Kritische Infrastrukturen sind in den vergangenen Wochen und Monaten erstmals in den Fokus der allgemeinen Öffentlichkeit gerückt. Aktuell wird heftig diskutiert, wie wir beispielsweise personell den Betrieb in Krankenhäusern aufrecht erhalten können, falls sich immer mehr Angestellte von Kliniken infizieren. Muss die Quarantänezeit eventuell reduziert werden? Wir alle erinnern uns noch an die Flutkatastrophe an der Ahr und was der Ausfall kritischer Infrastrukturen bedeuten kann. An diesen Beispielen wird gerade einer breiteren Öffentlichkeit deutlich, was kritische Infrastruktur bedeutet – und welche Folgen dort fehlendes Personal bewirken könnte.
Diese Frage stellt sich natürlich für alle Bereiche, die zur kritischen Infrastruktur beitragen, von Polizei bis zur Abfallentsorgung. Die Frage stabiler, resilienter Lieferketten ist eine andere Frage, die in den vergangenen Monaten in den Blickpunkt gerückt ist und die uns weiter beschäftigen wird. Das mag in Deutschland mit der Frage fehlenden Toilettenpapiers begonnen haben, geht aber unterdessen deutlich darüber hinaus. Fehlende Chips betreffen beispielsweise die Automobilindustrie – und das gerät natürlich im Autoland Deutschland damit auch ins allgemeine Bewusstsein.
Kritische Infrastrukturen – Alarmstufe Rot durch Log4j
Doch auch andere Ereignisse zahlen auf das Konto mehr Sensibilität für kritische Infrastrukturen ein. Ein Wendepunkt ist dabei die Log4j-Sicherheitslücke, die Ende 2021 bekannt wurde und nach Einschätzung vieler wohl „größte Schwachstelle in der Geschichte des modernen Computing„. Sicherheitslücken und Cyber-Attacken gab es schon lange Zeit vorher. Das reicht von den aktuellen Patches, die schon seit Jahren von IT-Abteilungen dringend eingespielt werden sollen, bis zu gezielten Angriffen, in denen Unternehmen oder auch Verwaltungen lahm gelegt werden.
Und es ist kein Problem, das erst 2021 aufgetreten ist. Man schaue sich nur einmal die Liste der Bedrohungen auf heise Security oder anderen entsprechenden Seiten an. Da kann man nur damit beginnen, zu weinen, frei nach WannaCry von 2017. Und wir können leicht noch weiter in die Vergangenheit zurück gehen. Kritische Infrastrukturen wurden und werden schon lange bedroht, durch Log4j könnte aber endlich ein neues Bewusstsein für Cyber Security entstehen. Und vielleicht denkt man endlich darüber nach, wie man solchen Bedrohungen neben den bekannten und bewährten Hausmitteln – spiele immer den neuesten Patch ein und so weiter – begegnen will.
Machen neue Modelle Sinn, in denen Unternehmen gemeinsam SWAT-Teams für Cyber Security oder SOCs (Security Operation Centers) aufstellen? Können gar IT Security-Experten, Verwaltung und Unternehmen in solchen Öffentlich-Privat-Experten-Konstellationen zusammen arbeiten, statt alleine den Security-Bedrohungen hinterher zu laufen? Die Fragen müssen endlich gestellt und durchdacht werden – im Sinne des Betriebs der kritischen Infrastrukturen.
Wie robust und stabil betreibe ich meine kritischen IT-Infrastrukturen?
Doch die Frage geht über das Thema Cyber Security hinaus. Generell müssen sich Unternehmen Gedanken machen, wie sie ihre IT-Infrastruktur robust, zuverlässig, resilient aufstellen – und was sie dafür bereit sind zu investieren. Ist mir als Unternehmen mein Betrieb so wichtig, dass ich aktive, kritische Anwendungen in zwei oder gar drei zeitlichen Regionen betreibe? Ist ein schnelles und vollautomatisches regionales Failover eine Option ?
Welche Rolle soll das eigene Rechenzentrum spielen, welche Anwendungen laufen dort, wie gewährleiste ich dort Ausfallsicherheit? Welche Mixtur an Multi-Cloud und Private Cloud und On Premise setze ich als Unternehmen ein? All das kostet natürlich auch entsprechend Geld und für diese Investitionen muss das Bewusstsein existieren, inklusive einer Risikobewertung.
Jenseits dieser eher an akuten Krisen orientierten Überlegungen stellt sich auch die Frage, wie Lösungen konzipiert und entwickelt werden. Baut man seine Anwendungen so, dass sie von der Cloud eines Hyberscalers in die Cloud eines anderen Hyperscalers oder gar die Private Cloud verschoben werden können, um Abhängigkeiten zu vermeiden? Auch das sind Überlegungen, die rund um die eigene kritische IT-Infrastruktur angestellt werden müssen.
CIO: Was mache ich selbst mit meinen Leuten? Wo hole ich externe Experten an Bord?
All diese Aspekte machen hoffentlich deutlich, dass das Thema kritische Infrastrukturen auf die Tagesordnung gehört. Natürlich müssen sich CIOs und IT-Abteilungen dem Aspekt IT-Infrastrukturen widmen. Man kann es sich einfach nicht mehr leisten, nicht hochprofessionell und schnell zu agieren. Der neueste Patch muss angesichts von Log4j und vergleichbaren Bedrohungen umgehend eingespielt werden. Dafür müssen die Ressourcen zur Verfügung stehen oder aber die entsprechenden Services müssen an externe Dienstleister vergeben werden. CIOs werden sich noch mehr fragen müssen, welche Aufgaben sie im Hause erledigen und wo sie sich – auch aufgrund des Mangels an IT-Spezialistinnen und -Spezialisten – externe Expertise zukaufen oder den Betrieb bestimmter Infrastrukturen outsourcen.
