BSI fordert robuste Cybersicherheit für die Energieversorgung
Eine sichere Stromversorgung ist Grundlage unseres gesellschaftlichen Lebens – das zeigt nicht erst der knapp eintägige Blackout auf der iberischen Halbinsel von Ende April 2025. Energiesicherheit ist eine zentrale Säule in der deutschen Sicherheitsarchitektur – gleichzeitig stuft das BSI die Bedrohung für kritische Infrastrukturen KRITIS) aus dem Cyberraum als hoch ein. Der Energiesektor steht dabei besonders im Fokus von staatlich unterstützten Operationen, die auf Destabilisierung und Spionage abzielen, von Cyberkriminellen, die Energieunternehmen erpressen, oder von Hacktivisten, die ideologische Ziele verfolgen. Das BSI sieht dringenden und konsequenten Handlungsbedarf und hat daher im Mai das Positionspapier „Cybersicherheit im Energiesektor Deutschlands“ veröffentlicht, das zentrale Herausforderungen und Handlungsfelder für eine robuste Cybersicherheitsstrategie im Energiesektor formuliert (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Positionspapier_Cybersicherheit_Energiesektor.pdf).
BSI-Präsidentin Claudia Plattner kommentiert: „Eine erfolgreiche Störung der Energieversorgung in Deutschland oder Europa ist ein Schreckensszenario für Bürgerinnen und Bürger, die deutsche Wirtschaft und die staatlichen Organe. Das gesellschaftliche Leben käme zum Erliegen, der wirtschaftliche Schaden wäre enorm. Mit der Verschärfung der geopolitischen Spannungen hat sich auch die Motivationslage möglicher Angreifender geändert. Wir müssen daher dringend in Sicherheitsstrukturen, technische Schutzmaßnahmen und resiliente Architekturen investieren, um unsere Energieversorgung langfristig abzusichern und die Risiken systemischer Ausfälle zu minimieren.“
Neben der geopolitischen Lage nennt das Positionspapier die zunehmend dezentralisierte Energieversorgung, intelligente Netze und digitale Steuerungssysteme sowie die stark steigende Komplexität der vernetzten Systeme als Herausforderung. Zusätzliche Angriffsvektoren auf Hard- und Softwaretechnik im Rahmen der Lieferkette, die Manipulation von Energieinfrastrukturen durch Hersteller oder Dritte und sogenannte Zero-Day Schwachstellen in industriellen Steuerungssystemen erhöhen die Bedrohungslage.
Aus Sicht des BSI sind daher unter anderem einheitliche Anforderungen in allen KRITIS-Sektoren und darauf aufbauend für alle Akteure im Energiesystem notwendig. Auch für kleinere Energieversorger, Netzbetreiber und dezentrale Anlagen sollten einheitliche, sektorspezifische Sicherheitsstandards entwickelt und durchgesetzt werden, die nicht hinter sektorübergreifenden Mindestvorgaben zurückbleiben. Nicht zuletzt müssen aufsichtsrechtliche Befugnisse und Interventionskompetenzen bei Cybervorfällen ausgebaut werden. Das BSI steht mit seiner Expertise für eine zentrale Steuerungsrolle für die Cybersicherheit im Energiesektor zur Verfügung.
BSI erweitert kryptografische Empfehlungen mit Blick auf Quantencomputer
Quantencomputer sind in greifbare Nähe gerückt und stellen eine ernst zu nehmende Bedrohung für heutige Daten mit erhöhtem Schutzbedarf dar. Langfristig schützenswerte Daten könnten bereits heute gespeichert werden, um sie später mithilfe eines Quantencomputers zu entschlüsseln – nach dem Motto „Store now, decrypt later“. Bislang eingesetzte asymmetrische Kryptografie wie RSA oder ECC bietet keinen ausreichenden Schutz vor Angriffen mit Quantencomputern. Daher hat das BSI in der diesjährigen Version der TR-02102 „Kryptografische Verfahren: Empfehlungen und Schlüssellängen“ insbesondere die Empfehlungen zur Post-Quanten-Kryptografie (PQK) aktualisiert (www.bsi.bund.de/dok/TR-02102).
Die Umstellung auf PQK ist komplexer als beispielsweise eine Anhebung der Schlüssellängen, die der gestiegenen Rechenleistung konventioneller Computer Rechnung trägt. Diese Komplexität ist unter anderem darin begründet, dass es sich um einen kompletten Austausch der Algorithmen handelt, also Neuimplementierungen erforderlich sind und vor dem flächendeckenden Ausrollen die Integration in zahlreiche Protokolle und Standardanwendungen notwendig ist. Daher ist es wichtig, diesen Prozess bereits jetzt zu initiieren. Das BSI hat dazu konkrete Handlungsempfehlungen veröffentlicht (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.html) und gemeinsam mit 17 europäischen Partnern zu einer aktiven Umstellung der sensitivsten Anwendungen auf quantenresistente Verfahren bis spätestens 2030 aufgerufen (Securing Tomorrow, Today: Transitioning to Post-Quantum Cryptography, www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Crypto/PQC-joint-statement.pdf).
Die aktualisierte TR-02102 bietet eine breite Auswahl an Post-Quanten-Verfahren für unterschiedliche Anwendungs- und Sicherheitsaspekte. Dies wird durch die ergänzende Empfehlung der drei neuen NIST-Standards zu ML-KEM (Schlüsselaustauschverfahren) sowie ML-DSA und SLH-DSA (Signaturverfahren) gewährleistet. Sie gelten nun zusätzlich zu den seit 2020 ausgesprochenen Empfehlungen zu den Schlüsselaustauschverfahren FrodoKEM und Classic McEliece, die aktuell unter aktiver BSI-Beteiligung bei der ISO standardisiert werden, sowie den Signaturverfahren XMSS und LMS. Aufgrund der Vielfalt an PQ-Verfahren kann für diverse Einsatzszenarien das jeweils passende Verfahren gewählt werden. Beispielsweise eignet sich XMSS gut, um die Authentizität und Integrität von Firmware-Updates zu gewährleisten, während für die Authentisierung eines Schlüsselaustauschs, zum Beispiel im TLS-Protokoll für sichere Internetkommunikation, ein zustandsloses Signaturverfahren wie ML-DSA oder SLH-DSA besser geeignet ist. Mit dem erweiterten Portfolio legt das BSI eine solide Basis für eine zukunftssichere Technologiekompetenz und stärkt das Vertrauen in die Sicherheit digitaler Systeme.
Neuer Handlungsleitfaden für Onlinewahlen
Das BSI hat einen neuen Handlungsleitfaden „Ende-zu-Ende Verifizierbare Onlinewahlen: Handlungsleitfaden für Wahlorganisatoren“ veröffentlicht (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Wahlen/Onlinewahlen/Handlungsleitfaden_Onlinewahlen_Wahlorganisatoren.pdf). Die Publikation richtet sich an Wahlorganisatorinnen und -organisatoren und vermittelt einen kompakten Überblick darüber, wie Onlinewahlen verifiziert umgesetzt werden können. Außerdem soll er Entscheidungsträgerinnen und -trägern helfen, die Vorteile und Aufwände bei der Umsetzung unterschiedlicher Verifizierbarkeitsmethoden für ihre eigene Onlinewahl einzuschätzen. Eine Checkliste unterstützt dabei, alle relevanten Schritte bei der Planung und Durchführung zu berücksichtigen.
Bei online durchgeführten Wahlen oder Abstimmungen ist die Transparenz der Wahl sehr wichtig: Im Vorfeld gilt es zu klären, welche Maßnahmen der Wahlvorstand ergreifen und welche Anforderungen das Wahlsystem erfüllen muss, damit die Wählerinnen und Wähler nachvollziehen können, wie das Wahlergebnis erzielt wurde. Mithilfe der Ende-zu-Ende-Verifizierbarkeit kann überprüft werden, ob die eigene Stimme in der Wahlurne eingegangen ist. Außerdem ist es möglich zu verifizieren, ob das Endergebnis der Gesamtheit der abgegebenen Stimmen entspricht.
Der Handlungsleitfaden basiert auf einer detaillierten Studie zu Verifizierbarkeitsmethoden, die umfassende Hintergrundinformationen und tiefgehende Analysen enthält und sich an ein Fachpublikum aus Wissenschaft, Forschung sowie Entwicklerinnen und Entwickler von Onlinewahlprodukten richtet (www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Verifiable_OnlineVoting/Verifiable_Online-Voting_node.html).
Die neue Publikation ergänzt die bestehenden technischen Anforderungen und Hilfestellungen des BSI. Hierzu zählen die Technische Richtlinie BSI TR-03169 „Online-Wahlen zur Durchführung von Onlinewahlen“ (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03169/BSITR-03169.pdf), das Common-Criteria-Protection-Profile BSI-CC-PP-0121-2024 für Onlinewahlprodukte (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/ReportePP/pp0121b_pdf.pdf) sowie der Handlungsleitfaden für Wählerinnen und Wähler, die an einer Onlinewahl teilnehmen (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Handlungsleitfaden_nicht-politische_Onlinewahlen.pdf).
eHealth 2024 – Entwicklungen der Cybersicherheit im Gesundheitswesen
Das BSI hat im März die Broschüre „Cybersicherheit im Gesundheitswesen – prägende Entwicklungen im eHealth-Bereich 2024“ veröffentlicht. Sie bietet einen exemplarischen Einblick in die Gefährdungslage und deren Auswirkungen auf die Digitalisierung im Gesundheitswesen. Im Fokus stehen die Telematikinfrastruktur und die Sicherheit in der ambulanten Versorgung außerhalb staatlich definierter kritischer Infrastrukturen (KRITIS).
Das Jahr 2024 hat für das Gesundheitswesen und dessen Digitalisierung neue Herausforderungen gebracht: Auf der einen Seite wurden mit der Konzeption einer sicheren und datenschutzfreundlichen elektronischen Patientenakte für alle Bürgerinnen und Bürger die Weichen für eine fortschrittliche und nutzerfreundliche digitale Versorgung gestellt. Parallel löste die elektronische Verordnung, besser bekannt als E-Rezept, die Papierform ab. Seither werden in Apotheken vor Ort und online bis zu drei Millionen elektronische Verordnungen pro Tag verarbeitet. Auf der anderen Seite nahmen Cyberangriffe auf die digitalen Infrastrukturen des Gesundheitswesens, aber auch auf Krankenhäuser und Arztpraxen zu.
Erstmalig veröffentlichte das BSI 2023 ein „Lagebild Gesundheit“ (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Lagebild_Gesundheit_2022.html). Im folgenden Jahr widmete sich die Publikation „Tätigkeitsbericht Gesundheit 2023“ den Aktivitäten des BSI in diesem Bereich (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Taetigkeitsbericht_Gesundheit_2023.html). Die aktuelle Broschüre setzt diese Reihe nun in kompakter Weise fort – sie ist über www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Gesundheitswesen_2024.pdf kostenfrei digital verfügbar.