Die Auswirkungen des KRITIS-Dachgesetzes aus Sicht der Forschung
Das KRITIS-Dachgesetz hat weitreichende Auswirkungen auf den Perimeterschutz. Neben Herausforderungen ergeben sich daraus auch Impulse für neue Technologien. Wie beurteilen Forscher des Fraunhofer FKIE die aktuelle Situation und welche technologischen Entwicklungen können wir erwarten?
Ein wissenschaftlicher Blick auf das KRITIS-Dachgesetz und den Perimeterschutz
Dr. Kai Nürnberger und Prof. Dr. Elmar Padilla vom Fraunhofer FKIE in Bonn schaffen mit ihrer Forschung wichtige Grundlagen für den Schutz und die Überwachung kritischer Systeme und Infrastrukturen. In diesem Interview wollen wir herausfinden, wie das neue KRITIS-Dachgesetz nach der persönlichen Einschätzung der Experten zu technologischen Innovationen beiträgt und welche Herausforderungen für den verbesserten Perimeterschutz noch überwunden werden müssen.
Neue Technologien
Inwiefern hat das KRITIS-Dachgesetz zu neuen Entwicklungen oder zum Einsatz neuer Technologien in der Überwachung und im Schutz kritischer Infrastrukturen geführt?
Prof. Dr. Elmar Padilla: Gesetze formulieren Anforderungen und Vorgaben. In diesem Sinne gibt das KRITIS-Dachgesetz den Betreibern Orientierung. Die neue EU NIS 2 Direktive für Cyber Security wird zu erheblich erweiterten Pflichten bei den Unternehmen führen und damit auch die Nutzung innovativer Technologien befördern.
Dr. Kai Nürnberger: Wir beobachten, dass „Elektronische Sicherheit“ immer mehr Aufmerksamkeit seitens der Industrie bekommt. Das zeigt sich beispielsweise auch bei Fachmessen wie der Perimeter Protection oder in der Aufstellung und dem Leistungsangebot von Sicherheitsdienstleistern. Wie so oft wird Technologie vor allem bei neu geplanten Objekten zügig zu verbesserten Lösungen führen. Allerdings ist Überwachungstechnik, die oft im Fokus steht, nur ein Baustein. Intelligente, echtzeitnahe Datenverarbeitung mit Integration in Leitsysteme ist ebenfalls wichtig, um schnell und angemessen reagieren zu können.
Zusammenarbeit verschiedener Disziplinen
Das Gesetz fordert eine enge Zusammenarbeit verschiedener Disziplinen. Wie kann diese interdisziplinäre Zusammenarbeit in der Praxis aussehen?
Dr. Kai Nürnberger: Kooperation zwischen verschiedenen Prozessbeteiligten ist unerlässlich. Wir sprechen oft von integrierten Sicherheitslösungen, die beispielweise den Perimeterschutz, die IT-Sicherheitslage und die betriebliche Lage zusammenführen, um sicherheitsbezogene Auffälligkeiten rechtzeitig zu erkennen. Diese Daten werden jedoch in der Regel von verschiedenen Firmen, Dienstleistern und Organisationseinheiten erhoben. Sie sind teilweise sensitiv im Hinblick auf die Auslastung von Anlagen, den Verbrauch von Rohstoffen oder betriebliche Abläufe. Daher sind gute Lösungen zur gemeinsamen Nutzung von Daten unter Beachtung der Stakeholder-Interessen wichtig. Exemplarisch könnten Systemlieferanten von Netzwerktechnologie, Überwachungssensorik und betrieblichen Leitwarten über Schnittstellen Daten austauschen.
Prof. Dr. Elmar Padilla: Um die Kooperation verschiedener Disziplinen zu fördern, hat Fraunhofer beispielsweise das „Fraunhofer-Zentrum Digitale Energie“ ins Leben gerufen. Hier arbeiten u. a. Elektrotechniker, Informatiker, Ökonomen, Ergonomen und IT-Sicherheitsexperten an neuen Lösungen.
Schutz der kritischen Infrastruktur
Welche neuen Technologien oder Methoden sehen Sie als vielversprechend an, um den Schutz kritischer Infrastrukturen weiter zu verbessern?
Dr. Kai Nürnberger: Hier ist sicherlich ein mehrstufiger Ansatz erforderlich, der beim physischen Schutz vor Angriffen beginnt, z. B. Drohnendetektion gegen Spionage oder Sabotage. Aber auch der Schutz der IT-Systeme gegen kriminelle oder staatliche Tätergruppen, die Weiterentwicklung von Berechtigungskonzepten (Thematik Innentäter, Dienstleister mit Zugang zu Systemen / Zugang zu Anlagen) und Konzepte für schnelle Gegenmaßnahmen dürfen in einer umfassenden Strategie nicht fehlen.
Prof. Dr. Elmar Padilla: In diesem Zusammenhang sind die Prozessdokumentation und -modellierung besonders wichtig. Sie ermöglichen eine fundierte Risikobetrachtung, die sowohl die Auswirkungen von Störungen als auch die möglichen Eingriffsmöglichkeiten berücksichtigen. Im Bereich der IT-Sicherheit ist die Bedrohungslage dabei sehr dynamisch: Man ist nie wirklich „fertig“.
Welche Herausforderungen oder Grenzen sehen Sie in der aktuellen Gesetzgebung in Bezug auf den Schutz kritischer Infrastrukturen und wie könnten diese überwunden werden?
Dr. Kai Nürnberger: Wir sind keine Experten für Gesetzgebung, aber sehen das Dachgesetz als eine entscheidende Rahmenbedingung, um Mindeststandards durchzusetzen. Ökonomische Anreize sind eine effektive Möglichkeit, die Umsetzung von Vorgaben zu fördern.
Prof. Dr. Elmar Padilla: Wir bringen uns mit technischer Expertise bei der Erarbeitung von Anforderungen unterstützend ein. Ein weiterer Weg ist die Überprüfung der Umsetzung von Vorgaben durch Tests, wie Penetration Testing, oder die Härtung von IT-Infrastruktur durch die Identifikation und Schließung von Schwachstellen. Ein dritter Punkt ist die Zusammenarbeit verschiedener Stakeholder bei der regelkonformen Erhebung und Auswertung von Daten unter Wahrung individueller Interessen.
Wie sehen Sie die Zukunft der Sicherheit kritischer Infrastrukturen in Deutschland? Welche Trends oder Entwicklungen sollten wir besonders im Auge behalten?
Prof. Dr. Elmar Padilla: Wir dürfen keinesfalls naiv sein. Deutschland hat potenziell viel zu verlieren (oder bereits viel verloren). Angriffe werden sich qualitativ und quantitativ weiterentwickeln. Die Digitalisierung ist dabei Segen und Fluch zugleich. Wichtig ist die Zusammenarbeit von staatlichen Stellen, Industriepartnern und Forschung. Schlagworte wie Resilienz und Redundanz betreffen viele Facetten, z. B. technische, organisatorische oder personelle.
Eine wichtige Komponente ist die Beherrschbarkeit neuer Technologien. Die Entscheidung muss trotz Hochautomation und KI immer nachvollziehbar und souverän vertretbar bleiben. In diesem Kontext spielt auch die Gestaltung der Mensch-Maschine-Schnittstelle – also das Teaming – eine wichtige Rolle. Aus unserer Sicht wird dies in vielen Fällen sträflich vernachlässigt.
Dr. Kai Nürnberger: Der Preis der Sicherheit sollte einen gesellschaftlichen Diskurs umfassen. Das gilt nicht nur für finanzielle Kosten, sondern auch für den Umgang mit Daten und Informationen.
Vielen Dank für das Interview Dr. Nürnberger und Prof. Dr. Padilla.
Links: Dr. Kai Nürnberger, Leiter Strategie & Markterschließung, Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE.
Rechts: Prof. Dr. Elmar Padilla ist Abteilungsleiter Cyber Analysis and Defense am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE.
Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE entwickelt Technologien und Prozesse mit dem Ziel, existenzbedrohende Risiken frühzeitig zu erkennen, zu minimieren und beherrschbar zu machen.
