Institut für Internet-Sicherheithttp://ifis.fh-gelsenkirchen.deFachhochschule Gelsenkirchen

Schult-Heidkamp, PhilippPhilipp.Schult-Heidkamp@informatik.fh-gelsenkirchen.de

Internet als kritische InfrastrukturInternet als kritische Infrastruktur

Was bedeutet kritisch und wann wird es kritisch?

2 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

3 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

EinleitungEinleitung

Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) bezeichnet das Internet nicht als klassich kritische Infrastruktur.

Steigender Einsatz von Informationtechnologie (IT)

steigende Verwundbarkeit und Abhängigkeit

Arbeitsbereiche sind bereits abhängig von der Informations- und Kommunikationstechnologie (IuK).

Kernfrage: Hat der Ausfall der IuK Auswirkungen auf die Gesellschaft/Wirtschaft ?

Konzept „Schutz Kritischer Infrastrukturen (Kritis)“ ist nicht mit der „IT-Sicherheit“ zu verwechseln,da nicht nur die technikorientierte Sichtweise einbezieht, sondern von gesamtstaatlichen bzw. gesamtgesellschaftlichen Risiken ausgeht.

Sachverhalt, (Ausfall des Internets) aus Sicht von Unternehmen.

4 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

5 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)

Definition: „Kritische Infrastrukturen sind Organisationen und Einrichtungen, mit (lebens-) wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigungen Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle: BSI, Wikipedia)

BSI definiert acht kritische Infrastrukturen, ohne die Staat und Wirtschaft nicht funktionieren.

Transport und Verkehr

Luftfahrt

Bahn

Nahverkehr

Binnenschifffahrt

Straße und Postwese

6 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)

Energie

Elektrizität

Kernkraftwerk

Gas

Mineralöl

Gefahrenstoffe

Chemie und Biostoffe

Gefahrgüter

Rüstungsindustrie

Informations- und Telekommunikationstechnik

Informationserstellung (Messdaten, Berichte, Meldungen etc.)

Datenverwaltung und Datenspeicherung (Datenbanken, Server etc.)

Informationsverarbeitung (z. B. Prozessoren)

Informationsübertragung (z. B. Vermittlungsknoten)

(Online-Dienste, Provider )

(Neben den klassischen Informationsübertragungsmitteln wie Telefon, Funk und Rundfunk kommt vor allem modernen Techniken wie Mobilfunkdiensten und Internet eine Schlüsselaufgabe zu.) Zusatz Information, Quelle BSI

7 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)

Finanz-, Geld- und Versicherungswesen

Banken

Versicherungen

Finanzdienstleister

Börsen

Versorgung

Gesundheits-, Notfall-, Rettungswesen

Katastophenschutz

Lebensmittel- und Trinkwasserversorgung

Behörden, Verwaltung und Justiz

Polizei

Zoll

Bundeswehr

Sonstige

Medien

Großforschungseinrichtung,Herausragende oder symbolträchtige Bauwerke (Kölner Dom)

Kulturgut

8 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

9 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Schutz kritischer Schutz kritischer Infrastrukturen Infrastrukturen

IT-Sicherheit leistet eine wichtigen Beitrag zum Schutz kritischer Infrastrukturen.

Ein umfassendes Sicherheitskonzept ist dazu notwendig, welches mehr als nur technische Maßnahmen beinhaltet.

Die Auswirkungen bei einer Störung auf Staat und Gesellschaft müssen auf ein Minimum beschränkt werden

technischen Ursachen der Störungen beheben

verbesserte Kooperation von Staat, Wirtschaft und Gesellschaft notwendig.

10 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen

Im modernen Informationszeitalter gehen Attacken nicht nur gegen IT-Systeme, sondern werden durch IT-Systeme ermöglicht. Angreifer können aus einer „sicheren“ Umgebung eine Attacke ausführen (Inhalt aus Netzwerksicherheit).

Gestern:

Funktionsfähigkeit der Infrastrukturen nur lokal zu beeinträchtigen

Wenig überregionale Vernetzung

Heute:

Vernetzung in und zwischen den Sektoren durch IT

Überregionale und staatenübergreifende Beziehungen

Zusammenarbeit bei Bereitstellung von Dienstleistungen

Morgen:

Großflächige Störungen und Ausfälle werden wahrscheinlicher

Vorsätzliche Auslösung großflächiger Ausfälle nicht mehr auszuschließen

Vorfälle im Ausland können zum Problem für die Innere Sicherheit

werden

11 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen

Höhere Gewalt

Unfall / Versehen

Baumaßnahmen

Im Gebäude

Extern

Umwelt

Naturereignis (Blitz etc.)

Naturkatastrophe (Orkan etc.)

Krieg

Organisatorische Mängel

Fehlende Ressourcen

Fehlende Unterstützung durchs Management

Mangelnde Zuständigkeitsregelung,

Kompetenzübertragung, Vertreterregelung

Mangelnde Kommunikation / Informationsfluss

Externe Abhängigkeiten

Outsourcing

Externe Lieferungen

Unzureichende Umsetzung / Kontrolle der Umsetzung

12 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen

Menschliche Fehlhandlungen

Formen einer Fehlhandlung

Fehlbedienung

Fehleinschätzung

Fehlverhalten

Überlastung / Überforderung

Unwissen / Unfähigkeit

Langeweile / Faulheit

Leichtsinn / Fahrlässigkeit

Verführung / Social Engeneering

Vorsätzliche Handlungen

Potenzielle Angreifer

13 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen

Technisches Versagen

Systembedingte Störungen / Ausfälle

Programmierfehler

System Bugs

Breite Anfälligkeit durch Einsatz von Monokulturen

Software (z.B. Microsoft)

Hardware (z.B. Cisco)

TK-Produkte

Störungen bei Updates

(Quelle BSI)

14 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

15 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Aktivitäten in DeutschlandAktivitäten in Deutschland

1997 gründete die BMI (Bundesministerium des Innern) die Arbeitsgruppe „Kritische Infrastrukturen“ (AG Kritis )

Aufgaben der AG Kritis:

Bestimmung potentieller Bedrohungszenarien

Prüfungen über Informationstechnik angreifbaren Infrastrukturen auf Schwachstellen

Benennen von Möglichkeiten zur Minimierung solcher Schwachstellen sowie zur Vermeidung oder zumindest Minderung des Schadens

Erarbeiten eines Vorschlags zur Errichtung eines ggf. erforderlichen Frühwarn- und Analysesystems.

16 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Aktivitäten in DeutschlandAktivitäten in Deutschland

Die AG Kritis berichtete bis zu ihrer Auflösung 1999 regelmäßig über Entwicklungen und Tendenzen im Bereich Kritis

Gründung der Projektgruppe Kritis (PG Kritis).

Referate IS 5 (physikalischer Schutz im Rahmen der Versorgung und des Katastrophenschutzes)

P II 1 (Bedrohungs- und Täterabwehr im Rahmen der polizeilichen Arbeit)

IT3 (Sicherheit in der Informationstechnik)

Ziel: gemeinsame Vorgehensweisen für den Schutz kritischer Infrastrukturen zu entwickeln

Public-Privat-Partnership: Initiative D21 ist ein gemeinnütziger, sektorenübergreifender Verein von über 300 Unternehmen.

Ziel: In Zusammenarbeit mit Politik und Verwaltung in Deutschland den Wandel von der Industrie- zur Informationsgesellschaft zu beschleunigen.

17 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Aktivitäten in DeutschlandAktivitäten in Deutschland

Initiative „Sicherheit im Netz“ des Bundesministeriums für Wirtschaft und Arbeit (BMWA)

Ziel : kleineren und mittelständigen Unternehmen das Bewusstsein der Notwendigkeit des sicheren E-Commerce zu schärfen.

Der „Arbeitskreis Schutz von Infrastrukturen“ (AKSIS) ist ein Zusammenschluss von Unternehmen und Behörden,

AKSIS Aufgaben:

Schaffung einer Vertrauensbasis zur gegenseitigen Information über Techniken und Verfahren zum Schutz der Infrastrukturen.

Austausch von Erfahrungen zu Risiken, Vorfällen und Problemen.

Schrittweise Sensibilisierung von Top-Manager, Politik und Öffentlichkeit

Abstimmung mit Initiativen von ähnlicher oder komplemäntärer Zielsetzung, z.B. KRITIS, D21

Förderung des internationalen Dialogs, z.B. mit den USA, der EU und mit Organisationen aus Nachbarländern

Etablieren eines Forums für Verträter international anerkannter Fachleute

Entwicklung denkbarer Szenarien und Bewertungen der Auswirkungen auf die Funktionsfähigkeit von Gesellschaft, Politik und Wirtschaft

Analyse der künftigen Rollen von Sicherheitsdiensten und Streitkräften bei massiven „Cyber-Attacken“, sowie den rechtlichen Implikationen

Unterstützung von öffentlichen-, privaten Partnerschaften zum Schutz kritischer Infrastrukturen.

18 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Aktivitäten in DeutschlandAktivitäten in Deutschland

CERT,2001 vom BSI eingerichtet und fungiert als zentrale Organisation für alle Bundesbehörden.

Mcert seit 2003 für kleinere und mittelständige Unternehemen

19 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

20 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

KRITIS AnsätzeKRITIS Ansätze

Es existieren international drei verschiedene Ansätze

CCIP Ansatz: („Critical Information Infrastructure Protection“ ) USA

bezieht sich inhaltlich ausschließlich auf die Sicherheit und die Sicherung der IT-Verbindungen und IT-Lösungen innerhalb und zwischen den einzelnen Infrastrukturen

Schutz physischer Komponenten werden in einem separatem Bereich sichergestellt

Aufgaben auf verschiedene Organe verteilt

Integration der Privatwirtschaft

All Hazard Ansatz (wird als „Total Defense“ bezeichnet)

Schutz der IT-Kritis als auch den physischen Schutz kritischer Infrastrukturen.

Es werden keine Trennungen zwischen den einzelnen Komponenten gemacht.

21 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

KRITIS AnsätzeKRITIS Ansätze

autoritärer Ansatz :

Staat das absolute Organe zum Schutz der Infrastruktur darstellt.

Signifikant für diesen Ansatz ist eine geringe Kooperation zwischen privatem und öffentlichen Sektor.

Hauptaufgabe ist vor allem die Sicherung der Staatsordnung und der staatstragenden Organe.

22 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

KRITIS AnsätzeKRITIS Ansätze

23 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

24 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

BSI hat ihre eigene Methode zur Analyse kritischer Infrastruktursektoren , die „AKIS-Methode“ entwickelt.

AKIS-Methode ist eine Kiritikalitätsbetrachtung und keine Risikoanalyse

Betrachtung ablaufender Geschäftsprozesse (Bargeldversorgung)

Analyse der Funktionsfähigkeit nicht auf die mögliche Beeinflussung, sondern viel wichtiger ist, ob generell eine Beeinflussung möglich ist.

Ergebnis: skalierbare Wertung der Kritikalität (hoch - niedrig)

Bewertung: Wahrscheinlichkeit, erwartende Auswirkung einer Störung Leitfaden: „Was sind die kritischen Prozesse der kritischen Infrastruktursektoren und welche Kritikalität weisen sie auf ?“

Kritikalitätsbeurteilung erhalten nur klar definierte Prozesse.

25 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

Die AKIS-Methode untersucht immer nur einen der Sektoren..

26 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

27 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

Nur die Prozesse mit hoher Kritikalität werden auf ihre IT-Abhängigkeit untersucht.

Berücksichtigt wird, wie ein Sektor bereits mit einem spezifischen kritischen Prozess umgeht.

Experten hinzu ziehen, die den Schaden und die Ausfallwahrscheinlichkeit beurteilen können (keine Statistik).

Schäden: „unbedeutend“ bis „katastrophal“

Ausfallwahrscheinlichlichkeit: „sehr selten“ bis „fast sicher“

Beurteilungen werden in „Unternehmen“, „Sektor“ und „Gesellschaft“ unterteilt

28 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

29 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

Ebene 4 wird der Sektor auf seine IT-Abhängigkeit untersucht. Die AKIS-Methode soll vorrangig die IT-Abhängigkeit klären.

Abhängigkeit wird auf die Prozesse angewandt, welche eine höhere Kritikalität auf gesellschaftlicher Ebene besitzen.

Der Grad der IT-Abhängigkeit wird dann grob skaliert. Die Prozesse mit einer hohen IT-Abhängigkeit laufen nach dieser Skalierung ohne IT-Unterstützung nicht oder nur noch sehr eingeschränkt ab.

30 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

Eben 5; Es haben zwei Faktoren Einfluss auf die Kritikalitätsmatrix

sektorinterne Mechanismen: Funktionsfähigkeit des gesamten Sektors kann von einem Prozeß abhängen, so dass entsprechende Schutzmaßnahmen ergriffen wurden. Insbesondere werden Maßnahmen ergriffen, welche die Auswirkung bei Störungen beschränken und einen schnellen Wiederanlauf sicherstellen.

Anspruchsdenken der Bevölkerung: Deutschland besitzt ein relativ hohes Anspruchsdenken bezüglich der Versorgungs- sicherheit von Infrastrukturdiensleistungen. (Ölknappheit, Telekom.).

31 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

32 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

AKIS-MethodeAKIS-Methode

33 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

34 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

DATEV UnternehmenszahlenDATEV Unternehmenszahlen

Dienstleister aus dem Sektor 4 (I. u. T.)

ein Softwarehaus und IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte

Steuern, Enterprise Ressource Planning (ERP) sowie Organisation und Planung.

5.400 Mitarbeiter und einen Umsatz von 577 Millionen Euro (Stand 2004).

Die Steuerberater von rund zwei Drittel der mittelständischen deutschen Unternehmen erstellen die Finanzbuchführung mit der Datev Software. Dies entspricht etwas 2,4 Millionen Finanzbuchführungen.

Datev Druck- und Versandzentrum bringen monatlich etwa zwei Millionen Betriebswirtschaftliche Auswertungen auf den Weg.

35 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

DATEV UnternehmenszahlenDATEV Unternehmenszahlen

Lohn- oder Gehaltsabrechnung von etwa jedes vierten sozialversicherungspflichtigen Arbeitnehmers wird mit Software der Datev berechnet.

428.000 gespeicherte Dokumente zu den Themen Steuer-, Handels- und Gesellschaftsrecht im Volltext

500.000 (täglich) mal Anwendersystem per Datenfernübertragung an die Großrechner im Datev- Rechenzentrum an

Kurzgesagt:

Die Datev ist DER IT-Dienstleister für die genannten Berufsgruppen!

36 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

DATEV DATEV

Was, wenn das Internet ausfällt ?

Präventionsmaßnahmen

ISDN Leitung zum Datentransfer

Netzanbindung durch 3 autonomer Provider

Ausfall Datev Netzwerk: 1 Tag gering kritisch

z.B. Kanzlei 1 Tag nicht gewohnt arbeiten

-> Problem: termingebundene Prozeße

Ausfall Datev Netzwerk: 1 Woche eher kritisch

Z.B. Steuerberater (39 Tausend ) in ihrer Arbeit stark behindert/blockiert

-> Problem: 7 Millionen Lohnabrechnungen Arbeitnehmer unbearbeitet. (Wohnmiete,Kredite,etc)

Ausfall Firmennetzwerk Datev: 1 Woche eher kritisch

Rechenzentrum zwar unabhängig, aber nicht erreichbar durch Mitarbeiter (Kundenservice)

37 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Einleitung

Definition kritischer Infrastrukturen

Schutz und Bedrohung kritischer Infrastrukturen

Aktivitäten in Deutschland

Kritis Ansätze

AKIS Methode

Sicht eines betroffenen Unternehmens

Aktuellste Publikation des BSI

Fazit

AgendaAgenda

38 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

NPSI – Nationaler Plan zum Schutz der NPSI – Nationaler Plan zum Schutz der InformationsinfrastrukturenInformationsinfrastrukturen

Otto Schilly stellte am 18 August 2005 den NPSI vor

„Nationalen Plan zum Schutz der Informationsinfrastrukturen“

Ziel: hohe Niveau der IT-Sicherheit in Deutschland in Zukunft weiter zu steigern.

Der Nationale Plan verfolgt drei strategische Ziele (15 formulierte Ziele): 

Prävention: Informationsinfrastrukturen angemessen schützen

Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln

Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken – international Standards setzen

Zitat: „Wirtschaft und Gesellschaft nutzen intensiv moderne Informationstechnik (IT). Informationsinfrastrukturen gehören heute neben Straßen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das private wie das berufliche Leben zum Stillstand käme.“

(Zusatz : INESS MODELL)

39 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

FazitFazit

Komplex und weitreichend „verstrickt“

Teilweise unklare Formulierungen und geteilte Meinungen

Sensibilisierung von Unternehmen und Anwendern

Sektorübergreifende/globale Kommunikation und Zusammenarbeit

Verstärkte Forschung und Entwicklung

Schnelle und transparente Hilfeleistung und Information

40 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

FazitFazit

Wir haben kein Wissens- und Informations- problem. Wir haben ein Wahrnehmungs-, Strategie- und Handlungsproblem! (Dipl.-Ing. Reinhard W. Hutter IABG mbH)

41 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

QuellenverzeichnisQuellenverzeichnis

Quellenverzeichnis

Heise online, 2000a, „Der Schutz kritischer Infrastrukturen, Information Warfare und Bürgerrechte CCIP“, www.heise.de , www.pccip.gov (zeitweise nicht erreichbar)

Datev, 2005a, „Wir über uns“, Webseite, www.datev.de

PayPal, 2005 , Firmeninformation, Webseite, www.paypal.de

BSI, 2004 „Internationale Aktivitäten zum Schutz Kritischer Infrastrukturen“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument, www.bsi.bund.de

BSI, 2004, „Schutz Kritischer Infrastrukturen Aktivitäten in Deutschland“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,

www.bsi.bund.de

BSI, 2005, „Die Lage der IT-Sicherheit in Deutschland 2005“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,

www.bsi.bund.de

BSI, 2005, „Analyse Kritischer Infrastrukturen Die Methode AKIS (Analyse Kritischer Infrastruktur-sektoren)“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,

www.bsi.bund.de

Technische Universität München, 02/2005, „ProtectingBGPRoutestoTopLevelDNSServers“, Gunnar Bornemann Seminar Internetrouting“, borneman@in.tum.de

NIFIS, 2005, Nationale Initiative für Internet-Sicherheit, www.nifis.de

KRITIS, kritische Infrastrukturen, BSI Gruppe, http://www.bsi.de/fachthem/kritis/

WIKIPEDIA, 2005,Online-Lexikon, http://de.wikipedia.org/

Gutachten von der Bertelsmann Stiftung, http://www.aksis.de/Gutachten-Bertelsmann.pdf

NPSI http://www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Common/Anlagen/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publicationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen

42 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

QuellenverzeichnisQuellenverzeichnis

INESS-Studie, http://www.bsi.de/literat/studien/iness/index.htm

Institut für Internet-Sicherheithttp://ifis.fh-gelsenkirchen.deFachhochschule Gelsenkirchen

Schult-Heidkamp, PhilippPhilipp.Schult-Heidkamp@informatik.fh-gelsenkirchen.de

Vielen Dank für Ihre Aufmerksamkeit

Fragen ?

Internet als kritische InfrastrukturInternet als kritische Infrastruktur

44 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

Prävention

Ziel 1: Bewusstsein schärfen über Risiken der IT-Nutzung

Ziel 2: Einsatz sicherer IT-Produkte und -Systeme

Ziel 3: Vertraulichkeit wahren

Ziel 4: Gewährleisten umfassender Schutzvorkehrungen

Ziel 5: Vorgabe von Rahmenbedingungen und Richtlinien

Ziel 6: Abgestimmte Sicherheitsstrategien

Ziel 7: Nationale und internationale Gestaltung politischer Willensbildung

Reaktion

Ziel 8: Erkennen, Erfassen und Bewerten von Vorfällen

Ziel 9: Informieren, Alarmieren und Warnen

Ziel 10: Reagieren bei IT-Sicherheitsvorfällen

Nachhaltigkeit

Ziel 11: Fördern vertrauenswürdiger und verlässlicher Informationstechnik

Ziel 12: Ausbau nationaler IT-Sicherheitskompetenz

Ziel 13: IT-Sicherheitskompetenz in Schule und Ausbildung

Ziel 14: Fördern von Forschung und Entwicklung

Ziel 15: International Kooperationen ausbauen und Standards setzen

zurück

45 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS Internet Security INESS Internet Security SimulationSimulation

Studie des Forschungszentrums Jülich

„Modellierung der Funktionsfähigkeit eines Internetgestützen Netzwerk mit Hilfe des Modells INESS“

Vorraussetzung: Angriffe auf Backbones und Internet Exchange Points (IX), TCP/IP Kommunikation

Durchführung: Backbone Kabel phsyikalisch durchtrennen, IX trennen/zerstören

Sektor: politisch-administrative Infrastruktur („Regierung“)

Zurück

46 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation

Untersuchung: Folgen auf den Datenverkehr (Paketverkehr),

Während einer Krise, in der die Handlungsfähigkeit Deutschlands auf dem Spiel steht, kommt es zusätzlich zu einer Störung des Internets mit strategischer Absicht.

Leitfaden: Welche Auswirkungen hat eine strategische Störung des Internets auf die Kommunikation (www , Email, Video- konferenz) innerhalb der „Regierung“?

Simulation: 527 Backbones

185 IX

Störung fünf europäischer IX und fünf deutscher Backbones

47 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation

48 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation

49 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation

50 A

UT

OR

, In

stitu

t fü

r In

tern

et-S

iche

rhei

t (if

is)

INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation

Schlussfolgerung:

Internet grundsätzlich hohe Resilienz

Störung 5 IX und 5 Backbones der zentralen europäischen bzw. deutschen Backbones -> keine sinnvolle Option

Allerdings der wichtigsten IX (London, Frankfurt, Paris), zeigten zumindest veränderten Einfluß auf die Simulation.

Zurück