Wirksamer Schutz kritischer IT-Infrastrukturen (Fortsetzung)

Controlling schließt den Regelkreis
Daran hapert es teilweise noch. Sind Standardverfahren für den IT-Notfall schon rar, insbesondere solche für die Wiederherstellung des Normalbetriebes, fehlen vor allem praktikable Vorschläge für das Controlling der erwähnten Prozesse beziehungsweise den Aufbau eines Regelkreises, um aus Krisenerfahrungen lernen und diese Prozesse stetig verbessern zu können.
Ein dermaßen breit gefächertes und über technische Maßnahmen hinausgehendes, ganzheitliches Schutzkonzept für kritische Infrastrukturen erfordert zudem neue Formen der Kooperation von Staat, Wirtschaft und Gesellschaft. Beispielsweise sind Fragen der Finanzierung der Maßnahmen zu klären, da sowohl staatliche als auch privatwirtschaftliche Maßnahmen zwingend notwendig sind. Die Finanzierung wird also nicht nur aus Steuermitteln oder Unternehmensgewinnen der Infrastrukturbetreiber erfolgen können, sondern auch in Form von wirtschaftlichen Kooperationen zwischen staatlichen Behörden und privaten Unternehmen zu gestalten. Ungeklärt ist auch, wer die Umsetzung der Schutzmaßnahmen überprüft, wenn private Betreiber dafür verantwortlich sind.
Beispielsweise sind nach dem novellierten Telekommunikationsgesetz Netzbetreiber und Diensteanbieter dazu verpflichtet, entsprechende technische oder anderweitige Maßnahmen zu ergreifen, um software-gesteuerte Telekommunikations- und Datenverarbeitungssysteme gegen unberechtigten Zugriff und Störungen  zu schützen, die schwerwiegende Ausfälle der Telekommunikations-Netzwerke zur Folge haben können.
Nach der Privatisierung großer Teile des Infrastrukturbetriebes (Transportwesen, Telekommunikation, Energieversorgung) sind also Konflikte zwischen den Firmeninteressen der Betreiber und der hoheitlichen Aufgabe »Innere Sicherheit« programmiert, da die Betreiber ihre Aktivitäten bei Risikomanagement, Notfallplanung und für das unterbrechungsfreie Funktionieren des Geschäfts lediglich auf die Aufrechterhaltung ihres Betriebes und nicht auf die branchenübergreifende Verfügbarkeit der IT-Services auslegen. Vor diesem Hintergrund sucht die Projektgruppe KRITIS nicht nur die Zusammenarbeit mit Forschung und Wissenschaft (z. B. mit der Fachgruppe KRITIS im Fachbereich Sicherheit der Gesellschaft für Informatik), sondern auch mit Gruppierungen wie dem Arbeitskreis »Schutz von Infrastrukturen« (AKSIS), dem CERT-Verbund, der Initiative »Deutschland sicher im Netz« des Wirtschaftsministeriums oder dem Critical Information Infrastructure Research Coordination Project (CI_RCO). Das Zusammenwirken aller Experten ist auch dringend notwendig, um rasch zu tragfähigen Lösungen zu gelangen.   
Dirk Schadt, Security-Experte bei CA in Darmstadt, ist Sprecher der Fachgruppe KRITIS im Fachbereich Sicherheit der Gesellschaft für Informatik (GI).