Innenministerium plant Gesetz zur Meldung von IT-Sicherheitsvorfällen

Laut einer aktuellen Meldung des Handelsblatts plant Innenminister Friedrich ein Gesetz, das die Betreiber Kritischer Infrastrukturen KRITIS dazu verpflichtet, “erhebliche IT-Sicherheitsvorfälle” zu melden. Daneben soll die Pflicht zur Erfüllung von IT-Sicherheit der Betreiber kritischer Infrastrukturen gesetzlich geregelt werden.

Der Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen nimmt damit konkrete Gestalt an. Es war bereits abzusehen, dass Betreiber kritischer Infrastrukturen stärker in die Pflicht genommen werden. Ein Gesetz zur Meldepflicht würde diesen Prozess deutlich beschleunigen und die Kritis-Betreiber konkret in die Pflicht nehmen. BCM-News hatte hierüber im Oktober 2011 bereits berichtet.

Studie zur Versorgungssicherheit mit Lebensmitteln des BBK

Die Bundesanstalt für Landwirtschaft und Ernährung (BLE) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben eine Studie zur Versorgungssicherheit mit Lebensmitteln veröffentlicht. Die gemeinsame Studie ist als Band 9 in der BBK-Schriftenreihe „Wissenschaftsforum“ erschienen. Untersucht wurden Gefährdungen und Rah-menbedingungen des Ernährungssektors sowie Aspekte des Risiko- und Krisenmanagements.

PwC-Studie: Wie gut sind deutsche Energieversorger auf Notfälle vorbereitet?

In einer aktuellen Studie untersucht das Wirtschaftsprüfungs- und Beratungsunternehmen PwC das Notfallmanagement von 58 vorwiegend regional tätigen Energieversorgungsunternehmen. Dass bei über der Hälfte der befragten Unternehmen keine regelmäßigen Notfallübungen stattfinden bzw. die durchgeführten Übungen nicht nachbearbeitet werden, wirft kein gutes Licht auf die Unternehmen der Branche, die wegen ihrer Bedeutung zu den Kritischen Infrastrukturen (KRITIS) in Deutschland zählen. Die TAB-Studie hat eindrucksvoll die Folgen eines überregionalen Stromausfalls deutlich gemacht. Die Regulierung und Prüfung der Notfallvorsorge scheint in den verschiedenen Branchen auch unterschiedlich intensiv zu greifen. Während Finanzdienstleister intensiv im BCM geprüft werden und insbesondere die Durchführung von Tests und Übungen zum Standardprüfprogramm der Auditoren gehören, scheint dies in der Energieversorgungsbranche nicht durchgängig der Fall zu sein, wenn man die Studienergebnisse von PwC betrachtet.  Die in der Studie bemängelte uneinheitliche Definition von Notfällen, Krisen und Katastrophen ist allerdings kein branchenspezifisches Phänomen der Energieversorgungsbranche. Dieses Problem zeiht sich leider über alle Branchen hinweg, da es an einer einheitlichen Vorlage für die inhaltliche Definition dieser Begriffe mangelt. So definiert sich jedes Unternehmen diese Begriffe und Abgrenzungen selbst. Besonders schwierig wird dies, dann wenn Notfallkonzepte zwischen Unternehmen, zum Beispiel in einer Supply Chain-Beziehung, abgestimmt werden müssen. Vor dem eigentlichen Abstimmprozess steht dann erst einmal der mühsame Abgleich der verwendeten Terminologien im BCM und Krisenmanagement. Zumindest für Unternehmen der Kritischen Infrastrukturen sehe ich hier einen deutlichen Regulierungsbedarf des Bundes. Auch die Adaption internationaler Standards bietet hierfür eine gute Grundlage. Im Rahmen der neuen ISO-Familie zum BCM des TC 223, dessen BCM-Standard ISO 22301 gerade publiziert wurde, wird es auch ein Glossar mit den zentralen BCM-Begrifflichkeiten geben.

Download der PWC-Studie “Wie gut sind deutsche Energieversorger auf Notfälle vorbereitet?” (Mai 2012):

http://www.pwc.de/de/energiewirtschaft/pwc-studie-wie-gut-sind-deutsche-energieversorger-auf-notfaelle-vorbereitet.jhtml

FBI dementiert Cyber-Attacke auf Wasserversorger in Illinois

FBI und ICS-CERT haben die vermeintliche Hackerattacke auf einen Wasserversorger in Illinois untersucht, konnten aber keine Anzeichen für eine Cyber-Attacke identifizieren:

“DHS and the FBI have found no evidence of a cyber intrusion” or “malicious traffic from Russia or any foreign entities, as previously reported.”

Cyber-Sicherheitsrat beschließt die Überprüfung der KRITIS-Betreiber

Im Rahmen der Cyber-Sicherheitsstrategie wurde die Einrichtung eines nationalen Cyber-Sicherheitsrats zur Koordination der Maßnahmen zur Abwehr eines IT-Angriffs auf Kritische Infrastrukturen (KRITIS) beschlossen.  In seiner zweiten Sitzung hat der Cyber-Sicherheitsrat nun beschlossen, die einzelnen KRITIS-Branchen auf den jeweiligen Umsetzungsstand der IT-Sicherheitsstandards zu überprüfen und Maßnahmen zu entwickeln. Das BSI liefert die Bewertungskriterien zur Einschätzung des Reifegrads und unterstützt bei der Überprüfung der KRITIS-Branchen. Mit dieser Maßnahme wird dem Umsetzungsplan KRITIS (UP KRITIS) wieder Leben eingehaucht. Insbesondere die branchenübergreifende Koordination der Unternehmen und Organisationen erscheint noch stark steigerungsbedürftig. Beitragen soll hier zu auch die LÜKEX-Übung, die im November/Dezember diesen Jahres ein IT-Szenario mit Behörden und privatwirtschaftlichen Unternehmen durchspielen wird.

Neue Sektoren- und Brancheneinteilung bei den Kritischen Infrastrukturen des BBK

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK hat die Sektoren- und Brancheneinteilung für die Kritischen Infrastrukturen überarbeitet.

Sektoren nach der neuen Einteilung sind jetzt:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur.

„Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Aktualisierter Leitfaden des BMI “Schutz Kritischer Infrastrukturen

Das Bundesministerium des Inneren BMI hat im Juni einen aktualisierten Leitfaden “Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement (Leitfaden für Unternehmen und Behörden)” veröffentlicht.

“Der Leitfaden richtet sich an die Betreiber Kritischer Infrastrukturen. Er soll ihnen Hilfestellungen beim Aufbau und der Weiterentwicklung ihres jeweiligen Risiko- und Krisenmanagements geben. Auf Grundlage der allgemeinen Empfehlungen des Basisschutzkonzeptes zum Schutz Kritischer Infrastrukturen (Bundesministerium des Innern, 2005) stellt er Methoden zur Umsetzung eines Risiko- und Krisenmanagements dar und ergänzt diese um praktische Handreichungen in Form von Beispielen und Checklisten.”

Banken in Ägypten öffnen nach einer Woche wieder [Update]

Am Sonntag vormittag um 10:00 Uhr öffnen die Banken in Ägypten wieder. Eine Woche waren sie geschlossen und die Versorgung mit Bargeld wurde zu einem großen alltäglichen Problem. Die Börse in Kairo dementierte hingegen Aussagen über eine Wiedereröffnung am Montag. Der Börsenhandel wird erst später wieder zu einem normalen Betrieb zurückkehren.

Die Aufrechterhaltung des Zahlungsverkehrs ist einer der Gründe, warum Banken in Deutschland Teil der kritischen Infrastruktur KRITIS sind. In einer Katastrophensituation  hat die Verfügbarkeit von Bargeld als Zahlungsmittel eine besonders große Bedeutung. Insbesondere wenn Stromausfälle Bargeldautomaten, elektronische Kassen und Kartenterminals ausser Kraft setzen.

[Update]

Die Wiedereröffnung der Banken hat zu einem großen Ansturm mit langen Warteschlangen geführt. Auch der Devisenhandel wurde wieder aufgenommen. Am heutigen Sonntag beginnt die Arbeitswoche in Ägypten.

Bahn muß 40 unterirdische Krisenleitstellen einrichten

Laut einem Bericht des Spiegel sorgt sich das Bundesverkehrsministerium um die Sicherheit des Bahnverkehrs bei terroristischen Anschlägen oder Naturkatastrophen. Nach Spiegel-Informationen soll die Bahn zur Vorsorge 40 unterirdische Krisenleitstände einreichten, über die im Falle einer Krise der Zugverkehr aufrecht erhalten werden kann. Hierzu müssten 37 bestehende Bunkeranlagen auf den neuesten technischen Stand gebracht werden und drei unterirdische Leitstände neu gebaut werden. Gerungen wird aktuell offensichtlich darum, wer die Kosten hierfür zu tragen hat. 

Ohne Frage ist der Bahnverkehr eine kritische Infrastruktur und damit auch Teil von KRITIS. Die Bahn ist nicht nur für den Transport von Personen bei einer Katastrophe von elementarer Bedeutung. Ein bedeutender Anteil des Güterverkehrs, insbesondere auch die Versorgung der Kraftwerke mit Kohle, erfolgt über die Bahn. In einer Katatstrophensituation wird die Bahn zudem für die Verteilung von Hilfsgütern und die Versorgung der Bevölkerung benötigt. Auf der anderen Seite bietet die Bahn mit ihrer mächtigen Infrastruktur ein großes Angriffsziel bei Naturkatastrophen oder für terroristische Anschläge.

Bodensee-Wasserversorgung nach anonymen Schreiben unter verstärktem Objektschutz

Bei der Bodensee-Wasserversorgung ist ein anonymes Schreiben eingegangen, in dem sich der Verfasser zu dem Giftanschlag auf eine Wasserentnahmestelle in Sipplingen im Jahr 2005 bekennt.

Der Zweckverband Bodensee-Wasserversorgung leitete zusätzliche Kontrollen ein. Auch der Objektschutz an der größten Trinkwasserentnahmestelle in Sipplingen wurde verstärkt.

Vor vier Jahren wurden dort in 65 Meter Tiefe zwei Kanister mit Pflanzenschutzmitteln entdeckt. Die Täter konnten bislang nicht ermittelt werden.

Die Bodensee-Wasserversorgung versorgt rund vier Milionen Einwohner Baden-Württembergs über ein 1.700 km langes Leitungssystem mit Trinkwasser. Insbesondere der Großraum Stuttgart hängt an dieser Wasserversorgung. Über zwei Leitungen werden täglich bis zu 670 Millionen Liter Wasser mittels Pumpanlagen vom Bodensee nach Norden befördert. Wenn Sie einmal an unseren wunderhübschen Bodensee und meine Heimat kommen, sollten Sie sich die Zeit zu einer Besichtigung der Bodensee-Wasserversorgung nehmen. Es lohnt sich und ist wirklich beeindruckend (= Werbung).

Die Trinkwasserversorgung gehört zu den kritischen Infrastrukturen (Kritis) und ist durch ihre Infrastruktur (Leitungsnetze und Speicher) besonders verwundbar.

Public Private Security – Schutz kritischer Infrastrukturen

Bei der Implementierung des BCM gehen Unternehmen, wie auch die Bevölkerung davon aus, dass für die notwendigen kritischen Infrastrukturen (KRITIS) entsprechende Vorsorgemaßnahmen für Katastrophenereignisse durch Behörden in Verbindung mit den KRITIS-Betreibern geleistet werden.

Diese Zusammenarbeit war Themenschwerpunkt der Veranstaltung “Public Private Security – Schutz kritischer Infrastrukturen” vom 30. März bis 01. April 2009 in Berlin.

Weiterlesen…

Fachtagung Public Private Security – Schutz Kritischer Infrastrukturen

Vom 30.3. bis 01.04.2009 findet in  Berlin die Fachtagung “Public Private Security” statt. Die Veranstaltung besteht aus einer zweitägigen Fachtagung mit namhaften Referenten aus staatlichen Organisationen und der Privatwirtschaft sowie einem Workshoptag am 1. April. Weiterlesen…