Einleitung – Kritische Infrastruktur als Hilfe für Mittelstandsunternehmen in NRW
Inhaltsverzeichnis
Wir erleben gerade unmittelbar, welche gesellschaftlichen Veränderungen ein biologisches Virus auslösen kann. Man stelle sich vor, welche weiteren Probleme entstehen, wenn ein digitales Virus im großen Stil die Infrastrukturen eines Landes angreift. Viele empfanden den Roman „Black-Out“ von Marc Elsberg als Science-Fiction. Die Gegenwart zeigt aber, wie schnell das Realität werden kann. Ein vorsichtiger Blick in die Zukunft lässt erahnen, dass diese Pandemie (Covid 19) nicht das einzige Problem bleiben wird. Folgende Szenarien sind denkbar: weitere Pandemien, ein Hackerangriff, Verknappung der Energie-Ressourcen oder eine lokale vielleicht sogar globale Umweltkatastrophe.
Widerstandsfähigkeit über Normen steigern
Das Thema betrifft zudem nicht nur große Konzerne mit sogenannten Kritischen Infrastrukturen. Auch mittelständische Unternehmen werden im Rahmen der weltweiten Lieferketten als Zulieferer mehr und mehr in das Thema involviert. Es wird immer wichtiger, dass die Unternehmen sich um die eigene Widerstandsfähigkeit (Resilienz) Gedanken machen. Schon jetzt werden von vielen Großunternehmen ISO-Zertifizierungen (allen voran ISO 27001 Informationssicherheit, ISO 22301 BCM, ISO 9001 Qualitätsmanagement, ISO 14001 Umweltmanagement) aber auch andere Testate (EN 50600 RZ Zertifizierung, Compliance) von ihren Zulieferern gefordert.
Der Grund dafür ist einerseits die KRITIS-Verordnung – andererseits aber auch eine gesteigerte Sensibilität gegenüber der steigenden Gefährdungslage in unserer aktuellen Gesellschaft. Was zum Start des bundesweiten Vorhabens hinter vorgehaltener Hand eher als „kostenintensive Formalität“ gesehen wurde, erweist sich mehr und mehr als sinnvolle Angelegenheit.
Es lohnt sich daher, die aktuellen Inhalte und Maßnahmen einmal genauer anzuschauen. Am Beispiel der Corona-Pandemie zeigen die aktuellen Handlungsempfehlungen des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, welchen Wert die KRITIS-Empfehlungen auch für Mittelstandsunternehmen haben.
Bevor wir diese Maßnahmen im Einzelnen vorstellen, möchten wir im ersten Schritt eine Übersicht über das geben, was unter dem Konzept von KRITIS zu verstehen ist. Die Pandemie des Corona-Virus hat hier nämlich deutlich gezeigt, dass in Deutschland in kürzester Zeit alle Lebens- und damit alle relevanten KRITIS-Bereiche betroffen sein können.
Der KRITIS-Leitgedanke
Bereits Ende der 1990er Jahre wurden erste Aktivitäten zum Schutz Kritischer Infrastrukturen auf der Bundesebene ins Leben gerufen. Auf Initiative des Bundesministeriums des Innern (BMI) wurde 1997 mit der Einrichtung der ressortübergreifenden Arbeitsgruppe „AG KRITIS“ der Startschuss gesetzt – die Arbeitsgruppe war zugleich auch Namensgeber. Bereits im Folgejahr entstand im Bundesamt für Sicherheit in der Informationstechnik (BSI) das erste Referat. Das neue Politikfeld sollte aber nicht nur auf die IT-Sicherheit beschränkt werden. Vielmehr sollte das Vorhaben eine inhaltlich und konzeptionell breitere Ausrichtung erhalten. Denn der Leitgedanke war: Nicht nur IT-Sicherheitsaspekte gefährden kritische Infrastrukturen, sondern viele unterschiedliche Gefahren können zu einer ernst zu nehmenden Gefährdung für die Gesellschaft werden.
Ein Basisschutzkonzept war der Anfang
Diesem Grundgedanken folgend wurde 2004 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine weitere Organisationseinheit zum Schutz Kritischer Infrastrukturen in einer Bundesbehörde geschaffen. Aus all diesen Ansätzen entwickelte sich branchenübergreifend ein sogenanntes „Basisschutzkonzept“. Es hat seine Ursprünge in einem „All-Gefahren-Ansatz“, der im Schwerpunkt terroristische Bedrohungen bzw. Kriminalität berücksichtigt. In der Weiterentwicklung ist daraus ein generalisierender, auf möglichst breite Anwendbarkeit ausgelegter Ansatz entstanden, wie die Handlungsempfehlungen in diesem Beitrag zeigen werden.
Was sind systemkritische und -relevante Unternehmen und was hat KRITIS damit zu tun?
In den Medien wird häufig darauf hingewiesen, dass es in der Pandemie sogenannte systemrelevante Unternehmen gibt. Daher beschäftigen sich auch viele mittelständische Unternehmen mit der Frage, ob sie systemkritisch bzw. systemrelevant sind – oder sogar zu einer kritischen Infrastruktur zählen.
Es gibt aber weder auf der Bundes- noch auf der Landesebene eine allgemeingültige Antwort darauf. Ob eine Tätigkeit systemrelevant ist, wird in den Bundesländern abhängig von konkreten Umständen festgelegt. Es wäre auch nicht sinnvoll hier eine Definition vorzugeben, weil die Wirtschaft so stark vernetzt ist, dass niemand die kompletten Wertschöpfungsnetzwerke überblicken und alles im Voraus regeln kann. Dementsprechend existiert auch kein Register, in das man sich vorsorglich eintragen lassen könnte. Keine offizielle Stelle wird solch eine pauschale Bestätigung ausstellen.
Lediglich für den Spezialfall der IT-Sicherheit wurden sogenannte Kritische Infrastrukturen definiert, bei denen man davon ausgehen kann, dass sie in einem „gewissen“ Umfang weiter betrieben werden müssen. Dabei handelt es sich um Einrichtungen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Als Leitlinie gilt: Wenn bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten, handelt es sich um eine solche Einrichtung.
Bleibt festzuhalten: Nicht alles, was dem jeweiligen Sektor zugerechnet werden kann, ist eine kritische Infrastruktur: Die Verordnung gibt hier allerdings sogenannte Schwellenwerte vor.
Letztendlich hängt die Beurteilung aber auch hier wiederum von den Umständen des Einzelfalles ab, wie die Corona-Krise gezeigt hat. So können einerseits auch Tätigkeiten weit unter den Schwellenwerten systemrelevant sein – andererseits ist klar, dass neben den eigentlichen Produzenten auch zahlreiche Zulieferer auf verschiedenen Ebenen in der Wertschöpfungskette notwendig sind, um die Versorgung aufrecht zu erhalten.
Welche Kritischen Infrastrukturen gibt es – und wie werden sie unterschieden?
Kritische Infrastrukturen sind – wie angeführt – technische Einrichtungen und Organisationen, eine besonders große Bedeutung für das staatliche Gemeinwesen haben. Dazu zählen sowohl technische Basisinfrastrukturen wie die Energie- und Trinkwasserversorgung, Informations- und Kommunikationstechnologien, das Transport- und Verkehrswesen als auch sozioökonomische Dienstleistungsinfrastrukturen wie das Gesundheitswesen und der Ernährungssektor. Aber auch das Notfallrettungswesen, der Katastrophenschutz, Parlamente, öffentliche Verwaltungen bis hin zu Banken und Medien gehören dazu. Wenn kritische Infrastrukturen ausfallen, ist mit nachhaltigen Beeinträchtigungen und Versorgungsengpässen zu rechnen – und damit auch mit katastrophalen Folgen für die öffentliche Sicherheit.
Welche Informationen, Hinweise und Empfehlungen sind für den Mittelstand relevant?
Alle Unternehmen wurden von der Corona-Pandemie weitgehend überrascht! Einfach deshalb, weil niemand – außer vielleicht Virologen – eine Entwicklung in diesem Ausmaße für möglich gehalten hat. Erst im Rahmen der zwei-monatigen Ausnahmesituation kamen bei vielen mittelständischen Unternehmen Fragen auf, wie man sich besser hätte schützen können – und was in der unmittelbaren und mittelbaren Zukunft zu beachten ist.
Häufig fehlen Antworten auf Fragen, wie die folgenden: Was müssen wir tun, wenn beispielweise die Strom- oder der kartengeschützte Zahlungsverkehr sabotiert wird? Was ist zu tun, wenn der Transport von Gütern durch wetterbedingte Störungen unterbrochen wird. Gerade hier erlebt man in der Praxis regelmäßig einen unglaublich hohen Überraschungseffekt, wenn solch eine Situation tatsächlich eintritt. Die Erfahrungen von Notfall- und Katastrophen-Teams bestätigen dies immer wieder aufs Neue.
Auf diesen Erfahrungen aufbauend sollten nicht nur die Betreiber kritischer Infrastrukturen eigene Notfallpläne entwickeln und aufbauen. Ob sie gefährdet sind und wo sich Lücken im Unternehmensablauf befinden, lässt sich im ersten Schritt über eine Risiko-Analyse herausfinden. Dabei testen Experten kontrolliert die vorhandenen Mechanismen und gleichen sie mit unterschiedlichen Gefährdungssituationen ab – später mehr dazu.
Die folgende Darstellung möglicher Gefährdungslagen und empfohlener Handlungsempfehlungen ersetzt eine solche umfassende Analyse nicht. Sie gibt auch keine abschließenden Antwort auf zukünftige individuelle Gefährdungslagen. Sie erlaubt aber einen wertvollen Orientierungsrahmen für Mittelstandsunternehmen.
Aktuelle und zukünftige Gefährdungslagen für mittelständische Unternehmen und Entscheider
Die nachfolgenden empfohlenen Schritte basieren auf den Empfehlungen des BBK zum Corona Virus (Covid-19) SARS-CoV-2 – ergänzt um die Erfahrungen des TÜV-Rheinland.
Gesetzliche Vorgaben
Nach dem Arbeitsschutzgesetzt hat der Arbeitgeber eine Fürsorgepflicht gegenüber seinen Angestellten. Bei einer Pandemie bedeutet dies, dass der Arbeitgeber hygienische Voraussetzungen zu schaffen hat, wie z.B. die Kommunikation eines angemessenen Verhaltens und zentraler Hygienemaßnahmen, als auch die Beschränkungen des Zutritts zum Gebäude. Die getroffenen Maßnahmen sollten dabei immer im Konsens mit den Anforderungen der Regierung oder führenden Instituten wie dem RKI, BMI, BBK stehen.
Personalausfall
In Krisen-Zeiten kann ein Personalausfall verschieden Ursachen haben und dies kann schnell zu einem personellen Engpass führen, der sich unmittelbar auf die Aufrechterhaltung des Betriebes auswirken kann. Hier einige Szenarien.
Gefährdung durch Ausgangsbeschränkungen – möglicher kompletter Ausfall des Personals
Wenn man sich die Maßnahmen in den Ländern Frankreich, Spanien und Italien anschaut, wird deutlich, dass in Deutschland noch „relativ“ humane Schritte durchgeführt wurden. Die zuvor genannten Länder verordneten nicht nur ein Kontaktverbot, sondern teilweise auch eine komplette Ausgangssperre. Durch solch eine Maßnahme kann es passieren, dass die Unternehmen von heute auf morgen ihren Betrieb komplett einstellen müssen, wenn es keine Möglichkeit des virtuellen bzw. digitalen Arbeiten gibt.
Gefährdung durch fehlende Betreuungsmöglichkeiten für Kinder
Werden Schulen und Kitas geschlossen und für die Kinder existiert keine andere Möglichkeit der Betreuung, müssen die Eltern aufgrund der Fürsorgepflicht zu Hause blieben. Durch diese Maßnahmen, die nur die Politik beeinflussen kann, kann es sehr schnell passieren, dass eine gewisse Anzahl der Mitarbeiter Urlaub oder Ähnliches beantragen müssen und somit ausfallen.
Gefährdung durch Infektionen bei Schlüsselpersonen
Im Krisenfall ist es erforderlich, Informationen darüber zu haben, wer die Schlüsselpersonen, also die Wissensträger oder sogenannten „Kopfmonopole“ im Unternehmen sind. Wenn diese Positionen ausfallen, können einige Bereiche des Unternehmens nicht mehr zu 100 % funktionieren. Derzeit wird eine Quarantäne von bis zu 14 Tagen empfohlen, wenn im Haushalt eine Infektion vorliegt – was dann schnell zu einem großen Problem für das gesamte Unternehmen werden kann.
Erhöhung der Angriffe bzw. der IT-Störungen
Durch die verstärkte Nutzung von IT-Systemen gibt es mehr Angriffe auf IT-Systeme. Virtuelle Meeting mittels Web Ex, Microsoft Teams oder vergleichbarer Software, das Arbeiten im Home-Office mit handelsüblicher und ggf. nicht richtig abgesicherter und konfigurierter Hardware und Software vergrößern das Risiko von Angriffen. Es ist denkbar, dass Daten und Informationen an unbekannte Dritte gelangen und dies niemand bemerkt. Der mögliche Personalausfall kann zu dem dazu führen, dass Störungen nicht schnell genug abgearbeitet oder die richtigen Maßnahmen eingeleitet werden können.
Ausfall der Lieferketten
Bei einer globalen Krise hat nicht nur das Unternehmen ein Problem, sondern auch alle Partner und Lieferanten. Auch diese können Ihre Dienstleistungen und Produkte nicht mehr in derselben Qualität liefern oder reagieren sehr verzögert. Durch nicht rechtzeitig gelieferte Services oder Produkte kann es in vielen Bereichen schnell zu Engpässen bzw. Störungen in der Wertschöpfungskette kommen. Die Folgen für das Unternehmen kann eine Schließung von einer oder allen Abteilungen auf Zeit oder Dauer zur Folge haben.
Handlungsempfehlungen für Mittelstands-Unternehmer
Als mittelständischer Unternehmer oder Entscheider fragen Sie sich jetzt bestimmt, was muss ich tun, um mich adäquat auf eine weitere Krise, Pandemie oder Ähnliches vorzubereiten?
Erfüllung der branchen-spezifischen und gesetzlichen Vorgaben
Allen voran: Für jeden Unternehmer ist es wichtig, die Compliance – also die gesetzlichen und vertraglichen Regelungen – einzuhalten. Mit der gesetzlich verankerten Fürsorgepflicht sind die Unternehmen veranlasst, alles zu unternehmen, um ihre Mitarbeiter vor gesundheitlichen Folgen zu schützen. Eine Vernetzung mit den Behörden BSI, BBK oder auch dem RKI ist ratsam, um die eigenen Maßnahmen artgerecht zu etablieren.
Risikobasierte Betrachtung der eigenen Prozesse und Lieferketten
Durch Instrumente des Risikomanagements können Einflüsse auf das Unternehmen sehr gut analysiert werden. Hilfreich ist hier eine umfangreiche Business Impact Analyse (BIA), um zu ermitteln, wie anfällig die einzelnen Prozesse sind und ab wann diese zum Erliegen kommen. Die Analyse ist ein unverzichtbarer Bestandteil der Planung einer Organisation für die Fortsetzung des Geschäftsbetriebs unter „widrigen“ Umständen. Sie enthält eine „erforschende“ Komponente zum Aufdecken von Schwachstellen und eine „Planungskomponente“ zum Entwickeln von Strategien zur Risiko-Minimierung.
Digitalisierung und IT Sicherheit
Die wichtigste Empfehlung, die man in solch einer Zeit aussprechen kann: Die Digitalisierung im Unternehmen voranzutreiben. Dies bedeutet einen Umstieg auf ein angemessen-digitales und papierloses Büro, sowie das Ermöglichen von Home-Office bzw. das Arbeiten an alternativen Orten. Die heutige Technik macht das möglich und ist auch Stand der Technik. Eine große Anzahl der Mitarbeiter können so auch im Krisenfall weiterarbeiten und halten das Unternehmen in einem „notwendigen Grad“ am Leben.
Empfehlung zur Zertifizierung nach ISO Normen
Zu guter Letzt noch ein Hinweis, der sich mehr und mehr auch als „vertrauensbildende Maßnahme“ erweist: Zeigen Sie Ihren Partnern und Kunden auf, dass Sie die Themen im Griff haben und weisen Sie dies durch geeignete Zertifizierungen nach. Sie dokumentieren damit klare Prozesse und zudem eine geeignet Marketinggrundlage für den Vertrieb. Geeignete Normen sind hier insbesondere die ISO 27001 sowie die ISO 22301.
9 Punkte als „KRITIS-Light“-Checkliste
Christian Höhnisch und ich haben KRITIS-Prüfungen in unterschiedlichen Sektoren durchgeführt und wertvolle Erfahrungen gesammelt. Die meisten KRITIS-Betreiber sind gut aufgestellt und sich der realen Gefahr aus dem Internet bewusst – das Streben nach mehr IT-Sicherheit ist bei den Verantwortlichen durchgehend groß – und gut auf andere Gefahrenbereiche übertragbar.
Gleichzeitig zeigen sich aber auch Punkte zur Verbesserung: So greifen die Sensibilisierungsmaßnahmen nicht immer so, wie gewollt. Auch gibt es häufig noch Akzeptanzprobleme bei der Einführung und beim Aufbau eines ISMS (Information Security Management System). Erst der kontinuierliche und beharrliche Einsatz führt aus der Erfahrung zum nachhaltigen Erfolg
Der Artikel wurde gemeinsam mit Christian Höhnisch – Wirtschaftsinformatiker und Auditor zur ISO 27001 & KRITIS beim TÜV Rheinland für die Zeitschrift IT-Sicherheit – MIttelstandsmagazin für Informationssicherheit und Datenschutz erstellt.
Christian Höhnisch Dr. Michael Monka, vialevo