Fast alle relevanten Lebensbereiche hängen heute von Informationstechnologie ab. Ver- und Entsorgung mit bzw. von Wasser, Erzeugung und Verteilung von Strom, Herstellung und Verteilung von Nahrung, die Versorgung in Krankenhäusern und andere Sektoren wären in Ihrer Komplexität ohne IT nicht mehr beherrschbar. Die jüngste Geschichte zeigt jedoch nachdrücklich, dass die Vorteile elektronischer Datenverarbeitung auch Nachteile mit sich bringen. Systeme werden angreifbar, theoretisch aus jeder Ecke der Welt.

Dem hat das IT Sicherheitsgesetz im Juli 2015 Rechnung getragen mit dem Ziel, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen„.

So wurden Kritische Infrastrukturen (KRITIS) definiert, Fristen gesetzt und die Umsetzung sogenannter BranchenSpezifischer SicherheitsStandards (B3S) mittels eigener Nachweisverfahren (BSIG §8a) durch akkreditierte Prüfstellen überwacht. Nun naht die Verabschiedung des vieldiskutierten IT-Sicherheitsgesetz 2.0, das sich noch in der Ressortabstimmung befindet und neben einer deutlichen Erhöhung der Kompetenzen des BSI auch die Abfallwirtschaft in den Kreis der KRITIS Unternehmen einbezieht.

Wichtigkeit der Abfallwirtschaft

Das ist leicht nachvollziehbar, hat doch der Ausfall von Anlagen in diesem Sektor eine erhöhte Seuchen- und Umweltgefahr zur Folge. Der Fall Neapel zeigt sehr plastisch auf was passiert, wenn die Müllabfuhr nicht mehr handlungsfähig ist. Diese Entscheidung betont die Wichtigkeit der Abfallwirtschaft als Element der öffentlichen Daseinsvorsorge und der öffentlichen Strukturnetze.

Unklar ist aktuell noch, mit welcher Reichweite das BSI die Umsetzung der entsprechenden Regelungen für die Abfallwirtschaft verpflichtend macht. Derzeit werden an vielen Stellen KRITIS Betriebe mit einem Versorgungsradius von 500.000 Einwohnern in die bestehenden Regelungen einbezogen, ein Herabsetzen der jeweiligen Schwellenwerte ist jedoch auch in der Diskussion.

Was umgesetzt werden muss

In unterschiedlichen Verbänden der Abfallwirtschaft wird derzeit an einem tragfähigen B3S gearbeitet. Dieser muss in der Folge dem BSI vorgelegt werden, das wiederum prüft, ob der B3S „den Anforderungen an den ‚Stand der Technik‘ für den Geltungsbereich in Bezug auf die branchenspezifische Gefährdungslage und die Risikobetrachtung zu erfüllt“ und die Vorgaben der Orientierungshilfe umgesetzt hat.

Viele Branchenstandards orientieren sich dabei an der ISO/IEC 27001 und dem IT-Grundschutzkatalog des BSI, ergänzen diese um branchenspezifische Eigenschaften. Risikomanagement, technische IT Sicherheit, bauliche Sicherheit, Mitarbeiterkompetenz, betriebliches Kontinuitätsmanagement und Lieferantenmanagement sind nur einige Bereiche, die dabei in den Fokus rücken.

Auch ohne Verpflichtung wichtig

Im BSI Lagebericht des Jahres 2019 sprechen die Experten von bis zu 110.000 Bot-Infektionen täglich an deutschen Systemen, immer häufiger werden KRITIS Betriebe gezielt oder als Kollateralschaden in Mitleidenschaft gezogen. Regelmäßig kann man der Tagespresse Berichte über immense Schäden z.B. bei Versicherungen, Krankenhäusern, Gerichten und Versorgern entnehmen. Daher erscheint es auch ohne gesetzliche Verpflichtung für jeden Betrieb ratsam, das Thema Informationssicherheit auf die Agenda zu nehmen und die digitale Infrastruktur gegen Cyberangriffe zu stärken. Der Modernisierungsdruck im Zuge der Digitalisierung und der fortschreitenden Vernetzung auf allen Ebenen wird auch in Zukunft nicht abnehmen, und das Gefahrenspektrum wird mit jeder neuen Technologie bunter.

Davon ist auszugehen

Michael Hojnacki
Vorstand der Süd IT AG

Art of Quality ist Mitbegründer und Mitglied der Süd IT AG.

Bildquelle: Jasmin Sessler (@open_photo_js, unsplash.com)