Nicht erst seit dem Überfall Russlands auf die Ukraine und dem damit verbundenen Cyberkrieg um die Meinungshoheit auf den Nachrichtenkanälen ist das Thema IT-Sicherheit von kritischen Infrastrukturen, kurz KRITIS genannt, ins Bewusstsein der Öffentlichkeit gerückt. Ständige Cyberangriffe, die nicht nur digitales Chaos, sondern auch Schäden an physischer Infrastruktur verursachen können, zeigen, wie verwundbar unser immer stärker von IT-Technologie durchdrungenes tägliches Leben inzwischen ist.
Dr. Heidrun Benda
Diese Verwundbarkeit der kritischen Infrastruktur durch Hacker, Cyber-Kriminelle und staatlich gesteuerte IT-Angriffe hat in den letzten Jahren überproportional zugenommen. Vermehrte Bedrohungen, die für das staatliche Gemeinweisen und die öffentliche Sicherheit eine wichtige Bedeutung haben, wie die Bereiche Energie- und Wasserversorgung, Telekommunikation, Informationstechnik, medizinische Versorgung und Krankenhäuser, Banken und Versicherungen, Polizei und Justiz, Logistik und Nahrungsmittelversorgung führten zu einem allmählichen Umdenken hin zu mehr Sicherheitsbewusstsein, für das es sich lohnt, mehr Ressourcen einzusetzen.
Denn fallen kritische Infrastrukturen ganz oder teilweise aus, kann dies zu erheblichen Belastungen für Staat, Wirtschaft und großen Teilen der Bevölkerung führen. Die Auswirkungen von erfolgreichen Cyberangriffen können wesentlich mehr Kosten nach sich ziehen, als vorbeugende Maßnahmen. KRITIS-Betreiber über jeweils festgelegten Schwellwerten stehen daher inzwischen entsprechend dem IT-Sicherheitsgesetz (IT-SiG) von 2015 und der Kritis-Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI-KritisV) in der Pflicht, angemessene organisatorische und technische Maßnahmen zur Sicherheit ihrer IT umzusetzen und diese stetig zu aktualisieren. Um die Sicherheit von informationstechnischen Systemen in kritischen Sektoren nicht dem Zufall zu überlassen, hat der Gesetzgeber für bestimmte Anlagen ab einer gewissen Größe gesetzliche Mindeststandards verankert. Diese nimmt unter anderem die Betreiber von erneuerbaren Energieanlagen, wie Wind- und Solarparks, aber auch Wasserkraftwerke in Sachen Informationssicherheit in die Pflicht.
Schon „frühzeitig“ sah die Bayerische Staatsregierung Handlungsbedarf und schuf zum 1. Dezember 2017 als erstes Bundesland ein eigenes Landesamt für Sicherheit in der Informationstechnik, kurz LSI. Zu den Hauptaufgaben des LSI gehört neben dem Schutz der staatlichen IT-Systeme, die Beratung öffentlicher Betreiber kritischer Infrastrukturen sowie von Kommunen zu sämtlichen Fragen zum Thema IT-Sicherheit. Benda betonte, dass das LSI dabei keine Aufsichtsbehörde für die Betreiber kritischer Infrastrukturen ist, sondern Expertenwissen bei der Verbesserung der individuellen IT-Sicherheit der Betreiber bietet.
Ausgestattet ist die Behörde mit inzwischen 119 Mitarbeitenden, geplant sind 200, führte Dr. Heidrun Benda vom LSI zu Beginn ihres Vortrags aus. Da das Thema IT-Sicherheit gerade auch in Kommunen, die ja in vielfacher Weise für die kritische Infrastruktur vor Ort verantwortlich sind, ein noch besser zu bestellendes Feld darstellt, ist es Aufgabe von Dr. Heidrun Benda und ihrem Team, öffentliche KRITIS-Betreiber für das Thema Schutz und Sicherheit in der IT zu sensibilisieren und zu beraten. Schließlich ist die öffentliche Hand der geltenden Gesetzgebung genauso verpflichtet wie privatwirtschaftliche Betreiber von kritischen Infrastrukturen, zum Beispiel Wasserkraftanlagenbetreiber. Für das LSI gibt es in Bayern ein weites Feld zu beackern: Neben Stadtwerken, Abfallentsorgern und Verkehrsbetrieben auch 2.200 Wasserversorger, 2.500 Abwasserentsorger und rund 360 Plankrankenhäuser.
Deshalb der dringende Appell von Dr. Benda an das Auditorium: Die eigenen Unternehmensführungen und Verwaltungen für ihre IT-Sicherheitsverantwortung zu sensibilisieren, damit die kritische Infrastruktur keinen Schaden nimmt. Als weiteren Schritt empfiehlt Benda, die Vorwarn-, Früherkennungs-, Analyse- und Beratungskompetenz des LSI zu nutzen, indem man sich per Mail beim LSI registriert. Entsprechende Unterlagen und Beratungsgespräche werden vom LSI angeboten. Ein Anruf genügt. Das gilt natürlich auch, wenn es bereits zu einem Cyberangriff gekommen ist. Die schädlichen Folgen kann das LSI analysieren und versuchen, sie einzudämmen.
Download Sonderdruck/Dokumentation „8. Bayerisches WasserkraftForum in Gersthofen“
Dieser Artikel hat Ihnen weitergeholfen?
Bedenken Sie nur, welche Informationsfülle ein Abo der Bayerischen GemeindeZeitung Ihnen liefern würde!
Hier geht’s zum Abo!