Kritische Infrastrukturen
Die Kritischen Infrastrukturen sehen sich derzeit nicht nur einer erhöhten Gefahr für Cyberattacken ausgesetzt sondern sind auch besonders vulnerabel, wenn sie nicht ausreichend auf Krisen und Katastrophen wie einen großflächigen Stromausfall vorbereitet sind. Um die KRITIS hierbei zu unterstützen, haben wir die wichtigsten Punkte zusammengestellt, um einfach Schritt für Schritt krisenfit zu werden.
Blackout Vorsorge
Schritt für Schritt
Schritt 1: Risikobewusstsein schaffen
Vielen sind die Risiken eines Blackouts, Lieferkettenunterbrechungen und Cyberattacken noch nicht ausreichend bewusst. Gerade wenn die Leitungen und Vorstände der KRITIS nicht für das Thema sensibilisiert sind, wird es schwierig werden, dafür Vorsorge zu treffen. Darum ist der erste Schritt, das Thema bei den Entscheidungsträgern anzusprechen und auf die entsprechenden Risiken mitsamt deren möglichen Folgen hinzuweisen.
Schritt 2: Evaluierung des aktuellen Standes
Als nächstes könnte man eine Bestandsaufnahme in den einzelnen Bereichen machen um festzustellen, wo bereits vorgesorgt ist und in welchen Bereichen Verbesserungsbedarf besteht. Folgende Fragen können dabei zum Beispiel hilfreich sein:
- Ist z.B. ein Stromausfall oder Lieferkettenausfall bereits in den Notfallplänen inkludiert?
- Welche Folgen hätte dies jeweils in den einzelnen Teilbereichen, sowohl organisatorisch als auch finanziell?
- Besteht eine Notstromversorgung, die den aktuellen Anforderungen entspricht, oder wäre eine notwendig?
- Welche Abhängigkeiten bestehen zu Dienstleistern, Zulieferern, Partnern etc.? Wie könnte das z.B. im Szenario Blackout aussehen?
- Welche Kommunikationsmöglichkeiten bestehen wie lange noch und was sind die Rückfallebenen?
- Funktioniert die Wasserversorgung und die Abwasserentsorgung bei einem Stromausfall noch und wenn ja für wie lange?
- Wurde der Faktor Mensch ausreichend berücksichtigt - wären die Mitarbeiter und das Schlüsselpersonal noch in der Lage zur Arbeit, zum Dienst zu kommen und für wie viele Tage? Welche Voraussetzungen sollten gegeben sein, damit diese möglichst lange zum Dienst, zur Arbeit erscheinen können? (siehe auch Schritt 3)
- Wie lange halten Vorräte an Lebensmitteln, Medikamenten und Treibstoff? Wie lange andere benötigte Materialien zur Versorgung oder Produktion?
Schritt 3: Personal
Selbst die beste Notstromversorgung bei Krankenhäusern und Wasserwerken wird bei einer größeren Krise wie einem langen, überregionalen Stromausfall nicht zur Bewältigung der Lage ausreichen, wenn das Personal nicht mehr zum Dienst oder zur Arbeit erscheinen kann, da der Tank leer ist, zu wenig persönlich daheim vorgesorgt wurde, keine Kinderbetreuung mehr gegeben ist und pflegebedürftige Angehörige nicht mehr durch Pflegedienste oder Essen-auf-Rädern versorgt werden können.
Bei großflächigen Ereignissen wie einem Blackout sind auch alle Mitarbeiter*innen zu Hause betroffen, weshalb eine Sensibilisierung und Anregung zur privaten Krisenvorsorge sicherlich sehr sinnvoll ist.
Hier können Sie eine entsprechende Schritt für Schritt krisenfit Checkliste für Ihre Mitarbeiter*innen, Kamerad*innen und das Schlüsselpersonal herunterladen und verteilen.
Schritt 4: Kommunikation und Information
Wie findet man zum Beispiel heraus, ob es sich um einen Blackout handelt? Entweder über die Störungshotline Ihres Energieversorgers oder nach einiger Zeit über das (batteriebetriebene) Radio.
Wenn klar ist, dass es sich um einen Blackout handelt, wie alarmiert man das Personal? Wurde dies bereits vorab kommuniziert in Notfall(dienst)plänen?
Mit wem soll wie der Kontakt gehalten werden, wenn Telefon, Handynetz und das Internet ausfallen? Gibt es papierbasierte Listen für diesen Fall?
Und was sind die Backup Ebenen, wenn z.B. der Digitale BOS Funk ausfällt? Wird dies regelmäßig getestet?
Schritt 5: Versorgung
In vielen Bereichen wurde die Lagerhaltung abgebaut, weshalb es nun bei einer Versorgungsunterbrechung recht schnell zu Engpässen bei Lebensmitteln, Medikamenten, Hygieneprodukten und Treibstoff kommen kann.
Was wäre bei Ihnen in Ihrem Bereich der Kritischen Infrastruktur dabei das größte Problem?
Welche Folgen hätte es in Ihrer Institution, wenn die Wasserversorgung und Abwasserentsorgung ausfallen würde? Wenn der Abfall nicht mehr abgeholt werden würde?
Gibt es Möglichkeiten für einen einfachen Basis-Vorrat an Lebensmittel zu sorgen? Für Patienten, Pflegebedürftige und/oder Personal?
Welche Medikamente und/oder Hygieneprodukte werden am dringendsten z.B. im Pflegeheim oder Krankenhaus in einem Krisenfall benötigt und könnte ebenfalls ein Vorrat angelegt werden, der rotierend verbraucht wird?
Schritt 6: (optional) Notstrom
Wenn Sie bereits über eine Notstromversorgung verfügen, könnten Sie sich folgende Fragen stellen:
- Entspricht die Notstromversorgung den aktuellen Anforderungen?
- Wird die Notstromversorgung regelmäßig unter Last getestet?
- Wie lange hält der derzeitige Treibstoffvorrat? (Viele Tanks sind leider aufgrund der derzeit hohen Preise nicht ausreichend gefüllt)
Wenn Sie bisher keine Notstromversorgung hatten, überlegen Sie, inwieweit dies nötig wäre und lassen Sie sich dazu unabhängig beraten.
Schritt 7: Notfallpläne
Notfallpläne, auf verschiedene mögliche Szenarien wie Blackout oder Cyberattacke, angepasst, können Ihnen helfen, in der Situation schnell aus der Chaos-Phase in ein geregeltes Arbeiten überzugehen und geben Ihnen Sicherheit.
Wenn Sie erst in der Sitution überlegen müssen, was die nächsten wichtigen Schritte sind und wie vorgegangen werden soll, dann ist vieles zu spät und einiges wird wegen Hektik und Zeitdruck übersehen werden. Dies kann insbesondere im Bereich der Kritischen Infrastrukturen fatale Folgen haben.
Also machen Sie sich Gedanken, was die wichtigsten Schritte im Ernstfall sind und wie sie vorgehen möchten.
Schritt für Schritt krisenfit Arbeitsvorlagen mit Checklisten
zur Krisenvorsorge am Bespiel eines Blackouts erhalten Sie kostenlos als .pdf unter Downloads.
Erhältlich sind bereits:
- umfangreiche Arbeitsvorlage für Gemeinden und Städte
- Basis-Check für Gemeinden und Städte
- Arbeitsvorlage Feuerwehren - Vorsorge Stromausfall
- Arbeitsvorlage Kliniken - Vorsorge Stromausfall
- Arbeitsvorlage Pflegeheime - Vorsorge Stromausfall
- Arbeitsvorlage Ambulante Pflegedienste - Vorsorge Stromausfall
- BASIS-Check für das Personal der Kritischen Infrastruktur
derzeit in Arbeit:
- Arbeitsvorlage Unternehmen
Cybersicherheit
Schritt für Schritt
Mensch
Computer sind Maschinen, die von Menschen bedient werden. Gut ausgebildete Mitarbeiter, die regelmäßig geschult und sensibilisiert werden minimieren das Risiko eines Angriffs erheblich.
Passwörter, Zwei-Faktor-Authentisierung
Eigentlich immer, bzw. für alle Organisationen und Anwender passend,
gilt der konkrete Rat, sichere Passwörter für Benutzerkonten zu
verwenden. Darauf können Administratoren und Anweder gleichermaßen gut
achten. Konkretere Tipps liefert z.B. das BSI:
Organisationen, insbesondere im Bereich KRITIS, sind gut beraten, wenn
sie Passwortrichtlinien gewissenhaft erstellen und regelmäßig z.B. im
Rahmen von Penetrationstests die Passwörter auch tatsächlich auf deren
Güte überprüfen lassen.
Auch Zwei-Faktor-Authentisierung ist generell eine gute Empfehlung
Technik
Kenntnisse - haben Sie einen vollständigen Überblick darüber,
welche IT-Systeme sich im eigenen Netzwerk befinden und in welchem
Zustand sie sind (etwa die exakte und verlässliche Kenntnis darüber,
welche Software in welcher Version installiert ist)
Backups - sichern Sie Ihre Daten regelmäßig und lagern Sie Ihre Sicherungskopien außerhalb des Gesamtnetzes
Updates aufspielen und Patchen - Bekannte Sicherheitslücken immer sofort schließen und die Updates der Anbieter möglichst zeitnah aufspielen
Netzwerk- und Systemtrennung - Netzwerke so wirksam trennen, dass sich Systeme untereinander nicht mehr oder nur noch über klar definierte und eingeschränkte Wege erreichen können, also nicht mehr die Systeme der Buchhaltung mit den Netzwerkdruckern und den Clients und den Systemen der Produktion und und und im selben Netzwerk platziert sind, vielleicht sogar noch eine standortübergreifende Vernetzung vorhanden ist, bei der sich Systeme frei erreichen können.
Private Anwender können System- und Netzwerktrennung einigermaßen leicht erreichen, wenn z.B. ein PC für Banking verwendet wird und ein zweiter PC für Alltagsaktionen, wie E-Mail, Surfen, Facebook und Co.
Notfallpläne bereithalten - daran denken: im Falle einer Verschlüsselung der Firmendaten haben Sie keinen Zugriff mehr auf Ihre abgespeicherten Notfallpläne. Oft ist eine auf Papier ausgedruckte Version die Rettung.
Partner
Suchen Sie sich die richtigen Partner - und zwar nicht erst, wenn Sie ein Problem haben.
Finden Sie beizeiten einen IT-Dienstleister, der zu Ihnen passt.
Vernetzen Sie sich mit anderen Unternehmen.
Werden Sie Teil der Verbandsfamilie und nutzen Sie die vielen Vorteile.
Übung
Üben Sie regelmäßig für den Notfall. Überlegen Sie sich verschiedene Szenarien und spielen Sie diese mit Ihren Mitarbeitern durch. Führungskräfte und Mitglieder des Krisenstabes müssen ihre Rollen und Aufgaben kennen und Abläufe einstudieren.
Die Verbände unterstützen Sie dabei gerne mit ihrer Expertise.
Vorfall
Kommt es doch einmal zu einem IT-Sicherheitsvorfall, gilt das gleiche wie bei einem medizinischen Vorfall: möglicherweise genügt ein kleines Pflaster, aber wenn es sich ernst anfühlt, konsultieren wir Ärztinnen und Ärzte oder rufen sogar den Rettungsdienst, ziehen also Experten hinzu.
Analog sollten sich auch Organisationen gleichermaßen wie (private) Anwender verhalten: zügig IT-Experten konsultieren, die IT-Sicherheitsvorfälle qualifiziert bearbeiten können, weil sie dafür speziell ausgebildet sind.
Das BSI hat dazu die TOP 12 Maßnahmen bei Cyber-Angriffen veröffentlicht
Für das "Digitale Pflaster" und generell für eine fundierte erste Einschätzung ist es sinnvoll, wenn Organisationen Digitale Ersthelfer ausbilden
(https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/Onlinekurs/Onlinekurs_node.html)
Im Falle eines Cybercrime-Vorfalles ist ein entschlossenes und schnelles Handeln erforderlich! Die Polizeien der Länder haben für Cybercrimefälle zentrale Ansprechstellen eingerichtet, die Unternehmen jederzeit als kompetenter Ansprechpartner zur Verfügung stehen.
https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
Die Quick-Reaction-Teams bei der Bayerischen Polizei unterstützen bei der Bekämpfung von Cyberkriminalität und kommen mit spezialisierten IT-Ermittlern und IT-forensischen Spurensicherern in Ihr Unternehmen.