Workshop "Interessenskonflikte im Kontext kritischer Infrastrukturen" (FIFF JT)

Workshop "Interessenskonflikte im Kontext kritischer Infrastrukturen", 12.11.2011 in München, Workshop im Rahmen der FIFF Jahrestagung "Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit" (11.-13.11.2011, Hochschule München, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, FIFF e.V., www.fiff.de)

Der Workshop wird von Claus Stark und Bernhard C. Witt (Mitglieder des SECMGT-Leitungsgremiums) durchgeführt.

[Link zur FIFF Jahrestagung 2011]

 Abstract zum Workshop "Interessenskonflikte im Kontext kritischer Infrastrukturen"

Claus Stark und Bernhard C. Witt

„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“, so die offizielle Definition zu kritischen Infrastrukturen. Bereiche wie Transport und Verkehr, Energieversorgung, Informations- und Telekommunikationstechnik, Wasserversorgung, Finanzwesen, Gesundheitswesen und der Katastrophenschutz zählen zu diesen kritischen Infrastrukturen (KRITIS). Deren Ausfall oder Beeinträchtigung kann beispielsweise durch Naturereignisse, technisches oder menschliches Versagen, durch Sabotage, Terrorismus oder Krieg nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen des gesellschaftlichen Miteinanders oder andere dramatische Folgen haben.
 
Die - gerade auch im Kontext von KRITIS - eingesetzten IT-Systeme sind hochgradig miteinander vernetzt und durchdringen zunehmend mehr Bereiche des Alltags, insofern gebührt der kritischen Informations- und Kommunikationsinfrastruktur eine besondere Aufmerksamkeit. Ausfälle und Fehlfunktionen von und Angriffe auf kritische Informations- und Kommunikationssysteme können verheerende Folgen für die Gesellschaft haben. Es ist daher von gesellschaftlichem Interesse, dass IKT-Systeme wirksam geschützt werden. Infolge des technischen Fortschritts und des variantenreichen Einsatzes entsprechender Techniken existieren jedoch eine Vielzahl von Angriffsvektoren und Verletzlichkeiten. Gerade der Stuxnet-Angriff auf eine isolierte Atomanlage hat vor Augen geführt, dass wir es mit einer realen Gefahr zu tun haben. Grundsätzlich unterliegen alle kritischen Einrichtungen permanenten Angriffen der Spaß-Guerilla, von Hacktivisten, dem organisierten Verbrechen sowie Terroristen.

Die bisherigen Angriffe auf kritische Einrichtungen haben deutlich gemacht, wie leicht Sicherheitsmaßnahmen von Angreifern umgangen werden können und wie erstaunlich wenig die Informationssicherheit dem oft entgegenzusetzen hat. Die Kreativität der Angreifer, die Komplexität der Systeme und die Arglosigkeit der Menschen scheinen oft alle Schutzbemühungen zu vereiteln. Die aufgebauten Strukturen wirken daher durchaus zerbrechlich. Die Diskussion unter zuständigen KRITIS-Beteiligten wird aufgrund der besonderen Bedeutung i.d.R. nicht öffentlich, sondern vertraulich geführt, eine breite gesellschaftliche Diskussion und Beteiligung sind so nur schwer möglich. Die Folgen der Atom-Katastrophe in Japan zeigen aber auch, dass es vielleicht gerade jetzt an der Zeit ist, über diese Fragen grundsätzlich und öffentlich zu diskutieren.

  • Im Workshop sollen aktuelle KRITIS-Aktivitäten vorgestellt und dabei die Rolle der Informationssicherheit kritisch hinterfragt werden.
  • Welchen Konflikten sind Manager für die Informationssicherheit kritischer Infrastrukturen in der Praxis ausgesetzt?
  • Welche der kritischen Infrastrukturen sind warum und wie schützenswert?
  • Können komplexe gesellschaftliche Strukturen mit noch komplexeren Sicherheitsmethoden überhaupt ausreichend geschützt werden?
  • Ist ein angemessener Schutz nur auf Kosten einer verstärkten Überwachung des Einzelnen möglich? Oder wäre es unter gewissen Umständen besser, KRITIS-Strukturen wieder so zu vereinfachen, dass sie robuster gegen Störungen sind und eine Fehlfunktion oder ein Angriff nicht zur Katastrophe führen kann?

Der Workshop wird organisiert von Claus Stark (Mitglied der GI-Fachgruppe Management von Informationssicherheit & FIFF e.V.) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit, bcw(at)bc-witt.de).