Diese Hausarbeit beleuchtet die Anforderungen an die Betreiber kritischer Infrastrukturen unter Einbezug der IT-GRC-Richtlinien. Infrastrukturen sind ein essenzieller Bestandteil unserer fortschrittlichen und hoch entwickelten Gesellschaft. Als lebenswichtige Lebensader ist jeder einzelne in seinem täglichen Leben auf die Verfügbarkeit von Kritischen Infrastrukturen angewiesen und verlässt sich darauf, diese uneingeschränkt nutzen zu können.
Die Bundesrepublik Deutschland gehört zu den führenden industriell und technologisch geprägten Nationen. Jedoch ist die Wettbewerbsfähigkeit, der Wohlstand und der Fortschritt, von hochleistungsfähigen und funktionstüchtigen Infrastrukturen abhängig. Deshalb ist die Gewährleistung des Schutzes dieser Infrastrukturen eine wichtige Aufgabe staatlicher und unternehmerischer Vorsorge und ein zentrales Thema der Sicherheitspolitik.
Deutschland hat sich dem Schutz Kritischer Infrastrukturen, vor allem durch die Bestimmung von Anforderungen angenommen, um vor allem auch neuen und modernen Gefahren wie der Cyberkriminalität etwas entgegensetzen zu können. Doch auch altbekannte Gefährdungen wie terroristische Anschläge oder Naturkatastrophen können erhebliche Zerstörungen verursachen und dürfen nicht außer Acht gelassen werden.
Ein Grundgedanke des Schutzes Kritischer Infrastrukturen ist das gemeinschaftliche Handeln von Staat, Gesellschaft und Wirtschaft, um eventuelle Gefahren schnell erkennen und bekämpfen zu können. Darum ist es wichtig, dass gegebene Anforderungen und erarbeitete Grundsätze nicht nur theoretisch, sondern auch praktisch umzusetzen sind und umgesetzt werden.
Inhalt
Abbildungsverzeichnis
1 Einleitung
2 Grundlagen zu Kritischen I nfrastrukturen
2.1 Definition Kritische Infrastrukturen
2.2 Sektoren Kritischer Infrastrukturen
2.3 Kritische Infrastrukturen im Zeitalter der Digitalisierung
2.4 Kritische Infrastrukturen als Fundament der Gesellschaft
2.5 Beispiele für aktuelle Gefahren
3 Grundlagen zu IT-GRC
3.1 Handlungsebene Governance
3.2 Handlungsebene Risk
3.3 Handlungsebene Compliance
4 Anforderungen im Kontext
4.1 Die Anforderungen im Überblick
4.2 Definition Risiko
4.3 Gemeinsamer Bezug zum Risiko
4.4 Gemeinsamkeit Anforderungen - Governance
4.5 Gemeinsamkeit Anforderungen - Risikomanagement
4.6 Gemeinsamkeit Anforderungen - Compliance
4.7 Risikovermeidung und Prävention durch Kooperation
5 Schlusswort
Literaturverzeichnis
Abbildungsverzeichnis
Abbildung 1: Die Sektoren Kritischer Infrastrukturen in Deutschland (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bundesamt für Sicherheit in der Informationstechnik)
Abbildung 2: Die gegenseitigen Abhängigkeiten (Interdependenzen) ausgewählter Kritischer Infrastrukturen. (Bundesministerium des Innern, 2011, S. 10)
Abbildung 3: Ein Beispiel von Wirkungszusammenhängen
Abbildung 4: Der IT-Risikomanagement-Prozess und die Risikostrategie (Knoll/Strahringer, 2017, S. 15)
Abbildung 5: Die Compliance innerhalb des Unternehmens beinhaltet die sogenannte Hard Law (Zehetner, 2013)
Abbildung 6: Meldekriterien bei IT-Störungen (Bundesamt für Sicherheit in der Informationstechnik, 2017, S. 29)
1 Einleitung
Infrastrukturen sind ein essenzieller Bestandteil unserer fortschrittlichen und hoch entwickelten Gesellschaft. Als lebenswichtige Lebensader, ist jeder einzelne in seinem täglichen Leben auf die Verfügbarkeit von Kritischen Infrastrukturen angewiesen und verlässt sich darauf, diese uneingeschränkt nutzen zu können.
Die Bundesrepublik Deutschland gehört zu den führenden industriell und technologisch geprägten Nationen. Jedoch ist die Wettbewerbsfähigkeit, der Wohlstand und der Fortschritt, von hochleistungsfähigen und funktionstüchtigen Infrastrukturen abhängig. Deshalb ist die Gewährleistung des Schutzes dieser Infrastrukturen eine wichtige Aufgabe staatlicher und unternehmerischer Vorsorge und ein zentrales Thema der Sicherheitspolitik.
Deutschland hat sich dem Schutz Kritischer Infrastrukturen, vor allem durch die Bestimmung von Anforderungen angenommen, um vor allem auch neuen und modernen Gefahren wie der Cyberkriminalität etwas entgegensetzen zu können. Doch auch altbekannte Gefährdungen wie terroristische Anschläge oder Naturkatastrophen können erhebliche Zerstörungen verursachen und dürfen nicht außer Acht gelassen werden.
Ein Grundgedanke des Schutzes Kritischer Infrastrukturen ist das gemeinschaftliche Handeln von Staat, Gesellschaft und Wirtschaft, um eventuelle Gefahren schnell erkennen und bekämpfen zu können.
Darum ist es wichtig, dass gegebene Anforderungen und erarbeitete Grundsätze nicht nur theoretisch, sondern auch praktisch umzusetzen sind und umgesetzt werden.
2 Grundlagen zu Kritischen Infrastrukturen
2.1 Definition Kritische Infrastrukturen
Der Schutz Kritischer Infrastrukturen ist eine gesamtgesellschaftliche Aufgabe, die ein gemeinschaftliches Vorgehen von Staat, Wirtschaft und Öffentlichkeit erfordert. Die Wichtigkeit dieser Aufgabe, leitet sich aus der von der Bundesregierung verwendeten Definition für den Begriff „Kritische Infrastrukturen“ unmittelbar ab.
Die Bundesregierung definiert Kritische Infrastrukturen wie folgt:
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ (Bundesministerium des Innern, 2009, S. 3).
2.2 Sektoren Kritischer Infrastrukturen
Durch die immer engere Zusammenarbeit von Bund und Ländern, wurde eine Überarbeitung der Sektoren- und Brancheneinteilung notwendig. Auf der Grundlage von jahrelangen Erfahrungen und ausführlicher Diskussionen, haben sich Bund und Länder auf eine einheitliche Sektoreneinteilung geeinigt. Eine Änderung ist die Auflösung des Sektors „Versorgung“, aus dem die Branchen „Gesundheit“, „Wasserversorgung“ und „Ernährung“ gelöst und in eigene Sektoren überführt wurden. Außerdem wurde der Sektor „Medien und Kultur“ als neuer Sektor eingeführt. Die beiden Sektoren „Staat und Verwaltung“ sowie „Medien und Kultur“ unterliegen jedoch nicht den Verpflichtungen des BSI-Gesetzes (vgl. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bundesamt für Sicherheit in der Informationstechnik).
Folgende Sektoren wurden definiert:
Hinweis der Redaktion: Abbildung wurde aus urheberrechtlichen Gründen entfernt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Die Sektoren Kritischer Infrastrukturen in Deutschland (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bundesamt für Sicherheit in der Informationstechnik)
2.3 Kritische Infrastrukturen im Zeitalter der Digitalisierung
Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit immer komplexeren IT-Lösungen. Es ist daher wichtig, die neuartigen Risiken und deren Wechselwirkungen richtig einzuschätzen. Hierzu ist es notwendig, die Gesamtsituation zu betrachten und sich für technische sowie nicht technische Schwachstellen zu sensibilisieren (vgl. Knoll/Strahringer, 2017, S.1). Diese zunehmende IT-Durchdringung und Vernetzung führten zu ökonomischen Chancen, auf die ein hochentwickeltes und industrialisiertes Land nicht verzichten kann. Gleichzeitig aber entstehen durch die zunehmende Digitalisierung neue Gefährdungslagen, auf die schnell und konsequent reagiert werden muss. Die besondere Gefahr durch gezielte Cyber-Angriffe auf die IT-Infrastruktur betrifft staatliche Stellen ebenso wie Kritische Infrastrukturen (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2017, S.9).
Kritische Infrastrukturen haben sich angesichts der globalen Vernetzung und der intensiven Nutzung moderner Informationstechnik zu einem Bestandteil Kritischer Informationsstrukturen weiterentwickelt (vgl. Bundesministerium des Innern, 2005, S. 3), so entstehen komplexe Abhängigkeiten zwischen der Produktion, den eingesetzten Informationsnetzen und beteiligten Menschen. Lokal auftretende Risiken, können somit zu einer Bedrohung von unternehmensübergreifenden Produktionsprozessen führen (vgl. Knoll/Strahringer, 2017, S. 113). Diese
Abhängigkeit von externen Produkten oder Dienstleistungen, wie z. B. eine funktionierende Stromversorgung, ergibt sich aus der brancheninternen Vernetzung, aber auch durch eine branchenübergreifende Vernetzung, über physische, virtuelle oder logische Netze (vgl. Bundesministerium des Innern, 2011, S. 9 f.). Dieser hohe Grad gegenseitiger Abhängigkeit kann zu kaskadenartigen Ausfällen führen (vgl. Lewis, 2006, S. 57). Durch die Beeinträchtigung eines einzelnen Knotenpunktes, in dem neuartigen und engmaschigen Netz, werden unvermeidbar andere Knotenpunkte direkt oder indirekt beeinflusst. Es reichen immer kleinere Störungen aus, um in komplexen Systemen dramatische Folgen zu verursachen (Verwundbarkeitsparadoxon) (vgl. Rosenthal, 1992, p. 74-78).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Die gegenseitigen Abhängigkeiten (Interdependenzen) ausgewählter Kritischer Infrastrukturen. (Bundesministerium des Innern, 2011, S. 10)
Diese nie dagewesene Vernetzung durch das Internet of Things oder der Industrie 4.0, hat zu einer Hypervernetzung der Kritischen Infrastruktur und somit zu einem neuen Risiko in der IT-Sicherheit geführt (vgl. Lucks, 2017, S. 23, S. 504).
2.4 Kritische Infrastrukturen als Fundament der Gesellschaft
Dass Ausfälle Kritischer Infrastrukturen in Industriegesellschaften ein bedeutendes Problem darstellen, liegt vor allem an sogenannten „engen Kopplungen“. Diese enge Kopplung lässt sich bei Kritischen Infrastrukturen sogar doppelt beobachten: Das Ausfallen oder die Beeinträchtigung einer Kritischen Infrastruktur hat massive und unmittelbare Auswirkungen auf andere Kritische Infrastrukturen. Es wird sozusagen ein Dominoeffekt in Gang gesetzt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Ein Beispiel von Wirkungszusammenhängen
Zum anderen ist es die enge Kopplung sozialer Prozesse an die Technik, die heutzutage das soziale Leben von Kritischen Infrastrukturen abhängig macht. Erst dadurch werden Kritische Infrastrukturen für soziale Strukturen kritisch. „Infrastruktur bedeutet etymologisch nichts anderes als Unterbau - Infrastrukturen sind der technische Unterbau, einer modernen Gesellschaft“ (vgl. Lorenz, 2010, S. 12 f., mit einem Zitat von Nye, 1990 und einem Zitat von van Laak, 1999, S. 280-299).
Die meisten sozialen Prozesse sind heute technisch durchdrungen und strukturiert; sie kommen ohne Technik gar nicht mehr aus. Technik ist zu einem immer bedeutenderen Teil des Sozialen geworden, das Soziale hingegen hat die Erfindung und Weiterentwicklung der Technik erst möglich gemacht. Die Akteur-Netzwerk-Theorie, die den Kerngedanken hat, die Welt bzw. die Gesellschaft sei netzwerkartig verfasst, vertritt den Gedanken der „technisch-sozialen Hybriden“ (Latour, 2007).
Dass z. B. ein Stromausfall das Potenzial zur Katastrophe hat, liegt nicht am Stromausfall selbst, sondern daran, dass beim Ausfall kein Ersatz für gesellschaftliche oder soziale Prozesse bereitsteht. Rosenthal schreibt dazu: „The machines are plugged into each other and we are plugged into the machines and when somebody pulls a plug it means that we as well as the machines begin sputtering and throwing out gears, burning oil and screeching to a stop.” (vgl. Lorenz, 2010, S. 13, mit einem Zitat von Rosenthal, 1965, p. 16).
Aufgrund der Vernetzungsgröße können großflächige und langanhaltende Ausfälle zu gravierenden Störungen der gesellschaftlichen Abläufe, sowie der öffentlichen Sicherheit führen. Ein Stromausfall hat so das Potenzial, sich von einem rein technischen zu einem einschneidenden sozialen Problem zu entwickeln.
2.5 Beispiele für aktuelle Gefahren
Cyberangriff „WannaCry“ 2017:
Das Bundesinnenministerium hielt den Fall des Ransomware-Wurms „WannaCry“ für besonders schwerwiegend. Nach der weltweiten Verbreitung der Ransomware „WannaCry“ (WanaDecrypt0r 2.0), hat das Bundeskriminalamt die Ermittlungen übernommen. In Deutschland war nur die Deutsche Bahn betroffen. Der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend. Regierungsnetze seien aber nicht gefährdet gewesen. "Ihr hochprofessioneller Schutz durch das BSI zahlt sich aus", sagte der Minister Thomas de Maizière (vgl. heise online, 2017).
Pandemie „COVID-19“:
Experten hatten am Anfang der Pandemie davor gewarnt, dass die stark zunehmende Nutzung von Streamingdiensten während der Corona-Krise, zu Engpässen in der Internetversorgung führen könnten. In schlimmsten Fall müsse die Nutzung von Netflix, Amazon Prime und weiteren Diensten eingeschränkt werden, lautete die Forderung. Sowohl Netflix, als auch die Google-Tochter Youtube haben mit einer Senkung der Bitrate reagiert (vgl. Der Tagesspiegel, 2020).
3 Grundlagen zu IT-GRC
3.1 Handlungsebene Governance
Unter dem Begriff Governance wird generell die verantwortliche, transparente und nachvollziehbare Leitung einer Organisation und deren Einhaltung von Regulierungen, Standards und ethischen Grundsätzen verstanden. Die Berücksichtigung externer Interessen, wie z. B. die des Staates stehen dabei genauso im Vordergrund, sowie der richtige Umgang mit unternehmerischem Fehlverhalten oder die Transparenz der Finanz- oder Berichterstattung. Der Wirecard-Skandal 2020 unterstreicht die Wichtigkeit der Sicherstellung einer verantwortungsvollen Unternehmensführung nochmals.
Ebenso gewinnt der IT-Aspekt heutzutage immer mehr an Bedeutung, deshalb ist auch hier die Organisation, Steuerung und Kontrolle der IT-Prozesse konsequent an der Unternehmensstrategie auszurichten. Da die Verteilung der Verantwortlichkeiten von Unternehmen zu Unternehmen unterschiedlich ist, gibt es kein einheitliches IT- Governance-Modell. Schwerpunktmäßig ist es jedoch im strategischen Management angesiedelt und ist auch an der operativen IT beteiligt (vgl. Knoll/Strahringer, 2017, S. 2-20).
Die Hauptaufgabe ist die vorrauschauende und strukturierte strategische Planung, unter der Berücksichtigung von internen und externen Vorgaben . Um die Unternehmensziele zu erreichen, ist es wichtig eine optimale Grundlage zu schaffen, um die Informationstechnik richtig einzusetzen.
3.2 Handlungsebene Risk
Mit der Digitalisierung sind zahlreiche Chancen, aber auch Risiken verbunden. Durch den Einsatz neuer Technologien entstehen branchenverändernde Produkte und Dienstleistungen. Doch auch die Gefahren werden vielfältiger, komplexer und sind dadurch oftmals schwer zu erkennen. Da es deutlich aufwändiger ist einen Schaden zu beheben, ist es wichtig einen Risikoeintritt von Anfang an zu vermeiden.
[...]