Kritische Infrastrukturen

Die Kritischen Infrastrukturen sehen sich derzeit nicht nur einer erhöhten Gefahr für Cyberattacken ausgesetzt sondern sind auch besonders vulnerabel, wenn sie nicht ausreichend auf Krisen und Katastrophen wie einen großflächigen Stromausfall vorbereitet sind. Um die KRITIS hierbei zu unterstützen, haben wir die wichtigsten Punkte zusammengestellt, um einfach Schritt für Schritt krisenfit zu werden.

Blackout Vorsorge

Schritt für Schritt

Schritt 1: Risikobewusstsein schaffen

Created with Sketch.

Vielen sind die Risiken eines Blackouts, Lieferkettenunterbrechungen und Cyberattacken noch nicht ausreichend bewusst. Gerade wenn die Leitungen und Vorstände der KRITIS nicht für das Thema sensibilisiert sind, wird es schwierig werden, dafür Vorsorge zu treffen. Darum ist der erste Schritt, das Thema bei den Entscheidungsträgern anzusprechen und auf die entsprechenden Risiken mitsamt deren möglichen Folgen hinzuweisen.

Schritt 2: Evaluierung des aktuellen Standes

Created with Sketch.

Als nächstes könnte man eine Bestandsaufnahme in den einzelnen Bereichen machen um festzustellen, wo bereits vorgesorgt ist und in welchen Bereichen Verbesserungsbedarf besteht. Folgende Fragen können dabei zum Beispiel hilfreich sein:

- Ist z.B. ein Stromausfall oder Lieferkettenausfall bereits in den Notfallplänen inkludiert?
- Welche Folgen hätte dies jeweils in den einzelnen Teilbereichen, sowohl organisatorisch als auch finanziell?
- Besteht eine Notstromversorgung, die den aktuellen Anforderungen entspricht, oder wäre eine notwendig?
- Welche Abhängigkeiten bestehen zu Dienstleistern, Zulieferern, Partnern etc.? Wie könnte das z.B. im Szenario Blackout aussehen?
- Welche Kommunikationsmöglichkeiten bestehen wie lange noch und was sind die Rückfallebenen?
- Funktioniert die Wasserversorgung und die Abwasserentsorgung bei einem Stromausfall noch und wenn ja für wie lange?
- Wurde der Faktor Mensch ausreichend berücksichtigt - wären die Mitarbeiter und das Schlüsselpersonal noch in der Lage zur Arbeit, zum Dienst zu kommen und für wie viele Tage? Welche Voraussetzungen sollten gegeben sein, damit diese möglichst lange zum Dienst, zur Arbeit erscheinen können? (siehe auch Schritt 3)
- Wie lange halten Vorräte an Lebensmitteln, Medikamenten und Treibstoff? Wie lange andere benötigte Materialien zur Versorgung oder Produktion?

Schritt 3: Personal

Created with Sketch.

Selbst die beste Notstromversorgung bei Krankenhäusern und Wasserwerken wird bei einer größeren Krise wie einem langen, überregionalen Stromausfall nicht zur Bewältigung der Lage ausreichen, wenn das Personal nicht mehr zum Dienst oder zur Arbeit erscheinen kann, da der Tank leer ist, zu wenig persönlich daheim vorgesorgt wurde, keine Kinderbetreuung mehr gegeben ist und pflegebedürftige Angehörige nicht mehr durch Pflegedienste oder Essen-auf-Rädern versorgt werden können.

Bei großflächigen Ereignissen wie einem Blackout sind auch alle Mitarbeiter*innen zu Hause betroffen, weshalb eine Sensibilisierung und Anregung zur privaten Krisenvorsorge sicherlich sehr sinnvoll ist.

Hier können Sie eine entsprechende Schritt für Schritt krisenfit Checkliste für Ihre Mitarbeiter*innen, Kamerad*innen und das Schlüsselpersonal herunterladen und verteilen.

Schritt 4: Kommunikation und Information

Created with Sketch.

Wie findet man zum Beispiel heraus, ob es sich um einen Blackout handelt? Entweder über die Störungshotline Ihres Energieversorgers oder nach einiger Zeit über das (batteriebetriebene) Radio.

Wenn klar ist, dass es sich um einen Blackout handelt, wie alarmiert man das Personal? Wurde dies bereits vorab kommuniziert in Notfall(dienst)plänen?

Mit wem soll wie der Kontakt gehalten werden, wenn Telefon, Handynetz und das Internet ausfallen? Gibt es papierbasierte Listen für diesen Fall?

Und was sind die Backup Ebenen, wenn z.B. der Digitale BOS Funk ausfällt? Wird dies regelmäßig getestet?

Schritt 5: Versorgung

Created with Sketch.

In vielen Bereichen wurde die Lagerhaltung abgebaut, weshalb es nun bei einer Versorgungsunterbrechung recht schnell zu Engpässen bei Lebensmitteln, Medikamenten, Hygieneprodukten und Treibstoff kommen kann.

Was wäre bei Ihnen in Ihrem Bereich der Kritischen Infrastruktur dabei das größte Problem?

Welche Folgen hätte es in Ihrer Institution, wenn die Wasserversorgung und Abwasserentsorgung ausfallen würde? Wenn der Abfall nicht mehr abgeholt werden würde?

Gibt es Möglichkeiten für einen einfachen Basis-Vorrat an Lebensmittel zu sorgen? Für Patienten, Pflegebedürftige und/oder Personal?

Welche Medikamente und/oder Hygieneprodukte werden am dringendsten z.B. im Pflegeheim oder Krankenhaus in einem Krisenfall benötigt und könnte ebenfalls ein Vorrat angelegt werden, der rotierend verbraucht wird?

Schritt 6: (optional) Notstrom

Created with Sketch.

Wenn Sie bereits über eine Notstromversorgung verfügen, könnten Sie sich folgende Fragen stellen:

- Entspricht die Notstromversorgung den aktuellen Anforderungen?
- Wird die Notstromversorgung regelmäßig unter Last getestet?
- Wie lange hält der derzeitige Treibstoffvorrat? (Viele Tanks sind leider aufgrund der derzeit hohen Preise nicht ausreichend gefüllt)

Wenn Sie bisher keine Notstromversorgung hatten, überlegen Sie, inwieweit dies nötig wäre und lassen Sie sich dazu unabhängig beraten.

Schritt 7:  Notfallpläne

Created with Sketch.

Notfallpläne, auf verschiedene mögliche Szenarien wie Blackout oder Cyberattacke, angepasst, können Ihnen helfen, in der Situation schnell aus der Chaos-Phase in ein geregeltes Arbeiten überzugehen und geben Ihnen Sicherheit. 

Wenn Sie erst in der Sitution überlegen müssen, was die nächsten wichtigen Schritte sind und wie vorgegangen werden soll, dann ist vieles zu spät und einiges wird wegen Hektik und Zeitdruck übersehen werden. Dies kann insbesondere im Bereich der Kritischen Infrastrukturen fatale Folgen haben. 

Also machen Sie sich Gedanken, was die wichtigsten Schritte im Ernstfall sind und wie sie vorgehen möchten.

Schritt für Schritt krisenfit Arbeitsvorlagen mit Checklisten

Created with Sketch.

zur Krisenvorsorge am Bespiel eines Blackouts erhalten Sie kostenlos als .pdf unter Downloads.

Erhältlich sind bereits:

- umfangreiche Arbeitsvorlage für Gemeinden und Städte

- Basis-Check für Gemeinden und Städte

- Arbeitsvorlage Feuerwehren - Vorsorge Stromausfall

- Arbeitsvorlage Pflegeheime - Vorsorge Stromausfall

- Arbeitsvorlage Ambulante Pflegedienste - Vorsorge Stromausfall

- BASIS-Check für das Personal der Kritischen Infrastruktur

derzeit in Arbeit:

- Arbeitsvorlage
Unternehmen
- Arbeitsvorlage
Kliniken 

Cybersicherheit

Schritt für Schritt

Mensch

Created with Sketch.

Computer sind Maschinen, die von Menschen bedient werden. Gut ausgebildete Mitarbeiter, die regelmäßig geschult und sensibilisiert werden minimieren das Risiko eines Angriffs erheblich. 

Passwörter, Zwei-Faktor-Authentisierung

Created with Sketch.

Eigentlich immer, bzw. für alle Organisationen und Anwender passend,

gilt der konkrete Rat, sichere Passwörter für Benutzerkonten zu

verwenden. Darauf können Administratoren und Anweder gleichermaßen gut

achten. Konkretere Tipps liefert z.B. das BSI:

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html).

Organisationen, insbesondere im Bereich KRITIS, sind gut beraten, wenn

sie Passwortrichtlinien gewissenhaft erstellen und regelmäßig z.B. im

Rahmen von Penetrationstests die Passwörter auch tatsächlich auf deren

Güte überprüfen lassen.

Auch Zwei-Faktor-Authentisierung ist generell eine gute Empfehlung

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html).

Technik

Created with Sketch.

Kenntnisse -  haben Sie einen vollständigen Überblick darüber,

welche IT-Systeme sich im eigenen Netzwerk befinden und in welchem

Zustand sie sind (etwa die exakte und verlässliche Kenntnis darüber,

welche Software in welcher Version installiert ist)


Backups - sichern Sie Ihre Daten regelmäßig und lagern Sie Ihre Sicherungskopien außerhalb des Gesamtnetzes 

Updates aufspielen und Patchen  - Bekannte Sicherheitslücken immer sofort schließen und die Updates der Anbieter möglichst zeitnah aufspielen

Netzwerk- und Systemtrennung - Netzwerke so wirksam trennen, dass sich Systeme untereinander nicht mehr oder nur noch über klar definierte und eingeschränkte Wege erreichen können, also nicht mehr die Systeme der Buchhaltung mit den Netzwerkdruckern und den Clients und den Systemen der Produktion und und und im selben Netzwerk platziert sind, vielleicht sogar noch eine standortübergreifende Vernetzung vorhanden ist, bei der sich Systeme frei erreichen können. 

Private Anwender können System- und Netzwerktrennung einigermaßen leicht erreichen, wenn z.B. ein PC für Banking verwendet wird und ein zweiter PC für Alltagsaktionen, wie E-Mail, Surfen, Facebook und Co.



Notfallpläne bereithalten - daran denken: im Falle einer Verschlüsselung der Firmendaten haben Sie keinen Zugriff mehr auf Ihre abgespeicherten Notfallpläne. Oft ist eine auf Papier ausgedruckte Version die Rettung. 

Partner

Created with Sketch.

Suchen Sie sich die richtigen Partner - und zwar nicht erst, wenn Sie ein Problem haben. 
Finden Sie beizeiten einen IT-Dienstleister, der zu Ihnen passt.
Vernetzen Sie sich mit anderen Unternehmen.
Werden Sie Teil der Verbandsfamilie und nutzen Sie die vielen Vorteile. 

Übung

Created with Sketch.

Üben Sie regelmäßig für den Notfall. Überlegen Sie sich verschiedene Szenarien und spielen Sie diese mit Ihren Mitarbeitern durch. Führungskräfte und Mitglieder des Krisenstabes müssen ihre Rollen und Aufgaben kennen und Abläufe einstudieren. 
Die Verbände unterstützen Sie dabei gerne mit ihrer Expertise. 

Vorfall

Created with Sketch.

Kommt es doch einmal zu einem IT-Sicherheitsvorfall, gilt das gleiche wie bei einem medizinischen Vorfall: möglicherweise genügt ein kleines Pflaster, aber wenn es sich ernst anfühlt, konsultieren wir Ärztinnen und Ärzte oder rufen sogar den Rettungsdienst, ziehen also Experten hinzu. 

Analog sollten sich auch Organisationen gleichermaßen wie (private) Anwender verhalten: zügig IT-Experten konsultieren, die IT-Sicherheitsvorfälle qualifiziert bearbeiten können, weil sie dafür speziell ausgebildet sind. 

Das BSI hat dazu die TOP 12 Maßnahmen bei Cyber-Angriffen veröffentlicht

(https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/Notfallkarte/TOP_12_Massnahmen.pdf?__blob=publicationFile&v=1).


Für das "Digitale Pflaster" und generell für eine fundierte erste Einschätzung ist es sinnvoll, wenn Organisationen Digitale Ersthelfer ausbilden

(https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/Onlinekurs/Onlinekurs_node.html)

Im Falle eines Cybercrime-Vorfalles ist ein entschlossenes und schnelles Handeln erforderlich! Die Polizeien der Länder haben für Cybercrimefälle zentrale Ansprechstellen eingerichtet, die Unternehmen jederzeit als kompetenter Ansprechpartner zur Verfügung stehen.
https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
 

Die Quick-Reaction-Teams bei der Bayerischen Polizei unterstützen bei der Bekämpfung von Cyberkriminalität und kommen mit spezialisierten IT-Ermittlern und IT-forensischen Spurensicherern in Ihr Unternehmen. 

Die Quick-Reaction-Teams können rund um die Uhr alarmiert werden und sind unter 110 erreichbar.