RiskViz – Risikolagebild der industriellen IT-Sicherheit in Deutschland

Cyber-Angriffe auf kritische Infrastrukturen (KRITIS) werden für Unternehmen und Regierungen und somit auch für die Bevölkerung zunehmend bedrohlicher. Gleichzeitig werden die industriellen Kontrollsysteme (ICS), welche auch in KRITIS zum Einsatz kommen, zunehmend an das Internet angeschlossen, um diese einfach und kostengünstig überwachen und steuern zu können. Dabei zeigen Sicherheitsvorfälle in der Vergangenheit, dass die mit dem Internet verbundene IT-Umgebung als Einfallstor für Netzwerkeinbrüche, Datendiebstähle und Denial-of-Service-Aktivitäten in die industrielle Umgebung von beispielsweise Stromerzeugungsanlagen und anderen KRITIS dienen kann.

Dennoch haben Bund, Länder und Kommunen, in denen kritische Infrastrukturen angesiedelt sind, keine geeignete Möglichkeit, das Ausmaß der Bedrohung zu erfassen und für die Betreiber transparent zu machen. Zudem sind KRITIS gegen Schäden durch IT-Sicherheitslücken nur schwierig zu versichern, da potentiell wahrscheinliche Schäden nur schwer berechenbar sind.

Im Rahmen des IT-Sicherheitsforschungsprogramms förderte das Bundesministerium für Bildung und Forschung (BMBF) deshalb das Projekt „Risikolagebild der industriellen IT-Sicherheit in Deutschland“ (RiskViz) von April 2015 bis März 2018. In einem Konsortium bestehend aus insgesamt acht Partnern aus Forschung, Industrie und Anwender wurden Methoden und Instrumente entwickelt, die es ermöglichen, auf rechtskonforme und verantwortungsvolle Weise Steuerungssystem zu identifizieren, die unzureichend gegen Cyberattacken geschützt sind. Dafür wurde in dem Vorhaben zunächst eine Suchmaschine entwickelt, die ICS findet und Informationen zu ihnen und ihrer Bedrohungslage sammelt, ohne dabei ihren Betrieb zu stören.

Ziel des Verbundvorhabens war die Verbesserung der Cybersicherheit der deutschen Wirtschaft und insbesondere KRITIS. Das BIGS hat dabei die ordnungspolitischen Rahmenbedingungen untersucht, die für die Entstehung eines Marktes für Cyberversicherungen notwendig sind und politische und ökonomische Instrumente aufgezeigt und weiterentwickelt, die dazu beitragen, identifizierte Schutzlücken zu schließen.

Baban, Constance P./Gruchmann, Yvonne/Paun, Christopher/Peters, Anna C./Stuchtey, Tim H. (2018): Die Grenzen von Cyberversicherungen – Handlungsalternativen zur Verbesserung von Cybersicherheit, BIGS Essenz Nummer 17.

Baban, Constance P./Barker, Tyson/Gruchmann, Yvonne/Paun, Christopher/Peters, Anna C./Stuchtey, Tim H. (2017): Cyberversicherungen als Beitrag zum IT-Risikomanagement - Eine Analyse der Märkte für Cyberversicherungen in Deutschland, der Schweiz, den USA und Großbritannien, BIGS Standpunkt Nummer 8.

Baban, Constance P./Gruchmann, Yvonne/Paun, Christopher/Peters, Anna C./Stuchtey, Tim H. (2017): Cyber Insurance as a Contribution to IT Risk Management – An Analysis of the Market, BIGS Policy Paper No. 7.