Kritis-Tag: Hilfreiche Antworten auf drängende Fragen

Das Interesse war gewaltig. Innerhalb kürzester Zeit hatten sich etwa 50 Betreiber, Errichter und Installateure zum „Kritis-Tag“ von Advancis und Schneider Intercom in Langen angemeldet, und es wären noch weit mehr Teilnehmer gewesen, wenn die Kapazitäten am Advancis-Stammsitz nicht begrenzt wären. Der „Kritis-Tag“ war ausgebucht.

Die große Resonanz auf die Veranstaltung zeigt, welche Bedeutung die auf den ersten Blick eher trockene Thematik in der Sicherheitsbranche mittlerweile einnimmt. Vor dem Hintergrund der instabilen politischen Lage, des Ukraine-Kriegs und weiter zunehmender Cyberattacken, werden die Fragen nach der Gesetzgebung zum Schutz Kritischer Infrastrukturen und technischer Resilienz von Sicherheitssystemen immer drängender. Was sollten und müssen Kritis-Betreiber tun, um ihre Unternehmen vor Angriffen auf die IT- und physische Sicherheit zu schützen? Und welche Herausforderungen erwarten sie durch die neuen Richtlinien und Gesetzesänderungen?

Antworten gab es an diesem Tag auf beide dieser Themenkomplexe. Im Advancis-Showroom wurden Leitstellen-Betreibern die Integrations-Möglichkeiten verschiedener sicherheitstechnischer Gewerke über die Advancis-Software Winguard vermittelt. Am simulierten Beispiel eines Evakuierszenarios nach einer Brandalamierung wurde beispielsweise demonstriert, wie Videosicherheit von Dallmeier, Wärmebildkameras von Hexagon, Zutrittskontrolle von TKH Security, oder Intercom-Systeme von Commend (Schneider Intercom) über eine Schnittstelle integriert und in einer Benutzeroberfläche übersichtlich betrieben werden können. Auf diese Weise würde nicht nur die Nutzung erheblich komfortabler, sondern vor allem auch die Risiken möglicher IT-Attacken auf einzelne Schnittstellen deutlich reduziert, betonte Kai Eckstein, Leiter Vertrieb Deutschland / Schweiz bei der Advancis Software & Services GmbH. Die Einstellung, IT-Sicherheit und physische Sicherheit getrennt voneinander zu betrachten, wie er sie in der Beratung von Betreibern in vielen verschiedenen vertikalen Märkten, etwa im Transport- oder Gesundheitswesen, immer noch oft antreffe, mache keinen Sinn, so Eckstein: „Sicherheit erreicht man nur, wenn man beides zusammen denkt.“

Welche Angriffsmöglichkeiten sich Cyber-Kriminellen bieten, wenn sicherheitstechnische Anlagen weiter als Insellösungen betrieben werden, demonstrierte der IT-Sicherheitsexperte und Geschäftsführer der Cyberreinhardt GmbH, Ralf Reinhardt. Während eines Live-Hackings zeigte Reinhardt, wie er mit relativ geringem Aufwand in Betriebssysteme eindringen und beispielsweise Daten stehlen kann, ohne dass der Eigentümer davon etwas erfährt.

Neben den sicherheitstechnischen Aspekten, erläuterte der Blackout- und Krisenvorsorgeexperte Herbert Saurugg eindrucksvoll, welche politischen und gesellschaftlichen Auswirkungen Angriffe auf Kritische Infrastruktur wie die Energieversorgung haben könnten. Ein flächendeckender, mehrere Länder betreffender Blackout, würde innerhalb weniger Tage zu einer massiven Unterversorgung mit Lebensmitteln führen, warnte Saurugg. Die Frage sei dabei nicht, wie wahrscheinlich das Szenario eines solchen Blackouts sei, sondern vielmehr, ob Politik und Gesellschaft darauf vorbereitet seien. Die ernüchternde Antwort Sauruggs: „Nein, das sind wir nicht.“  

Umso drängender stellt sich Aufgabe nach der gesetzlichen Ausweitung zum Schutz Kritischer Infrastrukturen, wie sie in der abschließenden Podiumsdiskussion Herbert Saurugg, Prof. Dr. Clemens Gause, Geschäftsführer vom Verband für Sicherheitstechnik (VfS), Jani Nakos, Mitglied des Vorstands, des Bundesverbands für den Schutz Kritischer Infrastruktur (BSKI) und Dr. Stefan Kroll, Leiter Wissenschaftskommunikation, Leibniz-Institut Hessische Stiftung Friedens- und Konfliktforschung diskutierten. In einergemeinsam mit den Teilnehmern geführten, lebhaften Debatte , war man sich am Ende einig, dass gesetzliche Anstrengungen wie das geplante „Kritis-Dachgesetz“, das  derzeit im Bundesinnenministerium ausgearbeitet wird, wirkungslos bleiben werden, wenn die einzelnen Bestimmungen nicht klar definiert, kommuniziert und beschlossene, aber von den Betreibern nicht umgesetzte Maßnahmen sowie Pflichten nicht sanktioniert werden.

Andreas Albrecht