Studie zur IT-Sicherheit bei Kritischen Infrastrukturen

Die IT-Sicherheit Kritischer Infrastrukturen ist bedroht. Eine große Anzahl der KRITIS-Betreiber mussten im letzten Jahr Angriffe verzeichnen. Die Betreiber investieren viel in die IT-Sicherheit und schätzen ihre Fähigkeit Angriffe abzuwehren als hoch ein. Zu diesen Ergebnissen kommt eine Studie von Prof. Ulrike Lechner mit ihrem Team des Forschungsprojekts „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ an der Universität der Bundeswehr München. Prof. Lechner möchte mit ihrer Forschung die Gesellschaft und Politik für die möglichen Konsequenzen von erfolgreichen IT-Angriffen sensibilisieren und auch IT-Lösungen zur Bekämpfung von Angriffen finden.

Bei den Angriffen auf KRITIS-Betreiber kommen die bekannten Arten von Schadsoftware wie Denial of Service oder Spam zum Einsatz aber mit Ransomware auch eine neue Bedrohung. Dies sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Bemerkenswert ist, dass bei den KRITIS Bedrohungen durch Innentäter zu verzeichnen waren, während hochprofessionelle Angriffe kaum verzeichnet werden konnten. Die Betreiber schätzen ihre Bedrohungssituation genau wie ihre eigenen Fähigkeiten, Angriffe erfolgreich abzuwehren, optimistisch ein – optimistischer als für die eigene Branche oder Deutschland. Dies motiviert den Bedarf an neuen Methoden und Technologien um Angriffe zu detektieren und für eine realistische Einschätzung der Sicherheitssituation.

Die Studie „Monitor IT-Sicherheit Kritischer Infrastrukturen“ will den aktuellen Stand der IT-Sicherheit für KRITIS vor allem aus der Sicht der Betreiber abbilden. An der Untersuchung nahmen insgesamt 79 IT-Sicherheitsverantwortliche unterschiedlicher Unternehmen, u. a. aus den Bereichen Wasser- und Energieversorgung, Informations- und Kommunikationstechnik, teil. 25 unter ihnen waren dabei den KRITIS zuzurechnen. Themen der Studie sind die Bedrohungslage der IT-Sicherheit von KRITIS, die Selbsteinschätzung zu Bedrohungslage und Cybersecurity-Fähigkeiten, der Stand der IT-Sicherheitsmaßnahmen, Budgets für Sicherheit und der Einfluss des IT-Sicherheitsgesetzes auf KRITIS und die Innovationsfähigkeit. Nach Angaben der befragten Institutionen, ist ein Resultat dieser Studie, dass das IT-Sicherheitsgesetz machbare Anforderungen an KRITIS stellt. Einen Themenschwerpunkt im Monitor stellt der Bedarf KRITIS an Konzepten, Verfahren und Technologien der IT-Sicherheit dar. Die Studienergebnisse wurden am 30. März vom Bundesministerium für Bildung und Forschung als Auftraggeber veröffentlicht.

Das bereits von der Universität der Bundeswehr eingerichtete Forschungszentrum CODE, bietet eine geeignete Plattform für den Forschungsschwerpunkt Cyber-Verteidigung. Um die Innovationskompetenzen von Forschungsinstitutionen, Unternehmen und Anbietern sowie ziviler und militärischer Cyber-Sicherheit zu bündeln, werden im neu eingerichteten „Cyber Cluster“ zukünftig IT-SpezialistInnen im Bereich Cyberabwehr, in einem internationalen Masterstudiengang ausgebildet. Über das „Cyber Cluster“ und dessen Themenschwerpunkte wird die Direktorin des Forschungszentrums CODE, Frau Prof. Dr. Dreo Rodosek, auf dem Münchner Cyber Dialog referieren.

Alle Ergebnisse der Studie sind unter https://monitor.itskritis.de/ abrufbar.