Home Kontakt Standorte Hilfe German

Metzler meets Fraunhofer

Kritische Infrastrukturen – Risiken, Schutz und Resilienz

Laden Sie sich das Gespräch zwischen Prof. Dr. Jürgen Beyerer und Dr. Johannes Reich als PDF-Datei herunter (pdf, 3,47 MB)

mehr

Metzler meets Fraunhofer

Kritische Infrastrukturen – Risiken, Schutz und Resilienz

Der Alltag in Industrienationen wie Deutschland funktioniert mittlerweile nur noch über ein engmaschiges Netz komplexer, miteinander verwobener Infrastrukturen, die in ihrer zunehmenden Vernetzung anfällig sind und deren Ausfall dramatische Folgen haben kann: Denn Cyberkrieg wie Terrorgefahr bedrohen unseren Alltag. Die Zahl besorgniserregender Attacken auch auf kritische Infrastrukturen wächst mit atemberaubender Geschwindigkeit. Sind Industrie, Politik und Privathaushalte in Deutschland auch nur annähernd in der Lage, dieser Bedrohung etwas entgegenzusetzen, den „Blackout“ zu verhindern? 

Anlässlich der gemeinsamen Veranstaltung „Metzler meets Fraunhofer“ im Februar 2017 über „Kritische Infrastrukturen – Risiken, Schutz und Resilienz“ sprachen darüber Prof. Dr. Jürgen Beyerer, Leiter des Fraunhofer-Instituts für Optronik, Systemtechnik und Bildauswertung IOSB, und Dr. Johannes Reich, persönlich haftender Gesellschafter des Bankhauses Metzler und zuständig für das Kerngeschäftsfeld Corporate Finance und den Bereich Informationstechnologie.

Wie lassen sich kritische Infrastrukturen kurz definieren? Welche Infrastrukturen sind besonders kritisch? Gibt es eine „kritischste aller kritischen“ Infrastrukturen
Beyerer: Kritische Infrastrukturen sind Infrastrukturen wie Stromversorgung, IT- und Kommunikationsnetze, Verkehrsnetze, Finanzsysteme, Wasserversorgungssysteme usw., die für das Funktionieren unseres Gemeinwesens, unseres Staates und unserer Wirtschaft essenziell sind.
Reich: In einem dicht besiedelten, hochindustrialisierten Land wie Deutschland, gelegen im Herzen Europas, bevölkert von einer hoch arbeitsteiligen Gesellschaft mit  hohem Lebensstandard und mindestens ebenso hohen Ansprüchen der Bevölkerung an die Dauerverfügbarkeit dieses Lebensstandards, erscheint mir jede Infrastruktur kritisch, die mittelbar oder unmittelbar den Alltag eines beliebigen Teils der Gesellschaft bestimmt.
Beyerer: Die Frage nach der kritischsten Infrastruktur ist nicht ganz einfach zu beantworten, da alle kritischen Infrastrukturen miteinander verwoben sind, und der Ausfall einer Infrastruktur auch andere beeinträchtigen oder zum Ausfall bringen kann. So wird zum Beispiel das Internet mehr und mehr zur alles durchdringenden Infrastruktur, ohne die die anderen nicht mehr auskommen. Andererseits hängt das Funktionieren der Informations- und Kommunikationstechnik – kurz: IKT – und dem Internet, wie auch die anderen Infrastrukturen entscheidend von einer ungestörten Stromversorgung ab.
Reich: Mir scheint der neuralgischste Punkt die immer dramatischer wachsende Abhängigkeit von einer durchgehend sicheren Stromversorgung zu sein.  
Beyerer: Sicherlich sind Stromversorgung und IKT diejenigen Infrastrukturen, deren Ausfall sich maximal schnell negativ auswirken und andere kritische Infrastrukturen „mitreißen“ würde.


Prof. Dr.-Ing. Jürgen Beyerer leitet seit 2004 das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) und ist Inhaber des Lehrstuhls für Interaktive Echtzeitsysteme im Institut für Anthropomatik an der Fakultät für Informatik des Karlsruher Instituts für Technologie. Er ist Sprecher des Fraunhofer-Verbunds für Verteidigungs- und Sicherheitsforschung VVS sowie Mitglied des Fraunhofer-Präsidiums.
Von 1999 bis 2004 war er Geschäftsführer der Hottinger Systems GmbH und stellvertretender Geschäftsführer von Hottinger Maschinenbau GmbH in Mannheim. Im selben Zeitraum lehrte er als Privatdozent an der Universität Karlsruhe, wo er zuvor als wissenschaftlicher Assistent gearbeitet hatte. Prof. Beyerer studierte Elektrotechnik an der Universität Karlsruhe, wo er 1994 promovierte und 1999 habilitiert wurde.


Dr. Johannes Reich ist persönlich haftender Gesellschafter des Bankhauses Metzler und Mitglied des Vorstands der Metzler-Holding. Er verantwortet als zuständiger Partner das Geschäftsfeld Corporate Finance sowie die Unternehmenskommunikation, die Rechtsabteilung und den IT-Bereich der Metzler-Gruppe. Seine bankberufliche Tätigkeit begann er beim Hamburger Bankhaus M.M. Warburg & Co., danach arbeitete er bei Morgan Stanley in London und Frankfurt am Main.
Dr. Reich ist Wirtschaftsingenieur mit einem Diplom der Universität Karlsruhe und war an der Universität Bamberg, wo er auch promoviert wurde, sowie an der Rheinisch-Westfälischen Technischen Hochschule Aachen als wissenschaftlicher Assistent tätig.


Die Gefahren für kritische Infrastrukturen sind vielfältig – Naturkatastrophen, technisch bedingte Ausfälle, Kriminalität, Sabotage, Terrorismus, Krieg. Woraus ergeben sich Ihres Erachtens die größten Gefahren?
Beyerer: Hier zu definieren, was die größte Gefahr darstellt, ist schwierig. Außerdem könnten sich die Gewichte dynamisch sehr schnell verschieben, wenn es zu politischen Instabilitäten kommt.
Reich: In der Unaufgeklärtheit breiter Bevölkerungsschichten und der Naivität auch der gern sogenannten „Experten“ im Hinblick auf die Fragilität unseres Alltagszusammenlebens und seiner Abhängigkeit von ganz und gar nicht garantierten Sicherheiten scheint mir die größte Gefahr zu liegen.

Welche Strategien zur Erhöhung der Sicherheit kritischer Infrastrukturen sind sinnvoll?
Reich: Aufklärung, Aufklärung, Aufklärung! Wenn diese Aufklärung fruchtet und gesellschaftlich zu einem anderen Gefahrenbewusstsein führt, sollte es möglich werden, daran zu gehen, teilredundante, teilautonome, dezentralere, voneinander unabhängigere Teilsysteme für alle kritischen Infrastrukturen zu realisieren.
Beyerer: Als strategischer Ansatz, um die Sicherheit kritischer Infrastrukturen zu erhöhen und zu gewährleisten, hat sich das Konzept der Resilienz bewährt, das in pragmatischer Weise Systeme auf Gefahren vorbereitet, Systeme härtet, reaktions- und lernfähig macht und ihnen Strukturen und Reserven gibt, um eintretende sicherheitsbeeinträchtigende Ereignisse zu verkraften und schnell zu überwinden.

Ein großer Stromversorger wird beispielsweise durch einen technischen Ausfall lahmgelegt, woraufhin im Rhein-Main-Gebiet auf unbestimmte Zeit alle Lichter ausgehen. Wie gut sind wir – öffentliche Einrichtungen, Unternehmen und Privatpersonen – für einen solchen Fall gerüstet?
Reich: Kurz gesagt: nicht besonders gut. Womöglich sogar schlecht. Auch wenn es Notfallpläne gibt, Business-Continuity-Pläne, Notstromaggregate, Ausweichstrategien – ein kompletter Stromausfall in einer Region wie Rhein-Main für tatsächlich unbestimmte Zeit ist kein Szenario auf das die Durchschnittsbevölkerung vorbereitet ist.
Beyerer: Das Stromversorgungssystem in Deutschland ist auf einem hohen technischen Niveau und hat auch seine Redundanzen und eine bis dato noch niemals überstrapazierte Robustheit. Eine neue Herausforderung bedeutet die Veränderung der Netze, insbesondere durch Dezentralisierung der Einspeisung und aufgrund von immer mehr Komponenten mit einer maschinellen Intelligenz und mit einer wachsenden Abhängigkeit von IKT-Systemen und -Netzen. Hier muss man dranbleiben, um bei den Veränderungen und der Digitalisierung der Stromversorgungssysteme die Zuverlässigkeit, Safety, Security und Robustheit im Sinne des Resilienzparadigmas schritthaltend weiterzuentwickeln. Geschieht das, mache ich mir keine größeren Sorgen.

In der Allianz-Umfrage „Risk Barometer“ wurden Unternehmen befragt, welche Geschäftsrisiken sie am meisten fürchten. In Deutschland rückten die Cybervorfälle von Platz 3 im Jahr 2015 auf die Spitzenposition im Jahr 2016. Ist das Ihres Erachtens ein Anzeichen dafür, dass die Unternehmen ausreichend für das Thema sensibilisiert und gewappnet sind?
Beyerer: Meines Erachtens kann man die Risiken durch Cybervorfälle und -angriffe nicht ernst genug nehmen.
Reich: Das Thema spielt bei den meisten Unternehmen in der Tat eine wachsende Rolle. Das Ausmaß möglicher Schäden, das erkennbar wird, hat das Management vieler Unternehmen aufgeschreckt.
Beyerer: Die Vulnerabilitäts- und Gefährdungslage ist oftmals zu dynamisch, zu komplex und undurchsichtig. Insofern ist es schwer zu sagen, ob das Thema in den Unternehmen überall die notwendige Beachtung erfährt. Sicherlich ist aber ein steiler Gradient zu erkennen, der das Thema stärker in das Bewusstsein der Unternehmen rückt und es zu einer Chefsache macht – und das ist gut so.
Reich: Jedoch glaube ich nicht, dass allein die wachsende Wahrnehmung von Risiken schon das Gewappnet-Sein gegenüber diesen Risiken bedeutet. 

Wie bewerten Sie die im November 2016 von der Bundesregierung beschlossene Cyber-Sicherheitsstrategie im Hinblick auf ihren Beitrag zur Verbesserung der Sicherheit kritischer Infrastrukturen in Deutschland?
Beyerer: Das Papier ist sehr informativ und hilfreich, und es zeigt, dass das Thema Cybersicherheit bei unserer Regierung einen hohen Stellenwert hat.
Reich: Es scheint mehr als überfällig, dass sich die Bundesregierung mit der Materie offiziell befasst und zumindest andeutet, dass und wie sie die Risiken handhaben will. Zumal, nachdem zahlreiche Abgeordnete des Bundestags selbst quasi wehrlose, völlig arglose, ja geradezu naive Opfer von massiven und wiederholten Cyberattacken und Hackerangriffen geworden sind. Teilweise mutet das Strategiepapier aber immer noch etwas ungelenk an und zu wenig strategisch vorbauend.

Nach einem entdeckten Angriff auf Router der Deutschen Telekom im November 2016 forderte Telekom-Chef Timotheus Höttges bei einer Security-Konferenz in Frankfurt am Main ein härteres Vorgehen gegen IT-Angreifer. Wie bewerten Sie seinen Appell, im Rahmen einer „Cyber-NATO“ zu reagieren?
Beyerer: Cyberangriffe sind je nach Relation zwischen Angreifer und Angegriffenem kriminelle oder kriegerische Akte. Zum Glück nehmen alle einschlägigen Ministerien – das Bundesministerium des Innern, für Bildung und Forschung, für Wirtschaft und Energie sowie für Verteidigung – das Thema sehr ernst und ergreifen in zunehmenden Umfang entsprechende Maßnahmen.
Reich: Sollten wir uns in einem Cyberkrieg befinden, und sollten wir das auch mitkriegen – und sollten wir dann auch noch wissen, wer der Aggressor ist, dann könnten wir als ein NATO-Mitgliedsland den Bündnisfall für uns reklamieren und die NATO könnte entsprechend reagieren und – falls sie über entsprechende und vor allem adäquate  Mittel verfügt – in den Verteidigungsmodus schalten. Aber sind das nicht ziemlich viele Wenns und Abers? 
Beyerer: Die Bundesregierung tut gut daran, das Thema Cybersicherheit sowohl im zivilen Bereich als auch verteidigungsbezogen sehr ernst zu nehmen.

Wer nicht im Internet ist, kann auch nicht über das Internet angegriffen werden. Ließen sich – im Zeitalter von Vernetzung, Digitalisierung, autonomem Fahren oder Industrie 4.0 – für Betreiber kritischer Infrastrukturen operable, performante „Offline“-Strukturen vernünftig umsetzen?
Beyerer: Wenn man die Paradigmen der Initiative Industrie 4.0 oder des Industrial Internet Consortium im Sinne einer wirksamen Steigerung der Produktivität bei gleichzeitiger Wandlungsfähigkeit umsetzen und das damit verbundene Potenzial heben möchte, braucht man die Vernetzung der Teilsysteme.
Reich: Ich bin der festen Überzeugung, dass wir nicht wenige dieser Vernetzungsparadigmen ganz grundlegend infrage stellen und vielleicht auch überwinden müssen. Wir müssen anfangen, nicht nur nachzudenken, sondern die Dinge auch zu Ende zu denken. Es handelt sich bei manchen dieser Paradigmen fast um inzwischen quasi-religiöse Dogmen, die permanent nachgebetet werden. Das ist verdächtig. Es behindert das unvoreingenommene Denken. Zum Beispiel darüber, was diese Paradigmen unter bestimmten Umständen für den Einzelnen, für das Individuum bedeuten könnten. Oder für die Gesellschaft als Ganzes. Es darf nicht schon wieder etwas alternativlos werden.
Beyerer: Es sollte jedenfalls nicht mehr Vernetzung hergestellt werden, als notwendig – und diese sollte gut abgesichert sein.

Sicherheitsfachleute – insbesondere in der IT – sind zunehmend gefragt. Wie beurteilen Sie im internationalen Vergleich den Stand von Forschung, Lehre und Bildung in Deutschland in diesem Wissenschafts- und Wissensgebiet?
Beyerer: Meines Erachtens ist Deutschland international diesbezüglich gut aufgestellt. Allerdings brauchen wir hier mehr qualifizierte Fachleute, die das Thema und den Schutz nach dem Stand der Technik in der Breite auch umsetzen.
Reich: Ich habe die Vermutung, dass in Ländern, in denen der Verteidigungshaushalt eine wichtigere Rolle spielt als im Bundeshaushalt und/oder die eine starke Softwareindustrie beheimaten, die IT-Sicherheitsforschung und -lehre weiter entwickelt und stärker ist als in Deutschland.  
Beyerer: Langfristig wünsche ich mir, dass den jungen Menschen in den Schulen schon früh das wesentliche Wissen zur IT-Sicherheit beigebracht wird. Sie sind aufgrund ihrer Technikaffinität sehr aufnahmefähig; der Engpass liegt wohl eher bei fehlenden Lehrern mit entsprechender Fachqualifikation auf aktuellem Stand.

Besitzen Sie ein Kurbelradio?
Beyerer: Nein. Soweit gehen meine Befürchtungen nun doch nicht.
Reich: Zwei. Eines funktioniert nicht.
Beyerer: Man muss sich der Gefahren bewusst werden, darf sich aber durch sie nicht lähmen lassen. Ich versuche hier weder Pessimist noch Optimist, sondern informiert-handlungsfähiger Realist zu bleiben.