Auch im Regen ... Kritische Infrastrukturen sollten auch in Krisen- und Katastrophenfällen zuverlässig funktionieren.
Kritische Infrastrukturen. Kompetenz. Gewichtige Begriffe.
Von: Stefan Boy am 12.6.2018
Mit Beginn der Urbanisierung steigt die Komplexität der Infrastruktursysteme in Siedlungsräumen. Gab es im Mittelalter einen Türmer, der rund um die Uhr über seine Stadt wachte und bei Gefahr Alarm schlug, um die Selbstheilungskräfte zu aktivieren, so verfügen wir heute über eine Vielzahl von Infrastrukturen und Sensoren, die Ereignisse frühzeitig ankündigen können.
Die bereits erfolgte und weiter angestrebte Vernetzung all jener Infrastrukturen bringt viel Nutzen für unsere Gesellschaft, birgt aber auch neue und bis dato unbekannte Risiken und Kritikalitäten.
Definition „Kritische Infrastrukturen“
Das Bundesministerium des Innern, für Bau und Heimat (BMI) definiert Kritische Infrastrukturen wie folgt: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wesentlicher Bedeutung für das staatliche Gemeinwesen. Eine Störung oder ein Ausfall führt zu Einschränkungen der Versorgung und der öffentlichen Sicherheit und Ordnung.“ (Weiter zur Definition)
Dabei geht die Kritikalität nicht von der Infrastruktur per se aus, sondern es sind die durch die sich entwickelte Vernetzung entstehenden kaskadenartigen Auswirkungen im Fall eines Nichtangebots, die das Risiko großer Schäden beinhalten.
Die Kritischen Infrastrukturen werden in 9 Sektoren gegliedert: Energie, Informations- und Kommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Schon bei dieser Betrachtung erkennt man die beiden herausragenden Bereiche. Zum einen Energie mit dem Elektrizitätsversorgungssystem und den Bereich IKT mit der erforderlichen Infrastruktur für eine 24|7 Kommunikation aller Player.
Auf den Punkt gebracht, geht die größte Kritikalität vom Zusammenspiel von Elektrizität und IT & Telekommunikation aus. Ohne Elektrizität keine IT und durch Schädigung der IT keine Elektrizität.
Für die Bewältigung von Ereignislagen ist eine zuverlässige Kommunikation unabdingbar (Alarmierung, Übermittlung von Lageinformationen, Steuerung von Einsatzkräften).
Das BSI-Gesetz soll nun vor Schäden im Bereich IT schützen und damit ein wesentliches Risiko für die KRITIS minimieren. Hintergrund der KRITIS-Verordnungen ist der Vernetzungsgedanke. „Ohne Kommunikation keine Vernetzung und keine Steuerung“. Das IT Sicherheitsgesetz definiert erstmalig anhand von Schwellenwerten, welche Bereiche KRITIS sind. Dabei geht man davon aus, dass es Mindestgrößen an Kunden, Nachfragern oder Nutzern geben muss, um eine bestimmte Kritikalität zu erreichen. Diese nationale Strategie zum Schutz kritischer Infrastrukturen birgt das erhebliche Risiko, dass alle Bereiche, die nicht die Schwellenwerte erreichen, Maßnahmen für den Schutz der Infrastrukturen nicht entsprechend verfolgen, da allein der formale „Zwang“ fehlt.
Bauliche, personelle, technische und organisatorische Schutzvorkehrungen vermitteln ein hohes Schutzniveau. Allerdings sollten diese Maßnahmen in ihrer Wirkung nicht überschätzt werden. Alle bisherigen Ereignisse haben gezeigt, dass es der Mensch ist, der als User mit seinem aktiven Verhalten signifikant dazu beiträgt, ob Ereignisse in ihren Wirkungen kritisch werden oder nicht.
Das BSI-Gesetz sollte zum Anlass für breite Awareness-Kampagnen genutzt werden.
Öffentliche Organisationen sollten, wie alle anderen Betreiber kritischer Infrastrukturen auch in erster Linie an der Bewusstseinsbildung für Vernetzung und die neuen Abhängigkeiten arbeiten. Nur wenn allen Beteiligten in den Wertschöpfungsketten bewusst ist, welche Abhängigkeiten bestehen, können die o. g. Maßnahmen erfolgreich und nachhaltig im Sinne einer frühzeitigen Ereigniserkennung und damit -bewältigung umgesetzt werden.
Die Ursachen für die Ausfälle von KRITIS sind vielfältig. Es hat sich in der Vergangenheit die Kategorisierung der Ursachen nach Naturereignissen, technisch/ menschliches Versagen und Kriege, Terrorismus und Kriminalität bewährt. Schließlich habe alle Ereignisse aufgrund der Vernetzung direkten oder indirekte Auswirkungen auf KRITIS.
Beispielhaft sei hier ein flächendeckender Ausfall der Elektrizität in München genannt. Aufgrund eines technischen Defektes in Verbindung mit geringfügigem menschlichen Versagen kam es am 15.11.2015 gegen 07:00 Uhr mitten im Berufsverkehr zu einem vollständigen Ausfall der Elektrizitätsversorgung in München. Mit all den Folgen wie Überlastung der Feuerwehr durch die Auslösung unzähliger Brandmeldeanlagen, dem Zusammenbruch des Berufsverkehrs (Ampeln, S-Bahnen etc.) und dem Ausfall von unzähligen Servern und Rechnern. Am Abend desselben Tages blieb die Innenstadt von Frankfurt a. Main dunkel. Ursache war ein Server, der verantwortlich für die Steuerung der öffentlichen Beleuchtung in Frankfurt a. Main ist, örtlich in München steht und nicht wieder automatisch hochgefahren ist.
Klar, dass für die Kommunikation in kritischen Situationen auch und vor allem Systeme zum Einsatz kommen (müssen), die sonst nicht im Fokus der Öffentlichkeit stehen, aber eben gerade in Problemfällen verfügbar sind. Dedizierte Kommunikationssysteme kommen zum Einsatz. In Deutschland seit einigen Jahren bei den Behörden und Organisationen mit Sicherheitsaufgaben das Digitalfunknetz der BOS. Wie sich diese weiter entwickeln werden, ist auch unter dem Aspekt, die Erfahrungen in Großbritannien und den USA zu berücksichtigen, von großem Interesse.
Nicht weniger Endgeräte als im BOS-Digitalfunknetz auf der Basis des Standards TETRA – auch in Deutschland – sind in dedizierten Paging-Netzen im Einsatz. Dass insbesondere letztere ein regelrechtes Rückgrat der Kommunikation bilden, zeigte die Analyse der Anschläge in Brüssel., Lesen Sie zu diesem Thema unter anderem unseren Blogbeitrag “Lehren aus Brüssel oder mobile Kommunikation in Krisenfällen”.
Ein starrer Vergleich hätte immer seine Pros und Cons. Der Beitrag “Energieversorgung, Kommunikation und Logistik in kritischen Lagen” enthält auch Aussagen dazu aus der Sicht der wohl erfolgreichsten und umfassendsten Organisation für technische Hilfe in besonders kritischen Situationen. Präsident Albrecht Broemme von der Bundesanstalt Technisches Hilfswerk (THW) berichtet im Paging-Kongress digital: CritComms 2018 zu Fragen der technischen Kommunikation in Ausnahmefällen.
Mehr praktische Erfahrungen hat keine vergleichbare Landesorganisation in Europa. Präsident Broemme gehörte zu den Initiatoren von CritComms 2018. Der erste aus seiner Sicht sehr notwendige Paging-Kongress im Februar 2003 in Berlin war auch seine Initiative, damals noch als Landesbranddirektor von Berlin.
Nehmen wir als Beispiel der o. g. Vielzahl von Ereignissen den Ausfall der Elektrizität. Sollte es zu punktuellen Ereignissen kommen (Extremwetterlage, Stromausfall auf eine Region z. B. eines Landkreises begrenzt, so stehen den Feuerwehren und dem THW umfangreiche regionale und überregionale mobile Erststromversorgungsanlagen zur Verfügung. Diese können dann, je nach Vorbereitungsrad der Nachfrager (nicht jede Erzeugungsanlage passt im Ereignisfall aus technischen Gründen an die Einrichtungen des Nachfragers) eingesetzt werden und den Zeitraum überbrücken, bis die öffentliche Versorgung mit Elektrizität wieder hergestellt ist.
Sollte es zu großflächigen Ausfällen kommen (eine Regelzone des Übertragungsnetzbetreibers oder die gesamte Bundesrepublik), so können die vorhandenen Kapazitäten lediglich dezentral die Nachfrage in geringstem Umfang decken. Hier wird es erforderlich sein, übergreifend Konzepte zu erstellen, welche Kommunikationsknoten mit welchen Anlagen für ein definiertes Rumpfnetz aufrechterhalten werden können. Oberste Priorität muss eine Versorgung der staatlichen Stellen zur Koordination von Hilfsmaßnahmen über sämtliche Verwaltungsstrukturen haben.
Die Bundesrepublik Deutschland verfügt als hochentwickeltes Industrieland über eine Vielzahl von Kommunikationssystemen für eine Vielzahl von Nutzergruppen.
Flächendeckend steht der bekannte öffentliche Mobilfunk und umfangreiche Datennetz mit entsprechenden Knotenpunkten zur Verfügung.
Alle Systeme sind direkt abhängig von hochverfügbaren Softwareanwendungen, einer internen Kommunikation in Echtzeit und einer zuverlässigen Versorgung mit Elektrizität. Kommt es aktuell zu Ausfällen oder Beeinträchtigungen dieser wesentlichen Komponenten, folgen unmittelbar Ausfälle, die sich innerhalb kürzester Zeit auf andere Sektoren auswirken und zu Sekundärschäden führen können.
Die bereits erfolgte gesellschaftliche Vernetzung sowie selbige bei den Ereignisursachen (hybride Gefahrenlagen) haben auf Seiten der Sicherheitsarchitektur noch kein Äquivalent gefunden. Es ist höchste Zeit, dass eine Zuverlässige Kommunikation flächendeckend mittels Vernetzung der verschiedenen Systeme aufgebaut wird.
Einer wesentlichen Bedeutung wird dabei einer klaren und schonungslosen Analyse der tatsächliche Resilienz der Systeme zu kommen, um im Ergebnis wirklich widerstandsfähige und im Ereignisfall sicher zur Verfügung stehende Strukturen zu erhalten.
Fragen und Anregungen
An das Organisationsteam (Frau Ulrike Kieper, E-Mail: u.kieper@emessage.de, Tel.: 030 / 4171-2011).
Natürlich gibt es den Themenkatalog bereits in ausführlicher Form. Hier ist er zu finden:
Programmbeirat
CritComms 2018 Paging-Kongress
Kritische Infrastrukturen. Kompetenz. Gewichtige Begriffe.
Ein Fachbeitrag von Carsten Hofmann und Dr. Dietmar Gollnick, erschienen in der Notfallvorsorge...
Fokusthemen des Europa-Meeting der Critical Messaging Association (CMA) in der Schweiz waren...