Kritische Infrastrukturen

Das Bundesministerium für Bildung und Forschung beabsichtigt daher, die Erforschung neuer Ansätze für die IT-Sicherheit in Kritischen Infrastrukturen zu fördern. Ziel ist es, schon heute zukunftsfähige Lösungen für morgen zu entwickeln.

© cultura/Corbis

Auszüge aus der Bekanntmachung „IT-Sicherheit für Kritische Infrastrukturen“

Zuwendungszweck

Moderne Industrienationen sind auf komplexe Infrastrukturen angewiesen. Wirtschaft und Gesellschaft funktionieren nur, wenn die grundlegende Versorgung gesichert ist. Ein Ausfall oder eine Manipulation und Beeinträchtigung dieser Systeme über einen längeren Zeitraum oder auf einer größeren Fläche würde weitreiche Folgen nach sich ziehen – sie sind Kritische Infrastrukturen.

Schon 2003 einigten sich die Bundesressorts auf eine einheitliche Definition: „Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Gemeinsam mit den Ländern wurde eine Einteilung in neun Sektoren vorgenommen: Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit, Staat und Verwaltung, Wasser, Medien und Kultur sowie Ernährung.

In den vergangenen Jahren haben komplexe, teils langfristig vorbereitete Angriffe auf die IT-Systeme wie Stuxnet oder Duqu die Verwundbarkeit Kritischer Infrastrukturen deutlich vor Augen geführt. Die immer weiter zunehmende Vernetzung der IT-Systeme wird zu einem signifikanten Risikofaktor, da Cyberangriffe auch zu Ausfällen mit kaum abschätzbaren Folgen und Kettenreaktionen über mehrere Sektoren hinweg führen können. Das ICS-CERT in den USA erfasste zwischen Oktober 2012 und Mai 2013 mehr als 200 Vorfälle im Zusammenhang mit der Informationstechnik Kritischer Infrastrukturen. Die Deutsche Telekom berichtet von bis zu 450.000 Angriffen pro Tag auf ihre Systeme. Für Aufsehen sorgte auch ein Bericht in der Zeitschrift c´t im Juli diesen Jahres, nach dem hunderte Industrieanlagen ungeschützt mit dem Internet verbunden sind. Unter anderem war ein Zugriff auf die Anlagen eines Kraftwerkes möglich.

Die Bundesregierung hat im Jahr 2011 unter Federführung des Bundesministeriums des Innern die Cybersicherheitsstrategie für Deutschland beschlossen und damit die Cybersicherheit als Teil der gesamtstaatlichen Sicherheitsvorsorge verankert. Im Rahmen der Nationalen Strategie zum Schutz Kritischer Infrastrukturen und des Umsetzungsplans KRITIS wird der Frage nachgegangen, wie aus politisch-strategischer Sicht Kritische Infrastrukturen geschützt werden können. Eine besondere Herausforderung stellt dabei die sehr unterschiedliche Ausgangslage in den einzelnen Sektoren der Kritischen Infrastrukturen dar, gerade in Bezug auf den Grad der Regulierung und die geeigneten Instrumente zur Risikoabwehr. Dabei zeigt sich immer deutlicher, dass heute verfügbare Lösungen für IT-Sicherheit von Kritischen Infrastrukturen oftmals unzureichend und nicht auf die Bedürfnisse der Betreiber zugeschnitten sind. Hier neue Wege aufzuzeigen, ist gemeinsame Aufgabe von Staat, Wissenschaft und Wirtschaft.

Das Bundesministerium für Bildung und Forschung beabsichtigt daher, die Erforschung neuer Ansätze für die IT-Sicherheit in Kritischen Infrastrukturen zu fördern. Ziel ist es, schon heute zukunftsfähige Lösungen für morgen zu entwickeln. Dabei stehen neben der Sicherheit Aspekte wie Alltagstauglichkeit, Bedienbarkeit und Kosteneffizienz im Vordergrund. Als Kritische Infrastrukturen sind im Rahmen dieser Fördermaßnahme neben Organisationen oder Einrichtungen nach der oben angeführten Definition auch Infrastrukturen zu verstehen, die ein besonders hohes Schadenspotential aufweisen. Diese Bekanntmachung steht im Zusammenhang mit der nationalen Cybersicherheitsstrategie und erfolgt in Abstimmung mit den Aktivitäten des Bundesministeriums des Innern. Für Forschungsvorhaben, deren Schwerpunkte im Bereich Smart Grid oder Smart Metering liegen, wird auf die entsprechenden Fördermaßnahmen des BMWi verwiesen.

Gegenstand der Förderung

Derzeit stehen für die Abwehr von Angriffen auf die Informationstechnik von Kritischen Infrastrukturen in vielen Bereichen überwiegend technische Einzellösungen zur Verfügung. Diese Vorgehensweise wird den komplexen Rahmenbedingungen für IT-Sicherheit in Kritischen Infrastrukturen oftmals nicht gerecht. Neben einzelnen technologischen Maßnahmen haben auch die Vernetzung, Ablauf- und Aufbauorganisation und nicht zuletzt auch der Faktor Mensch großen Einfluss auf die Sicherheit der Informationstechnik. Diese Faktoren müssen auch unter dem Gesichtspunkt des Risikomanagements betrachtet werden und in ein umfassendes und auf Langfristigkeit und Resilienz angelegtes Sicherheitsmanagement eingebunden werden. Ziel ist die Förderung von Forschungsprojekten, die einen systemischen Gesamtansatz für IT-Sicherheit in Kritischen Infrastrukturen zum Gegenstand haben und nicht nur auf eine rein technologische Lösung abzielen.

Eine besondere Herausforderung stellt die IT-Sicherheit auch für kleinere Betreiber von Kritischen Infrastrukturen dar, wie z.B. kommunale Energie- oder Wasserversorger. Sowohl die personellen als auch die finanziellen Ressourcen erlauben hier häufig nicht die Entwicklung und den Betrieb individueller Lösungen. Dies führt häufig zum Einsatz von Standardlösungen, ohne dass der Betreiber selbst zuverlässig abschätzen kann, wie sicher seine IT damit wirklich ist und welche Wechselwirkungen zwischen einzelnen Komponenten bestehen. Neue, ganzheitliche Lösungen zur IT-Sicherheit müssen daher nicht nur sicher, sondern auch kostengünstig und ohne größeren Personalaufwand handhabbar sein.

Die Bekanntmachung hat zwei Schwerpunkte:

  • I. Neue Ansätze zur Beurteilung von IT-Sicherheit: Grundvoraussetzung für einen kosteneffizienten Ansatz zur Erhöhung der IT-Sicherheit ist, dass überhaupt erst einmal Werkzeuge und Verfahren entwickelt werden, die es Betreibern Kritischer Infrastrukturen ermöglichen, das aktuelle Sicherheitsniveau zuverlässig zu beurteilen. Gefördert werden sollen daher Projekte zur Entwicklung von Metriken, Methoden und Verfahren zur Ermittlung und zur Beurteilung von IT-Sicherheit in Kritischen Infrastrukturen. Um diese Methoden auch für kleinere Betreiber von Kritischen Infrastrukturen sinnvoll einsetzbar zu machen, sollten die Verfahren einfach zu nutzen und kostengünstig umzusetzen sein. Im Rahmen des Risikomanagements sollen Verfahren und Instrumente für die Beurteilung der Angemessenheit des Sicherheitslevels erforscht werden.
  • II. Neue Ansätze zur Erhöhung der IT-Sicherheit: Insbesondere kleinere Betreiber Kritischer Infrastrukturen haben einen großen Bedarf an IT-Sicherheitslösungen, die unkompliziert und kostengünstig zu einer Erhöhung des Schutzniveaus führen. Dies setzt Maßnahmen zur IT-Sicherheit voraus, die auf die jeweiligen spezifischen Anforderungen dieser Nutzer eingehen. Dies kann unter Berücksichtigung der vorhandenen Alt-Systeme (Legacy-Systeme) und/oder unter dem Gesichtspunkt neuer robuster und modularer Systeme zur Reduktion der Komplexität erfolgen. Gefördert werden sollen Projekte, die solche Lösungen im Rahmen eines systemischen Gesamtansatzes erforschen.

Die Erhöhung der IT-Sicherheit Kritischer Infrastrukturen darf dabei nicht zu Lasten des Datenschutzes seiner Benutzer gehen. Gesucht werden Lösungen, die Sicherheit und Datenschutz kombinieren.

Eingereichte Skizzen zu Forschungsprojekten sollten mindestens einen dieser Schwerpunkte zum Gegenstand haben, können aber auch beide in einem Projekt behandeln. Die Projekte sollten in geeigneten, interdisziplinären Verbünden von Betreibern Kritischer Infrastrukturen, wissenschaftlichen Einrichtungen und ggf. weiteren Partnern aus der Wirtschaft durchgeführt werden.

Es ist vorgesehen, das Thema „IT-Sicherheit für Kritische Infrastrukturen“ mit weiteren Fördermaßnahmen aufzugreifen und weiter zu unterstützen.

Begleitforschung

Neben den Forschungsprojekten zu den genannten Schwerpunkten beabsichtigt das Bundesministerium für Bildung und Forschung, ein wissenschaftliches Begleitprojekt zu fördern.

Die Begleitforschung soll übergeordnete Fragestellungen zur IT-Sicherheit für Kritische Infrastrukturen bearbeiten. Dafür sollen die Einzelprojekte zusammengeführt, koordiniert und im Gesamtzusammenhang behandelt werden. Darüber hinaus sollen übergeordnete Aspekte identifiziert und bearbeitet werden, die für die IT-Sicherheit aller Kritischen Infrastrukturen von Bedeutung sind, wie z.B. die Sicherheitskultur bei unterschiedlichen Betreibern. Weitere relevante Fragestellungen können die unterschiedlichen Prinzipien des Krisenmanagements, Fragen der interkulturellen Risiko- und Sicherheitskommunikation sowie die Übertragbarkeit von Best Practices sein. Ziel ist die Erarbeitung gemeinsamer sektorenübergreifender Empfehlungen. Das wissenschaftliche Begleitprojekt sollte geeignete Veranstaltungen wie z.B. Workshops für die Bearbeitung dieser Themen vorsehen.

Die Zusammenarbeit von Koordinatoren der einzelnen Projekte und Begleitforschung ist verpflichtend. Die Koordinatoren werden in die Arbeit des Begleitprojektes eingebunden und arbeiten aktiv mit. In den Arbeitsplänen aller Projekte sind entsprechende Ressourcen vorzusehen.

Darüber spricht man