Innenministerium plant Gesetz zur Meldung von IT-SicherheitsvorfÀllen

Laut einer aktuellen Meldung des Handelsblatts plant Innenminister Friedrich ein Gesetz, das die Betreiber Kritischer Infrastrukturen KRITIS dazu verpflichtet, “erhebliche IT-SicherheitsvorfĂ€lle” zu melden. Daneben soll die Pflicht zur ErfĂŒllung von IT-Sicherheit der Betreiber kritischer Infrastrukturen gesetzlich geregelt werden.

Der Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen nimmt damit konkrete Gestalt an. Es war bereits abzusehen, dass Betreiber kritischer Infrastrukturen stĂ€rker in die Pflicht genommen werden. Ein Gesetz zur Meldepflicht wĂŒrde diesen Prozess deutlich beschleunigen und die Kritis-Betreiber konkret in die Pflicht nehmen. BCM-News hatte hierĂŒber im Oktober 2011 bereits berichtet.

Studie zur Versorgungssicherheit mit Lebensmitteln des BBK

Die Bundesanstalt fĂŒr Landwirtschaft und ErnĂ€hrung (BLE) und das Bundesamt fĂŒr Bevölkerungsschutz und Katastrophenhilfe (BBK) haben eine Studie zur Versorgungssicherheit mit Lebensmitteln veröffentlicht. Die gemeinsame Studie ist als Band 9 in der BBK-Schriftenreihe „Wissenschaftsforum“ erschienen. Untersucht wurden GefĂ€hrdungen und Rah-menbedingungen des ErnĂ€hrungssektors sowie Aspekte des Risiko- und Krisenmanagements.

PwC-Studie: Wie gut sind deutsche Energieversorger auf NotfÀlle vorbereitet?

In einer aktuellen Studie untersucht das WirtschaftsprĂŒfungs- und Beratungsunternehmen PwC das Notfallmanagement von 58 vorwiegend regional tĂ€tigen Energieversorgungsunternehmen. Dass bei ĂŒber der HĂ€lfte der befragten Unternehmen keine regelmĂ€ĂŸigen NotfallĂŒbungen stattfinden bzw. die durchgefĂŒhrten Übungen nicht nachbearbeitet werden, wirft kein gutes Licht auf die Unternehmen der Branche, die wegen ihrer Bedeutung zu den Kritischen Infrastrukturen (KRITIS) in Deutschland zĂ€hlen. Die TAB-Studie hat eindrucksvoll die Folgen eines ĂŒberregionalen Stromausfalls deutlich gemacht. Die Regulierung und PrĂŒfung der Notfallvorsorge scheint in den verschiedenen Branchen auch unterschiedlich intensiv zu greifen. WĂ€hrend Finanzdienstleister intensiv im BCM geprĂŒft werden und insbesondere die DurchfĂŒhrung von Tests und Übungen zum StandardprĂŒfprogramm der Auditoren gehören, scheint dies in der Energieversorgungsbranche nicht durchgĂ€ngig der Fall zu sein, wenn man die Studienergebnisse von PwC betrachtet.  Die in der Studie bemĂ€ngelte uneinheitliche Definition von NotfĂ€llen, Krisen und Katastrophen ist allerdings kein branchenspezifisches PhĂ€nomen der Energieversorgungsbranche. Dieses Problem zeiht sich leider ĂŒber alle Branchen hinweg, da es an einer einheitlichen Vorlage fĂŒr die inhaltliche Definition dieser Begriffe mangelt. So definiert sich jedes Unternehmen diese Begriffe und Abgrenzungen selbst. Besonders schwierig wird dies, dann wenn Notfallkonzepte zwischen Unternehmen, zum Beispiel in einer Supply Chain-Beziehung, abgestimmt werden mĂŒssen. Vor dem eigentlichen Abstimmprozess steht dann erst einmal der mĂŒhsame Abgleich der verwendeten Terminologien im BCM und Krisenmanagement. Zumindest fĂŒr Unternehmen der Kritischen Infrastrukturen sehe ich hier einen deutlichen Regulierungsbedarf des Bundes. Auch die Adaption internationaler Standards bietet hierfĂŒr eine gute Grundlage. Im Rahmen der neuen ISO-Familie zum BCM des TC 223, dessen BCM-Standard ISO 22301 gerade publiziert wurde, wird es auch ein Glossar mit den zentralen BCM-Begrifflichkeiten geben.

Download der PWC-Studie “Wie gut sind deutsche Energieversorger auf NotfĂ€lle vorbereitet?” (Mai 2012):

http://www.pwc.de/de/energiewirtschaft/pwc-studie-wie-gut-sind-deutsche-energieversorger-auf-notfaelle-vorbereitet.jhtml

FBI dementiert Cyber-Attacke auf Wasserversorger in Illinois

FBI und ICS-CERT haben die vermeintliche Hackerattacke auf einen Wasserversorger in Illinois untersucht, konnten aber keine Anzeichen fĂŒr eine Cyber-Attacke identifizieren:

“DHS and the FBI have found no evidence of a cyber intrusion” or “malicious traffic from Russia or any foreign entities, as previously reported.”

Cyber-Sicherheitsrat beschließt die ÜberprĂŒfung der KRITIS-Betreiber

Im Rahmen der Cyber-Sicherheitsstrategie wurde die Einrichtung eines nationalen Cyber-Sicherheitsrats zur Koordination der Maßnahmen zur Abwehr eines IT-Angriffs auf Kritische Infrastrukturen (KRITIS) beschlossen.  In seiner zweiten Sitzung hat der Cyber-Sicherheitsrat nun beschlossen, die einzelnen KRITIS-Branchen auf den jeweiligen Umsetzungsstand der IT-Sicherheitsstandards zu ĂŒberprĂŒfen und Maßnahmen zu entwickeln. Das BSI liefert die Bewertungskriterien zur EinschĂ€tzung des Reifegrads und unterstĂŒtzt bei der ÜberprĂŒfung der KRITIS-Branchen. Mit dieser Maßnahme wird dem Umsetzungsplan KRITIS (UP KRITIS) wieder Leben eingehaucht. Insbesondere die branchenĂŒbergreifende Koordination der Unternehmen und Organisationen erscheint noch stark steigerungsbedĂŒrftig. Beitragen soll hier zu auch die LÜKEX-Übung, die im November/Dezember diesen Jahres ein IT-Szenario mit Behörden und privatwirtschaftlichen Unternehmen durchspielen wird.

Neue Sektoren- und Brancheneinteilung bei den Kritischen Infrastrukturen des BBK

Das Bundesamt fĂŒr Bevölkerungsschutz und Katastrophenhilfe BBK hat die Sektoren- und Brancheneinteilung fĂŒr die Kritischen Infrastrukturen ĂŒberarbeitet.

Sektoren nach der neuen Einteilung sind jetzt:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • ErnĂ€hrung
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur.

„Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung fĂŒr das staatliche Gemeinwesen, bei deren Ausfall oder BeeintrĂ€chtigung nachhaltig wirkende VersorgungsengpĂ€sse, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten wĂŒrden“.

Aktualisierter Leitfaden des BMI “Schutz Kritischer Infrastrukturen

Das Bundesministerium des Inneren BMI hat im Juni einen aktualisierten Leitfaden “Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement (Leitfaden fĂŒr Unternehmen und Behörden)” veröffentlicht.

“Der Leitfaden richtet sich an die Betreiber Kritischer Infrastrukturen. Er soll ihnen Hilfestellungen beim Aufbau und der Weiterentwicklung ihres jeweiligen Risiko- und Krisenmanagements geben. Auf Grundlage der allgemeinen Empfehlungen des Basisschutzkonzeptes zum Schutz Kritischer Infrastrukturen (Bundesministerium des Innern, 2005) stellt er Methoden zur Umsetzung eines Risiko- und Krisenmanagements dar und ergĂ€nzt diese um praktische Handreichungen in Form von Beispielen und Checklisten.”

Banken in Ägypten öffnen nach einer Woche wieder [Update]

Am Sonntag vormittag um 10:00 Uhr öffnen die Banken in Ägypten wieder. Eine Woche waren sie geschlossen und die Versorgung mit Bargeld wurde zu einem großen alltĂ€glichen Problem. Die Börse in Kairo dementierte hingegen Aussagen ĂŒber eine Wiedereröffnung am Montag. Der Börsenhandel wird erst spĂ€ter wieder zu einem normalen Betrieb zurĂŒckkehren.

Die Aufrechterhaltung des Zahlungsverkehrs ist einer der GrĂŒnde, warum Banken in Deutschland Teil der kritischen Infrastruktur KRITIS sind. In einer Katastrophensituation  hat die VerfĂŒgbarkeit von Bargeld als Zahlungsmittel eine besonders große Bedeutung. Insbesondere wenn StromausfĂ€lle Bargeldautomaten, elektronische Kassen und Kartenterminals ausser Kraft setzen.

[Update]

Die Wiedereröffnung der Banken hat zu einem großen Ansturm mit langen Warteschlangen gefĂŒhrt. Auch der Devisenhandel wurde wieder aufgenommen. Am heutigen Sonntag beginnt die Arbeitswoche in Ägypten.

Bahn muß 40 unterirdische Krisenleitstellen einrichten

Laut einem Bericht des Spiegel sorgt sich das Bundesverkehrsministerium um die Sicherheit des Bahnverkehrs bei terroristischen AnschlĂ€gen oder Naturkatastrophen. Nach Spiegel-Informationen soll die Bahn zur Vorsorge 40 unterirdische KrisenleitstĂ€nde einreichten, ĂŒber die im Falle einer Krise der Zugverkehr aufrecht erhalten werden kann. Hierzu mĂŒssten 37 bestehende Bunkeranlagen auf den neuesten technischen Stand gebracht werden und drei unterirdische LeitstĂ€nde neu gebaut werden. Gerungen wird aktuell offensichtlich darum, wer die Kosten hierfĂŒr zu tragen hat. 

Ohne Frage ist der Bahnverkehr eine kritische Infrastruktur und damit auch Teil von KRITIS. Die Bahn ist nicht nur fĂŒr den Transport von Personen bei einer Katastrophe von elementarer Bedeutung. Ein bedeutender Anteil des GĂŒterverkehrs, insbesondere auch die Versorgung der Kraftwerke mit Kohle, erfolgt ĂŒber die Bahn. In einer Katatstrophensituation wird die Bahn zudem fĂŒr die Verteilung von HilfsgĂŒtern und die Versorgung der Bevölkerung benötigt. Auf der anderen Seite bietet die Bahn mit ihrer mĂ€chtigen Infrastruktur ein großes Angriffsziel bei Naturkatastrophen oder fĂŒr terroristische AnschlĂ€ge.

Bodensee-Wasserversorgung nach anonymen Schreiben unter verstÀrktem Objektschutz

Bei der Bodensee-Wasserversorgung ist ein anonymes Schreiben eingegangen, in dem sich der Verfasser zu dem Giftanschlag auf eine Wasserentnahmestelle in Sipplingen im Jahr 2005 bekennt.

Der Zweckverband Bodensee-Wasserversorgung leitete zusĂ€tzliche Kontrollen ein. Auch der Objektschutz an der grĂ¶ĂŸten Trinkwasserentnahmestelle in Sipplingen wurde verstĂ€rkt.

Vor vier Jahren wurden dort in 65 Meter Tiefe zwei Kanister mit Pflanzenschutzmitteln entdeckt. Die TĂ€ter konnten bislang nicht ermittelt werden.

Die Bodensee-Wasserversorgung versorgt rund vier Milionen Einwohner Baden-WĂŒrttembergs ĂŒber ein 1.700 km langes Leitungssystem mit Trinkwasser. Insbesondere der Großraum Stuttgart hĂ€ngt an dieser Wasserversorgung. Über zwei Leitungen werden tĂ€glich bis zu 670 Millionen Liter Wasser mittels Pumpanlagen vom Bodensee nach Norden befördert. Wenn Sie einmal an unseren wunderhĂŒbschen Bodensee und meine Heimat kommen, sollten Sie sich die Zeit zu einer Besichtigung der Bodensee-Wasserversorgung nehmen. Es lohnt sich und ist wirklich beeindruckend (= Werbung).

Die Trinkwasserversorgung gehört zu den kritischen Infrastrukturen (Kritis) und ist durch ihre Infrastruktur (Leitungsnetze und Speicher) besonders verwundbar.

Public Private Security – Schutz kritischer Infrastrukturen

Bei der Implementierung des BCM gehen Unternehmen, wie auch die Bevölkerung davon aus, dass fĂŒr die notwendigen kritischen Infrastrukturen (KRITIS) entsprechende Vorsorgemaßnahmen fĂŒr Katastrophenereignisse durch Behörden in Verbindung mit den KRITIS-Betreibern geleistet werden.

Diese Zusammenarbeit war Themenschwerpunkt der Veranstaltung “Public Private Security – Schutz kritischer Infrastrukturen” vom 30. MĂ€rz bis 01. April 2009 in Berlin.

Weiterlesen…

Fachtagung Public Private Security – Schutz Kritischer Infrastrukturen

Vom 30.3. bis 01.04.2009 findet in  Berlin die Fachtagung “Public Private Security” statt. Die Veranstaltung besteht aus einer zweitĂ€gigen Fachtagung mit namhaften Referenten aus staatlichen Organisationen und der Privatwirtschaft sowie einem Workshoptag am 1. April. Weiterlesen…