Aufgrund der kontinuierlich wachsenden Vernetzung von elektronischen Geräten wie PCs, Servern, Smartphones und Tablets über die klassischen Infrastrukturen hinaus erließ die Bundesregierung 2015 das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" - kurz "IT-Sicherheitsgesetz" genannt. Es soll die negativen Folgen der Vernetzung, etwa eine erhöhte Anfälligkeit für Cyberattacken, Störungen oder Ausfälle auf ein Minimalmaß reduzieren.
Der Ausfall eines Unternehmens kann wegen des hohen Vernetzungsgrades eine Art Dominoeffekt auslösen, durch den viele verbundene Organisationen ebenfalls "angesteckt" werden. Diese Risiko ist vor allem bei Unternehmen und Institutionen groß, die im Bereich der kritischen Infrastrukturen (KRITIS) tätig sind, und denen daher eine zentrale gesellschaftlicher Bedeutung zukommt. Konkret werden die folgenden Branchen KRITIS zugeordnet: Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung sowie Finanz- und Versicherungswesen.
KRITIS-Zugehörigkeit wird gerne verdrängt
Da die KRITIS-Definition bestimmte Branchen umfasst, ist es für viele Unternehmen eigentlich nicht schwierig zu erkennen, ob sie den kritischen Infrastrukturen zuzuordnen sind. Wenn ein Unternehmen diese Frage mit "Ja" beantworten muss, sieht es sich zumeist einer großen Herausforderung gegenüber. Denn viele Unternehmen wissen nicht, wie sie IT-Sicherheit und Ausfallsicherung so umsetzen sollen, dass der geforderte Standard nach dem "aktuellen Stand der Technik" erreicht wird und welcher Weg dorthin der beste ist.
Auf den ersten Blick erscheinen die Investitionen erzwungen. Sie sind mit viel bürokratischem Aufwand verbunden und bringen keinen erkennbaren Gewinn - weder für das Wachstum noch für die Innovationskraft des Unternehmens. Betrachtet man die staatlichen Anforderungen jedoch im Kontext der Digitalisierungsstrategie sieht die Sache anders aus. Unternehmen können das Notwendige mit dem Nützlichen zu verbinden und sich echte Wettbewerbsvorteile erarbeiten.
KRITIS ist mehr als zusätzliche IT-Sicherheit
Derzeit ist die KRITIS-Diskussionen stark vom Thema Cybersicherheit geprägt. Hacker provozieren immer wieder Stromausfälle, sei es in Haushalten oder in Krankenhäusern, um der Bevölkerung und Unternehmen einen Schrecken einzujagen und sie zu verunsichern. Beim zweiten großen Thema, der Ausfallsicherung, sollte bedacht werden, dass für mindestens 80 Prozent der zu KRITIS gehörenden Organisationen und Unternehmen die IT kein Kerngeschäft ist.
Schon aus Kostensicht lohnt sich eine Auslagerung der unternehmerischen IT-Ressourcen in externe, professionell betriebene Rechenzentren. Diese werden von spezialisierten IT-Unternehmen betrieben und sind mit hochwertiger Infrastruktur ausgestattet, die sich immer auf dem aktuellen technischen Stand befindet und gegen Gefahren wie Brände oder Naturkatastrophen abgesichert ist. Auch wenn eine derartige Auslagerung sicherlich nicht neu ist, erhält sie durch das IT-Sicherheitsgesetz eine ganz andere Tragweite.
Unterbrechungsfreie Stromversorgung - komplex, aber machbar
Die Stromversorgung ist ein hochkomplexes Thema, jedoch eines, das für die IT immens wichtig ist. Bereits nach 10 Millisekunden kann eine Unterbrechung der Stromversorgung den IT-Betrieb stören. Gründe für einen (kurzen) Stromausfall gibt es viele: Unterbrechungen auf Seiten der Energieversorger oder der Verteilungsnetzbetreiber, unangekündigtes Abstellen des Stroms oder Kabelbeschädigungen bei Tiefbauarbeiten.
Da das Thema schwierig ist und eine Sicherheit intern nicht garantiert werden kann, sollten Unternehmen diese Aufgabe an Experten auslagern. Diese garantieren eine unterbrechungsfreie Stromversorgung beispielsweise durch Maßnahmen wie eine A+B-Versorgung installierter Systeme ab Hauseingang, den Ausschluss geplanter Unterbrechungen der Energieversorgung gleichzeitig auf beiden Versorgungssträngen durch redundante Versorgung und externen Energieversorger, N+1-redundante, USV-gesicherte Stromversorgung mit Batteriepufferung für 25 Minuten pro Seite bei Volllast und Notstromdiesel auf jeder Seite sowie Lastübernahme innerhalb von 15 Sekunden. Gleiches gilt für andere Rechenzentrumsthemen wie die gesamte Absicherung der Infrastruktur gegen Zugriffe physischer Natur und die Absicherung der Datenbestände durch Zugangskontrollen und ähnliches.
Die richtige Backup-Strategie
Daten sind die wichtigste Grundlage eines Unternehmens. Unternehmen müssen sicherstellen, dass es zu keinen Datenverlusten kommt, die einen negativen Effekt auf die Durchführung der Geschäftsprozesse und damit auf die gesamte Organisation haben können. Deshalb benötigt jedes Unternehmen eine geeignete leistungsfähige Backup-Strategie und verschiedene Disaster-Recovery-Szenarien.
Ein Verlust oder eine Verfälschung von unternehmensrelevanten Daten kann zur Folge haben, dass Prozesse und Fachaufgaben lediglich verzögert oder gar nicht ausgeführt werden können. Dadurch entstehen kurzfristig Kosten durch Wiederbeschaffung der Daten und Produktionsausfall. Allerdings zeigen sich die maßgeblichen Folgen eines Datenverlustes erst langfristig, da er einen Vertrauensverlust bei Kunden und Partnern sowie Image-Schäden nach sich ziehen kann. Die direkten und indirekten Schäden durch einen Datenverlust können sogar dazu führen, dass die Existenz des Unternehmens bedroht ist.
Disaster Recovery: Was tun, wenn's brennt?
Um bei einem Ausfall eines Rechenzentrums die IT weiter wie gewohnt nutzen zu können, ist ein Backup aller Daten an einem separaten Standort erforderlich. Allerdings ist dies noch nicht ausreichend: bereits bei der Erstellung des Business-Continuity-Planes sollten Lösungen für das Disaster Recovery hinterlegt sein.
Ein mögliches "Disaster" wäre beispielsweise ein Brand im Rechenzentrum, durch den es zu einem Ausfall von Servern und/oder Anwendungen kommen kann. Es reicht also nicht aus, Daten extern zu lagern. Eine umfassende Absicherung ist erforderlich, die auch Anwendungen und Serverkapazitäten umfasst und im Katastrophenfall selbst bei einem vollständigen Ausfall der Primärsysteme sofortige Systemverfügbarkeit sowie Notfallarbeitsplätze zur Verfügung stellt - und das konform zu den deutschen Datenschutzgesetzen.
ISO 27001 weist den Weg
Die genannten Ansätze sind lediglich eine Auswahl. Der KRITIS-Verantwortliche eines Unternehmens ist jedoch nicht auf sich selbst gestellt. IT-Full-Service-Provider, die ihr eigenes Hochleistungszentrum betreiben, bieten modulare, flexible Services, um sie in die komplexe Thematik einzuführen. Anbieter haben zumeist eine ISO-Zertifizierung, der Goldstandard ist ISO 27001, ergänzt durch die technischen Richtlinien beispielsweise BSI TR-03145, Sicherheitszertifikate für Strom- und Wasserzähler, Smart-Home-Devices und andere Elemente der Vernetzung. Solche Qualitätsstandards sollten zukünftig stärker beachtet werden. Partner, die alle Zertifizierungen haben, garantieren, dass alle eingesetzten Lösungen und Dienstleistungen den gesetzlichen Vorgaben entsprechen. (haf)