Kritische Infrastrukturen
Eine Frage der richtigen Risikoeinschätzung
Spätestens seit WannaCry wissen wir, dass der Ausfall von Infrastrukturen auch breitere Kreise ziehen kann. Grund genug, einen Blick auf die eigene Risikoeinschätzung zu werfen.
Was war passiert? Am 12. Mai 2017 infizierte eine Hackergruppe über 230.000 Computer in 150 Ländern mit der Ransomware WannaCry. Etwa 100 verschiedene Dateitypen auf internen Festplatten, Netzlaufwerken oder anderen Speichermedien verschlüsselten die Angreifer – und forderten Lösegeld in der Kryptowährung Bitcoin, damit sie die betroffenen Dateien wieder freigeben würden. Bei Nichterfüllung der Frist drohte das Programm mit Datenlöschung.
Der Cyberangriff betraf viele Unternehmen und Organisationen, darunter Betreiber kritischer Infrastrukturen wie Krankenhäuser, Telekommunikationsunternehmen, Transport- und Logistikunternehmen, Ölkonzerne, Außen-, Innen- und Katastrophenschutzministerien. In Deutschland kam es beispielsweise zu Ausfällen von Anzeigetafeln und Videoüberwachungssystemen in Bahnhöfen. In China konnten Kunden an mehr als 20.000 Tankstellen nur noch bar bezahlen.
WannaCry hat gezeigt, wie verwundbar unsere digitalisierte Gesellschaft sein kann. Trotzdem: Viele Unternehmen und Organisationen nehmen IT- beziehungsweise Ausfallsicherheit nicht ernst genug.
Sie verfügen nicht einmal über eine nachhaltige Strategie dafür. Die Schwachstelle, die zu WannaCry führte, war seit Monaten bekannt. Sicherheitsupdates standen zur Verfügung, wurden aber nicht rechtzeitig eingesetzt.
Sicherheitstechnologien, die den Alltag sowie das Leben der Menschen aufrecht- und unversehrt halten, sind einschlägig bekannt: Aktuelle Antivirenprogramme und Firewalls, Analytics- und Intelligence-basierte Sicherheitssoftware-Suites, regelmäßige Datensicherungen auf vom System getrennten Back-up-Medien, bis hin zu KVA-Switches oder Gateways, die Netzwerke hinsichtlich Sicherheit und Ausfälle optimieren. Sie sind für jeden zugänglich – inklusive Updates und Patches. Doch was nützen sie, wenn das Problembewusstsein fehlt und keine ausreichenden Vorkehrungen getroffen werden? Gerade im Zusammenhang mit kritischen Infrastrukturen ist es das A und O, die eigenen Risiken richtig einzuschätzen und sich entsprechend vorzubereiten. Dazu sollten die Verantwortlichen zunächst über folgende Kriterien nachdenken, wenn es darum geht, wie kritisch ein etwaiger Ausfall zu bewerten ist:
- Auswirkungen auf die menschliche Gesundheit, Leben oder Tod
- negative Umweltauswirkungen mit Szenarien wie Supergaus von Atomkraftwerken, großflächigen Bränden etc.
- Auswirkungen auf die Versorgung mit Wasser, Strom, Heizung und Nahrungsmitteln sowie die Entsorgung
- Folgeauswirkungen
- Mittel- oder Unmittelbarkeit der Auswirkungen
- Reichweite – lokal bis global
- kurz-, mittel- und langfristige Auswirkungen auf das öffentliche Leben
- Kosten für die Wiederherstellung, einschließlich Reparatur, Austausch betroffener Anlagen etc.
- finanzielle Auswirkungen durch Vertriebs- und Verkaufseinbußen
- Auswirkungen auf die Produktivität in einer Produktionsstätte
- Rufschädigung und daraus resultierende Wettbewerbsnachteile
- Frustration, Massenpanik, Gewalt und Kriminalität als weitere Auswirkung
- Eine Frage der richtigen Risikoeinschätzung
- Branchen, die besonders gefährdet sind
Lesen Sie mehr zum Thema
