Bereiche wie Energie, Versorgung und Verkehr sind zunehmend von der Informationstechnik abhängig und untereinander stark vernetzt - "Smart Grids", so lautet das neue Fachwort. Das heißt: Schon eine kurzfristige Störung der IT kann zu erheblichen Belastungen für Staat, Wirtschaft und Bevölkerung führen. Solche Ausfälle können nicht nur durch systemimmanente Fehler, sondern auch durch gezielte Angriffe auf Systeme der Informations- und Kommunikationstechnik verursacht werden. Attacken auf Netzwerke und Nutzer sind sowohl aus dem Inland als auch aus dem Ausland zu verzeichnen. Häufig sind sie leider nicht genau lokalisierbar. Fakt ist: Täglich werden weltweit 15 Lücken in Softwareprodukten entdeckt. Auf deren Basis wird jede zweite Sekunde ein neues Schadprogramm entwickelt. Über manipulierte Webseiten werden die neuen Schadprogramme im Internet verbreitet.
Schadprogramm Stuxnet hat die Verwundbarkeit der IT-Systeme aufgezeigt
Eine neue Dimension der Bedrohung von kritischen Infrastrukturen, Wirtschaft und Gesellschaft zeigte im Juli letzten Jahres das Schadprogramm Stuxnet. Es hat die Verwundbarkeit der IT-Systeme auch in ehedem als abgeschottet vermuteten industriellen Bereichen aufgezeigt. Der Schutz vor Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit wichtiger IT-Infrastrukturbereiche ist daher prioritäre staatliche Aufgabe: Die Bundesregierung hat bereits im Jahre 2005 den Nationalen Plan zum Schutz der Informationsinfrastrukturen beschlossen. Als Dachstrategie definiert dieser Plan anhand der drei strategischen Ziele Prävention, Reaktion und Nachhaltigkeit zahlreiche Maßnahmen zur Verbesserung der IT-Sicherheit.
Umsetzungsplan legt Maßnahmen des IT-Sicherheitsmanagements für Bundesbehörden fest
Im September 2007 hat die Bundesregierung den aus dem Nationalen Plan abgeleiteten Umsetzungsplan für die Bundesverwaltung (UP Bund) beschlossen, der die konkreten Maßnahmen des IT-Sicherheitsmanagements für Bundesbehörden festlegt.
Durch die BSI Gesetzesnovelle im Jahr 2009 haben wir das Bundesamt für Sicher-heit in der Informationstechnik (BSI) in die Lage versetzt, den zunehmenden Gefahren für die Sicherheit in der Informationstechnik zu begegnen und insbesondere die erforderlichen Sicherheitsmaßnahmen zum Schutz der Informationstechnik der Bundesverwaltung umzusetzen. Aber auch die IT-Sicherheit von Bürgern und Unternehmen wird durch das BSI gestärkt.
Im Rahmen des Umsetzungsplanes KRITIS verpflichten sich die Betreiber kritischer Infrastrukturen zur Einhaltung allgemein anerkannter Mindestsicherheitsstandards und zur Meldung von IT-Sicherheitsvorfällen an das BSI. Diese vertrauensvolle Zusammenarbeit ermöglicht es uns, übergreifende IT-Sicherheitsprobleme schnell zu erkennen und entsprechende Empfehlungen herauszugeben.
Botnetze stellen aktuell die virulenteste Gefährdung für das Internet und die angeschlossenen Infrastrukturen dar
Aktuell stellen Botnetze die virulenteste Gefährdung für das Internet und die angeschlossenen Infrastrukturen dar. Im Rahmen der "Anti-Botnet-Initiative" des eco-Verbandes der deutschen Internetwirtschaft e.V., unterstützt durch das BSI, werden Nutzer, deren Rechner ohne ihr Wissen Teil eines Bot-Netzes geworden sind, durch ihren Provider hierüber informiert. Zugleich erhalten sie kompetente Unterstützung bei der Beseitigung der Schadsoftware.
Durch den hohen Grad an weltweiter Vernetzung der Informationssysteme können Vorfälle in anderen Ländern auch Auswirkungen auf deutsche IT-Infrastrukturen haben. Die Bundesregierung setzt sich daher international und insbesondere im europäischen Rahmen für eine Stärkung der grenzüberschreitenden IT-Sicherheit ein. Die Etablierung europaweiter IT-Sicherheitsstandards muss unser mittelfristiges Ziel sein. Die 2004 gegründete Europäische Agentur für Netz- und Informationssicherheit (ENISA) sollte daher künftig stärker in politische Entscheidungsprozesse der EU und deren Umsetzung in den Mitgliedstaaten eingebunden werden.
Strukturen der Zusammenarbeit und Verantwortungsübernahme müssen stets der Gefährdungslage angepasst und überarbeitet werden
Dem beständig laufenden Wettlauf zwischen den Sicherheitsverantwortlichen und den "Cyber-Angreifern" waren wir bisher gewachsen, weil Wirtschaft, Forschung und Verwaltung gemeinsam in einem Dialog stehen und vertrauensvoll zusammenarbeiten. Auch künftig wird es unsere Aufgabe sein, die Weiterentwicklung des Internets aufmerksam zu begleiten: technischen Entwicklungen und darauf aufbauenden neuen Geschäftsfeldern ist ausreichend Raum einzuräumen, Kriminalität und Gefahren für die Verfügbarkeit der Infrastrukturen müssen wir gezielt entgegentreten. Die geschaffenen Strukturen der Zusammenarbeit und Verantwortungsübernahme müssen dabei stets der Gefährdungslage angepasst und - wenn nötig - überarbeitet werden.
Titelbild: © Deutscher Bundestag / Lichtblick/Achim Melde
