Kritische Infrastrukturen: Die potenzielle Gefahr der Innovation : Risiken der zunehmenden Privatisierung und Dezentralisierung kritischer Infrastrukturen
Die Privatisierung von kritischen Infrastrukturen liegt weltweit im Trend. Doch die Entscheidung, was genau als nationale, kritische Infrastruktur (NKI) kategorisiert wird, obliegt dem einzelnen Land. Je nach Region zählen dazu beispielsweise die bereits zur Hälfte privatisierte Verbraucher- und Satellitenkommunikation, Eisenbahnen oder auch moderne Branchen der grünen Energie für das Beladen von Elektroautos oder die Solarenergie, die von privaten Dächern in öffentliche Stromnetze eingespeist wird. Mit dieser Privatisierung einhergehend wächst die Sorge um die Sicherheit dieser Ökosysteme und wer die Verantwortung dafür trägt.
Die Privatisierung von kritischen Infrastrukturen liegt weltweit im Trend. Doch die Entscheidung, was genau als nationale, kritische Infrastruktur (NKI) kategorisiert wird, obliegt dem einzelnen Land. Je nach Region zählen dazu beispielsweise die bereits zur Hälfte privatisierte Verbraucher- und Satellitenkommunikation, Eisenbahnen oder auch moderne Branchen der grünen Energie für das Beladen von Elektroautos oder die Solarenergie, die von privaten Dächern in öffentliche Stromnetze eingespeist wird. Mit dieser Privatisierung einhergehend wächst die Sorge um die Sicherheit dieser Ökosysteme und wer die Verantwortung dafür trägt.
Was ist eine vorrangige Infrastruktur?
In Deutschland wurden auf Bundesebene die neun KRITIS-Sektoren in verschiedene Branchen unterteilt. Im Zuge der Novellierung des BSIG im Jahr 2021 kam mit der „Siedlungsabfallentsorgung“ ein weiterer Sektor hinzu, dessen ebenen übergreifende Abstimmung noch aussteht. Die Einteilung der kritischen Infrastrukturen in die einzelnen Sektoren und Branchen unterliegt einem stetigen Evaluierungsprozess, der die Entwicklungen des politischen Diskurses widerspiegelt. Insgesamt fallen nun zehn Sektoren, darunter Ernährung, Finanz- und Versicherungswesen, Gesundheit, Medien und Kultur, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Auch wenn diese Sektoren in Europa auf Länderebene festgelegt werden, gibt es Überschneidungen in den wichtigsten Bereichen wie Informationstechnik und Energie, Telekommunikation, Transport und Verkehr sowie der Wasserversorgung. Noch bedeutsamer ist allerdings das Netz an Überschneidungen über Europa hinweg, das noch stärker berücksichtigt werden sollte. Denn nicht nur Telekommunikation operiert grenzüberschreitend, sondern auch beispielsweise der Energiesektor, worüber sich Deutschland bereits 2022 im Zuge der Gasversorgung Gedanken gemacht hat. Die Globalisierung von Überlegungen für kritische Infrastrukturen tut also Not.
In Deutschland gelten Infrastrukturen als „kritisch”, wenn sie „für das Funktionieren moderner Gesellschaften von großer Bedeutung sind und ein Ausfall oder eine Beeinträchtigung zu nachhaltigen Störungen des Gesamtsystems führen würden”. Seit 2015 hat das Bundesministerium des Inneren und für Europa seine Besorgnis über die zunehmende Bedeutung der Cyberdimension kritischer Infrastrukturen und den wachsenden Bedarf an Schutz vor Angriffen auf die Informationstechnologie zum Ausdruck gebracht. Daher wurde im selben Jahr das IT-Sicherheitsgesetz verabschiedet, das die Grundlage für einen solchen Schutz schafft. Demnach müssen Betreiber kritischer Infrastrukturen, die unter dieses Gesetz fallen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie IT-Sicherheitsstandards einhalten und Vorfälle melden. Regeln für kritische, deutsche Infrastrukturen außerhalb Deutschlands sind allerdings bisher nicht berücksichtigt und es gibt auch ebenso wenig Überlegungen wie ausländische Infrastrukturen innerhalb Deutschlands abzusichern sind.
Anforderungen mit besonderem Schwerpunkt auf dem Cyberspace gibt es auch in Großbritannien, in Frankreich, Spanien und den meisten anderen europäischen Ländern. Viele dieser Länder haben ihren Fokus bereits darauf gelegt zu ermitteln, welche Sektoren als kritisch eingestuft werden müssen, um sie vor der sich ständig verändernden Cyber-Bedrohungslandschaft zu schützen, während andere noch nachziehen müssen. Das Fehlen einer globalen Standardisierung bringt allerdings derzeit einen inkonsistenten Schutz zum Ausdruck und bietet somit Hackern mehr Möglichkeiten, den Mangel an Vereinheitlichung auszunutzen und Schaden anzurichten.
Durch die Innovationstätigkeit von Sektoren und Branchen geht also ein Risiko einher, dass in der grenzüberschreitenden Diskussion berücksichtigt werden muss. Ältere kritische Infrastrukturen wie die zivile Nuklear- und Chemieindustrie müssen durch physische Schutzmaßnahmen gegen Eindringlinge maßgeblich abgesichert sein. In den neueren Sektoren wie Ladestationen für Elektrofahrzeuge und private Solaranlagen wird nicht von vornherein die gleiche Aufmerksamkeit auf Sicherheit gerichtet und deren Absicherung gegen Cyberrisiken wird oftmals erst nachträglich in Betracht gezogen. Da viele dieser neuen Technologien für die direkte Nutzung durch die Öffentlichkeit via Internet entwickelt werden, sind Cybersicherheitslösungen die einzige Alternative zu physischen Mauern und Schlössern, die eine Kompromittierung verhindern.
Innovation als potenzielles Risiko
Bei näherer Betrachtung stellen sich beispielsweise Ladestationen für Elektroautos als potenzielle Gefahr heraus. Die Technologie dieser Stationen ist für jedermann zugänglich, da sie sich entweder auf Tankstellenvorplätzen oder in weniger geschützten Bereichen befindet und somit einem Risiko ausgesetzt ist. Das Risiko einer Kompromittierung ist breit gefächert und kann von Personen ausgehen, die einfach nur nach Internet-Bandbreite suchen oder andererseits auch von Personen ausgehen, die sich Zugang zu Zahlungssystemen verschaffen wollen. Da solche Ladegeräte leicht geöffnet werden können, stellen sie ein erhebliches Risiko als Einfallstor in die kritischen Infrastrukturen dar, an die sie angeschlossen sind und mit denen sie interagieren wie Strom-, Finanz- und Internetnetze.
Diese EV-Ladestationen bieten den Nutzern oft die Möglichkeit, über eine Wifi-Verbindung im Internet zu surfen. Das bedeutet theoretisch, dass die Nutzer Zahlungsterminals manipulieren oder auf gefährliche Websites zugreifen könnten, die weitere Risiken mit sich bringen. Wenn die physische Kontrolle verloren geht, sind die Grundlagen der Cybersicherheit entscheidend, um den Angriffsvektor auf weitere Bereiche zu begrenzen.
Ein nächstes, modernes Beispiel sind Solarpanels auf Privathäusern. Trotz seiner Bedeutung für die moderne Gesellschaft hat sich der Energiesektor aufgrund seiner Gesamtgröße und der Notwendigkeit einer hohen Systemverfügbarkeit langsamer als andere Branchen an die digitale Welt angepasst. Weltweit werden Stromnetze als eines der kritischsten Elemente eingestuft und dennoch hinkt eine Gesetzgebung zur Absicherung der Einspeisungssysteme hinterher.
Da umweltfreundlichere Alternativen zu herkömmlicher Energie immer beliebter werden, nehmen die Anlagen für erneuerbare Energiegewinnung stetig zu. Dies reicht von Offshore-Windparks bis hin zur Erzeugung von Solarenergie durch einen einzelnen Haushalt. Diese Vielfalt der Erzeugung bedingt eine stärkere Vernetzung, um die unterschiedlichen Einspeisungsmodelle und Energieleistungen in Echtzeit zu erfassen und mit dem Bedarf abzugleichen. Ehemals isolierte Komponenten müssen dementsprechend mit größeren Kommunikationsnetzen verbunden werden. Diese Anbindung über extern regulierte Netze bedingt wiederum eine vergrößerte Angriffsfläche.
Die Digitalsysteme der Privathaushalte werden nicht so streng kontrolliert oder abgesichert wie die der nationalen Energieversorger. Daher kann deren Hard- und Software von externen Angreifern über die Internet-Anbindung identifiziert werden und nachgelagert potenziell die Kontrolle über die ins Netz eingespeiste Energie übernehmen. Infolgedessen kann ein krimineller Akteur mit böswilligen Absichten selbst bei der Übernahme der Kontrolle über eine vergleichsweise geringe Energiemenge durch Ausnutzung von Kaskadeneffekten erheblichen, manipulativen Schaden anrichten. Das Schadpotenzial reicht von systemweiten Stromausfällen bis hin zu Auswirkungen auf die Energieverteilung auf nationaler Ebene.
Wessen Aufgabe ist der Schutz der nationalen Infrastruktur?
In Anbetracht der wachsenden Risiken stellt sich die Frage, wer für den Schutz, der sich verändernden Infrastrukturlandschaft die Verantwortung tragen sollte. Unabhängig davon, ob sich Regierungen, Organisationen oder Einzelpersonen diesen Hut aufsetzen wollen, müssen die Verantwortung-tragenden Funktionen ein Gleichgewicht zwischen Innovation und Regulierung herstellen können. In Deutschland und anderen europäischen Ländern wird der Schutz der NKI als gemeinsame Aufgabe von Regierung, Unternehmen und Betreibern sowie der Zivilgesellschaft definiert.
Auf globaler Ebene gibt es noch wenig Bestrebungen der Zusammenarbeit für regulatorische Rahmenbedingungen, obwohl die Kommunikationswege via Internet nicht an nationalen Grenzen Halt machen. Umso wichtiger ist es, dass auf Länderebene Hausaufgaben für ein sicheres Fundament der Kooperation gemacht werden. Es gilt die Basis für prosperierendes Innovationswachstum, ohne eine Vernachlässigung der Cybergefahren zu gestalten, die ansonsten zur großen Bedrohung für den Betrieb kritischer Infrastrukturen heranwachsen könnten.
Um NKI vor den Gefahren, die durch Privatisierung und Dezentralisierung ohne Regulierung entstehen können, zu schützen, sind drei Schritte von entscheidender Bedeutung. Die Risikolage potentieller Angriffe muss sichtbar gemacht werden und die kritischen Daten, die es abzusichern gilt, müssen identifiziert werden. Darauf aufbauend können entsprechende Schutzmaßnahmen ergriffen werden. Das Zero-Trust-Rahmenwerk kann alle drei Anforderungen erfüllen. Ein solcher Lösungsansatz kann Ländern, Regierungen und Unternehmen einen ganzheitlichen Überblick über die zu berücksichtigende Risikolandschaft verschaffen und Wege zum Schutz vor diesen Risiken aufzeigen. Je granularer der Cyberschutz dabei greift, desto besser.
Fazit
Die wichtigste Lektion für die Verantwortlichen für den Schutz von NKI ist, dass Sicherheit von Beginn an in die Strategie einbezogen werden muss. Für solche Schutzmaßnahmen zu sorgen, bevor es zu einer Sicherheitsverletzung kommt, ist der beste Schutz für die Infrastruktur. Das ist umso wichtiger, je länger landesweite oder gar globale Regularien für die zunehmend privatisierten Sektoren auf sich warten lassen.
Autor
Nathan Howe ist GVP of Innovation bei Zscaler.