Im Auftrag von CyberArk
1 Einführung
Die Abhängigkeit einer Gesellschaft von vernetzten Systemen wird für die Einwohner, Unternehmen und Regierung immer größer. Der Technologie-Thriller und weltweite Bestseller "Blackout – Morgen ist es zu spät" des österreichischen Autors Marc Elsberg ist dabei nicht das erste Werk der Fiktion, das die Aufmerksamkeit einer breiten Öffentlichkeit auf dieses Thema lenkte. Am Beispiel eines groß angelegten und langanhaltenden Stromausfalls in Europa wird die Dynamik einer solchen Situation in einem spannungsdurchzogenen Roman beschrieben.
Aber nicht nur die Unterhaltungsbranche und Literatur haben sich mit diesem Thema auseinandergesetzt. Im Jahr 2010 veröffentlichte das "Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag" zusammen mit dem "Karlsruher Institut für Technologie (KIT)" einen umfassenden Bericht mit dem Titel "Gefährdung und Verletzbarkeit moderner Gesellschaften - am Beispiel eines großräumigen Ausfalls der Stromversorgung" . Diese Studie beschrieb den Stromausfall als ein eindrucksvolles Beispiel für "kaskadierende Schadenseffekte". Der Bericht kam zu dem Ergebnis, dass die ausgelösten Folgen trotz geringer Eintrittswahrscheinlichkeit nicht "kontrolliert" und bestenfalls gemildert werden könnten. Die Empfehlung lautete, die Widerstandsfähigkeit der kritischen Infrastrukturbereiche kurz- und mittelfristig zu erhöhen.
Kritikalität ist der relative Grad, in dem eine Infrastruktur im Hinblick auf die Folgen, die eine Störung oder Fehlfunktion für die Versorgungssicherheit wichtiger Güter und Dienstleistungen für die Gesellschaft hat, wichtig ist.
Der Begriff "KRITIS" als Abkürzung für "KRITische InfraStrukturen" ist eng mit der Bundesrepublik Deutschland als Staat und ihrer Gesetzgebung verbunden. Er zielt insbesondere auf die Bemühungen um eine Verringerung der potenziellen Anfälligkeit durch Verbesserung des Schutzes und der Widerstandsfähigkeit kritischer Infrastrukturen infolge des zunehmenden Ausmaßes der Abhängigkeit fast aller Lebensbereiche mit und von kritischen Infrastrukturen ab.
Dies spiegelt sich in einer Vielzahl von Initiativen, Gesetzen und Verordnungen wider, wie die folgenden europäischen und deutschen Beispiele zeigen:
- Im Jahr 2006 initiierte die Europäische Union das Europäische Programm zum Schutz kritischer Infrastrukturen (EPCIP).
- Im Jahr 2008 wurde die Richtlinie 2008/114/EC "über die Identifizierung und Ausweisung kritischer europäischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern" auf EU-Ebene erlassen.
- Im Jahr 2016 bildete die "Richtlinie über die Sicherheit von Netzen und Informationssystemen (NIS-Richtlinie)" einen wichtigen Baustein der EU-weiten Gesetzgebung zur Cybersicherheit, die darauf abzielt, rechtliche Maßnahmen zur Verbesserung des allgemeinen Niveaus der Cybersicherheit in der EU durchzusetzen.
- Auf nationaler Ebene hat das BSIG - "Gesetz über das Bundesamt für Sicherheit in der Informationstechnik" den Grundstein für die gesetzlichen und regulatorischen Anforderungen an kritische Infrastrukturen gelegt.
- Im Juli 2015 wurde das IT-SiG - "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)" - zur Sicherung von IT-Systemen und digitalen Infrastrukturen, einschließlich kritischer Infrastrukturen in Deutschland, erlassen. Dieses wurde 2016 um die BSI-KritisV - "BSI-Kritisverordnung" erweitert.
- Diese Dokumente wurden im Laufe der Zeit aktualisiert und erweitert, z.B. durch die Einbeziehung von Finanzen und Versicherungen, Gesundheit, Transport und Reisen in den Geltungsbereich der KritisV im Jahr 2017.
Über Europa hinaus wird dies natürlich auch als kritisches Thema betrachtet. Im Jahr 2015 untersuchte "Business Blackout" , ein gemeinsamer Bericht von Lloyd's Insurance und dem University of Cambridge's Centre for Risk Studies, das gleiche Szenario aus einem anderen Blickwinkel, indem es die Auswirkungen eines Cyberangriffs auf das US-Energienetz beleuchtete. Die Gesamtauswirkungen auf die US-Wirtschaft wurden auf 243 Mrd. USD geschätzt, wobei die Auswirkungen der sogenannten "extremsten Version" des prognostizierten Szenarios insgesamt mehr als 1 Billion USD betrugen.