In den vergangenen Monaten haben Malware-bedingte IT-Ausfälle (nicht nur) in Deutschland spürbar zugenommen. Was bislang vor allem Stadverwaltungen, Behörden und Hochschulen betraf und betrifft, bedroht nach Einschätzung der "Arbeitsgruppe Kritische Infrastrukturen" (AG KRITIS) auch Kritische Infrastrukturen (KRITIS).

Aus Sicht der Arbeitsgruppe reichen die Bewältigungskapazitäten für IT-Notfälle in KRITIS, wie sie etwa durch Schadsoftware oder gezielte Hackerangriffe verursacht werden könnten, hierzulande bei weitem nicht aus. Um dies zu ändern, strebt sie die Gründung eines "Cyber-Hilfswerks" (CHW) an, das – ähnlich wie das Technische Hilfswerk (THW) in klassischen Katastrophenfällen – als schnelle Einsatztruppe ausrücken beziehungsweise eingreifen soll, um die Situation unter Kontrolle zu bringen.

Bei der AG KRITIS handelt es sich nach eigenen Angaben um einen vollständig von Staat und Wirtschaft unabhängigen Zusammenschluss von IT-Sicherheitsexperten, der sich täglich mit Kritischen Infrastrukturen befasst. Gemäß BSI-Kritisverordnung (BSI-KritisV) versteht man darunter Anlagen oder (Teil-)Systeme, die für die Erbringung von (für die Bevölkerung) kritischen Dienstleistungen notwendig sind – etwa die Versorgung mit Strom, Trinkwasser, Lebensmitteln, Medikamenten oder auch die stationäre medizinische Versorgung.

Ehrenamtliche Aufstockung vorhandener Kräfte

In einem SPIEGEL-Interview sagte der Co-Leiter der AG KRITIS Johannes Rundfeldt, dass es aus seiner Sicht nur eine Frage der Zeit sei, bis es in Deutschland zu einem Großschadensfall als Resultat eines Cybervorfalls komme. "In Deutschland gibt es aktuell fast 2000 Kritische Infrastrukturen", merkt die AG KRITIS in diesem Zusammenhang auf ihrer Website an. Ihnen stünden bislang lediglich 15 hauptamtliche Mitarbeiter des BSI MIRT, also des mobilen Einsatzteams des BSI, gegenüber. Im Krisenfall könne es "unter Umständen auf ein niedriges Vielfaches dieser Zahl aufgestockt werden".

Zu wenig, befindet die AG KRITIS – und erläutert in einem Konzeptpapier ihren Lösungsansatz in Gestalt des CHW. Die primäre Zielsetzung, so heißt es im Abschnitt zu den Aufgaben des CHW, sei dabei immer "der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Einschränkungen der Kritischen Infrastruktur bzw. ihrer kritischen Versorgungsdienstleistung".

Als Beispiele für denkbare Einsatzszenarien nennt das Konzeptpapier neben Malware-Attacken à la Emotet oder NotPetya vor allem auch Hilfestellungen in Situationen mit überregionalen Auswirkungen wie etwa Angriffe auf verwundbare Krankenhausprotokolle in vernetzten medizinischen Einrichtungen. Auch sei es denkbar, bundesweit einzelne Experten aus dem CHW-Team zur Incident Response an KRITIS auszusenden. Die Mitarbeit im Team soll in erster Linie ehrenamtlich erfolgen. Idealerweise wünscht sich Rundfeldt eine Angliederung an das THW. Das CHW solle eine "staatliche Truppe" sein, die ausschließlich im behördlichen Auftrag arbeiten würde.

Feedback der Behörden "verhalten, aber positiv"

Rundfeldt hat das "Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen" der AG KRITIS auch auf der Sicherheitskonferenz DefensiveCon in Berlin vorgestellt. Einen Mitschnitt will die AG KRITIS in Kürze online stellen.

Bislang hat sich die Arbeitsgruppe mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie mit dem BSI getroffen, um ihr Konzept vorzustellen und zu diskutieren. Das bisherige Feedback der Behörden beschrieb Rundfeldt gegenüber dem SPIEGEL als – dem frühen Stadium der Idee entsprechend – verhalten, insgesamt aber "doch sehr positiv". Die Ergebnisse eines ersten CHW-Workshops mit den Behörden sind ebenfalls online verfügbar. (ovw)