Von Arne Schönbohm (Bundesamt für Sicherheit in der Informationstechnik, BSI)

Die Stadtmauer des 21. Jahrhunderts

Im Jahr 2030 werden über 60 Prozent der Weltbevölkerung in Städten leben – und sie werden hauptsächlich mittels internetbasierter Digitaltechnik kommunizieren. Das  Entstehen einer Digitalmoderne und weltweite Urbanisierungsprozesse gehören zu den prägenden Trends der kommenden Jahre. Beide sind untrennbar mit dem Thema Sicherheit verbunden. Denn die vernetzte Stadt ist aus Sicht der Cyber-Saboteure und Cyber-Kriminellen ein ideales Angriffsziel: Punktueller Einsatz krimineller Energie mit größtmöglicher Wirkung. Nur ein gesamthafter Ansatz und eine enge Kooperation aller Akteure können hier Schutz bieten.

Der digitale Wandel prägt unsere gesellschaftlichen Strukturen. Er verändert nicht nur ökonomische Abläufe entlang der Wertschöpfungskette. Er beeinflusst unseren Alltag und unsere Kommunikation untereinander, unsere Arbeitswelt und die Unternehmen, in denen wir arbeiten, ebenso wie unser Wohnen und die Stadt, in der wir leben. Er  beeinflusst Politik- wie Produktionsprozesse, Verkehr und Versorgung, Gesundheit und auch die kommunale Verwaltung. Der Veränderungsprozess selbst ist schleichend – wir erleben ihn als Selbstverständlichkeit. Vor allem, weil dem Einzelnen die Allgegenwärtigkeit digitaler Technologie im Alltag so nicht bewusst wird. In vielen  Branchen hat die Digitalisierung auch den beruflichen Alltag fest im Griff. Moderne  Produktionssysteme sind im Kern Informatiksysteme (Industrie 4.0). Die Digitalisierung der Arbeit ermöglicht, Ort und Zeit der Leistungserbringung beliebig zu wählen.

Soziale Netzwerke haben auch in den Unternehmen Einzug gehalten und verändern die  betrieblichen Abläufe. Auch Fahrzeuge sind rollende Computer. Sie sammeln Daten und  Fakten – vor allem zur Information des Benutzers, aber auch zunehmend für die  Werkstatt und den Hersteller. Außerdem werden erste Konzepte erprobt, wie Autos  untereinander oder mit vorhandener Infrastruktur am Straßenrand kommunizieren.  Moderne Medizinsysteme sind ohne Computertechnologie nicht denkbar; eHealth, also der Transfer gesundheitlicher Ressourcen und medizinischer Versorgung mit  elektronischen Mitteln, und mHealth, der mobile Umgang damit, verändern nicht nur  Abläufe in und zwischen den Krankenhäusern und Krankenkassen, sondern auch das  Verhältnis von Arzt und Patienten. Und im Smart Home ermöglichen technische  Verfahren und Systeme, die via Internet angesprochen und über erweiterbare Apps  gesteuert werden können, Sicherheit und effiziente Energienutzung auf Basis vernetzter und fernsteuerbarer Geräte (Lampen, Jalousien, Heizung, Herd, TV und Waschmaschine) und Installationen (Taster, Schalter) sowie automatisierbarer Abläufe.

Die Stadt als  kritische Infrastruktur

Die Digitalisierung der Stadt von morgen („Smart City“) folgt quasi automatisch im  Gefolge der Digitalisierung aller Lebensbereiche. In der Stadt bündeln sich nahezu alle  Anwendungsbereiche digitaler Technologie. Die Bandbreite reicht von der digitalen  Verwaltung (eGovernment) über intelligente Verkehrssysteme und die digitale  Hafenorganisation, digitale Geodaten sowie Bildungs- und Kulturangebote bis hin zur  digitalen Infrastruktur der gesamten Energieversorgung (SmartEnergy). Und eben diese Bündelung an einem Ort kombiniert mit der Vernetzung all dieser Funktionen schafft   eine besondere Komplexität und steigert damit aufgrund der Verwundbarkeit von IT durch Schwachstellen auch die Gefährdung der Smart City im Cyberraum: Die Stadt als  solche wird zur kritischen Infrastruktur.

Kritische Infrastrukturen (KRITIS) sind  Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche  Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende  Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Da gerade in der digitalisierten Stadt viele der KRITIS-Bereiche voneinander abhängig sind, wird das Risiko von Ausfällen noch  verstärkt. Ausfälle in einem Sektor können zu Ausfällen in anderen Sektoren führen und auf diese Weise einen Dominoeffekt auslösen. Ein Beispiel: Fällt durch Cyber-Sabotage die Stromversorgung in einer Stadt aus, sind nahezu alle Endkunden ohne Licht, Telefon  und Internet. Aber auch Mobilfunkmasten und Rundfunksender können betroffen sein. Stehen dann keine Notstromaggregate zur Verfügung oder sind deren Reserven aufgebraucht, können Wasserwerke, Krankenhäuser, Banken und öffentliche Einrichtungen nicht mehr oder nur noch sehr  eingeschränkt arbeiten. Erfolgreiche Cyber-Angriffe können aber nicht nur auf einen sofortigen Ausfall zielen, sondern auch darauf angesetzt werden, gezielte und nicht  sofort bemerkte Störungen in Abläufen zu erzeugen, wenn zum Beispiel bestimmte Parameter verändert werden. Man stelle sich etwa eine Schadsoftware vor, die in einem Finanzamt einer Stadt Steuerbescheide verfälscht, so dass es zu falschen Forderungen  und Auszahlungen kommt. Die zwangsläufige Korrektur der betroffenen Bescheide würde nicht nur hohe Kosten verursachen, sondern auch das Vertrauen der Bürger in die elektronische Steuerbearbeitung erheblich beeinträchtigen.

Für politisch Verantwortliche in den Städten, für die regionale Wirtschaft, für Behörden und Verwaltungen, im weitesten Sinne also für die „Betreiber der kritischen  Infrastruktur digitale Stadt“ gilt es also nicht nur, die Vorteile der Vernetzung zu feiern, sondern sich angesichts der zunehmenden Digitalisierung immer wieder zu fragen, wie  die die Infrastruktur besser absichern können. Und da hapert es noch. Ganz gleich, ob man sich das Berliner „Smart City-Konzept“ oder das Projekt „Internet-Stadt Köln“ anschaut, ob es um den „Weg zur Digitalen Stadt Hamburg“ oder vergleichbare  Großprojekte handelt: Die Cyber-Resilienz bzw. die IT-Sicherheit stehen zu selten im  Fokus.

Angriffe im Cyberraum erfolgen aber wie bei der Stadtmauer im Mittelalter immer auf  das schwächste Glied in einer Sicherheitskette. Deshalb hilft es niemandem, wenn ein  einzelnes Unternehmen unter Sicherheitsgesichtspunkten alles richtig gemacht hat oder das kommunale E-Werk sicherheitstechnisch gut geschützt ist. Denn erfolgreiche  Angriffe auf ein ungeschütztes Teilsystem in einer Stadt können gravierende  Auswirkungen auf die gut geschützten Prozesse und die Sicherheit Dritter haben. Um dies zu verhindern, sind Standards gefragt, denn man muss sich auf die Partner verlassen können, die in einem Netz wie der digitalen Stadt zusammen agieren.  Gemeinsame Spielregeln legen fest, dass nicht jeder machen kann was er will, sondern vereinbarte Mindeststandards einhält.

Keine Digitalisierung ohne Cyber-Sicherheit

Eine besondere Herausforderung eines umfassenden IT-Sicherheitsansatzes der  digitalen Stadt liegt darin, eine größere Zahl von Akteuren einzubeziehen als nur die  Verwaltung selbst: Unternehmen, Verbände, Verkehrs- und Entsorgungsbetriebe, Hochschulen, Energieversorger, Krankenhäuser und viele andere mehr. Diese  institutionelle Vielfalt mit unterschiedlicher Konstituierung macht deutlich, dass ein  effizienter und wirksamer Schutz nur mit standardisierten Prozessen sowie  funktioneller Kooperation möglich ist.

Der Schutz Deutschlands kritischer Infrastrukturen muss weiter konsequent verbessert werden. Die deutsche und europäische IT-Sicherheitsgesetzgebung muss fortgeschrieben und der aktuellen Gefährdungslage angepasst werden. Mit dem IT-Sicherheitsgesetz von 2015 und der Cyber-Sicherheitsstrategie der Bundesregierung von 2016 sind wichtige Schritte erfolgt und der strategische Rahmen gesetzt. Im Bereich der Kritischen Infrastrukturen kooperiert das BSI als nationale Cyber-Sicherheitsbehörde im Rahmen des UP KRITIS mit den KRITIS-Betreibern. Ziel des UP KRITIS mit seinen rund 400 Mitgliedern ist es, die Versorgung mit lebensnotwendigen Dienstleistungen möglichst uneingeschränkt aufrechtzuerhalten. Auch in den großen Digitalisierungsprojekten in  Deutschland bringt sich das BSI verstärkt ein. Denn diese sind nur dann ein Gewinn für  alle, wenn ein angemessenes Sicherheitsniveau gewährleistet ist. Das BSI stellt  Unterstützungsleistungen zur Entwicklung und Umsetzung des Sicherheitsniveaus  bereit. So leisten wir unseren Beitrag zum Gelingen der Energiewende durch die  Erarbeitung von Sicherheitskriterien für die Infrastruktur der intelligenten Stromzähler und unterstützen bei der Erarbeitung der Sicherheitsaspekte einer digitalisierten  Verkehrsinfrastruktur, in der autonomes Fahren möglich wird. Darüber hinaus hat das BSI die wesentlichen Sicherheitsanker der elektronischen Gesundheitskarte und der  dazu notwendigen Systeme mitgestaltet und zertifiziert.

Die durch die Digitalisierung angestoßenen Entwicklungen sind durchgreifend und  werden Deutschland verändern. Die Frage der Sicherheit der eingesetzten  Informationstechnik stellt sich damit nicht mehr nur nebenbei. Sie stellt sich auch nicht  länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die  Informationssicherheit eine wesentliche Vorbedingung für das Gelingen der  Digitalisierung in Deutschland geworden. Gemeinsam mit seinen Partnern in Staat,  Wirtschaft und Gesellschaft hat das BSI bereits vieles erreicht, um das  IT-Sicherheitsniveau in Deutschland zu verbessern. Dieser Aufgabe stellen wir uns auch  weiterhin.

Arne Schönbohm ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

(Dieser Beitrag stammt aus dem ZIA-Geschäftsbericht 2017)