheitsgesetz und die KRITIS Verordnungen legen fest, dass Unternehmen den Schutz ihrer Informationstechnologien mit angemessenen Vorkehrungen entsprechend dem Stand der Technik umsetzen müssen. Der Branchenstandard IT-Sicherheit Wasser/Abwasser ist der erste Branchenstandard, der dieses Gesetz umsetzt und der den Begriff "Stand der Technik" klärt.
Das gibt nicht zuletzt Sicherheit für die Auditierung von Betreibern Kritischer Infrastrukturen. Zwei Jahre ab Inkrafttreten der KRITIS Verordnung müssen die Betreiber die Schutzmaßnahmen eingeführt haben und dies dann alle zwei Jahre gegenüber dem BSI nachweisen.