:quality(80)/p7i.vogel.de/wcms/1f/12/1f1260c3df0416fff1a03a19f08196c6/0117767227.jpeg "Vantage Data Centers plant, im Sommer dieses Jahres einen zweiten Datacenter-Campus in Zürich zu errichten. (Bild: Vantage Data Centers)")
:quality(80)/p7i.vogel.de/wcms/a1/24/a124958664ef71b8c56b440c49f03e63/0117709843.jpeg "Auch die Datenbasis für die EU-Studie von Paolo Bertoldi und George Kamiya zum Strombedarf in den Rechenzentren weist Lücken auf, doch das ist nichts Neues. (Bild: CtrlN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/45/51455ce52308a1b03f7e95e9696c7df8/0117667712.jpeg "Gerade das rote Band zur Eröffnung des ersten Tier-IV-Rechenzentrums in Deutschland durchtrennt: (v.l.) Christoph Herrnkind, CEO der WIIT AG, Olaf Wagner, Beigeordneter der Stadt Düsseldorf, Alessandro Cozzi, CEO der WIIT S.p.A. und Sascha Prütz, Chief Innovation, Technical Integration & Datacenter Officer der WIIT AG. (Bild: WIIT AG )")
:quality(80)/p7i.vogel.de/wcms/bf/7f/bf7f6709215e7167326e0b4cfea3fa7d/0117669491.jpeg "„Versatray“ ist ein modulares 19“-Trägersystem für die hochdichte Datenverkabelung in Rechenzentren. Die Schubladen benötigen nur ein Drittel einer Höheneinheit. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/3c/76/3c76ff98bfd85ae130b79c948640fc1f/0117821493.jpeg "Die Halbleiterindustrie benötigt unter anderem jede Menge reinstes Wasser; doch in den 6 Regionen der Welt, in denen hauptsächlich produziert wird, ist bis 2030 mindestens von einem mittleren Wasserstress auszugehen. (Bild: frei lizenziert: Roberto Sitzia)")
:quality(80)/p7i.vogel.de/wcms/0f/f7/0ff7e8a006f5d87fcf6460a6ed02587c/0117793673.jpeg "Der Dell-Server „Poweredge XE9680“ soll mit seiner 8-Wege-GPU-Beschleunigung in einer x86-Serverarchitektur die Performance liefern, die für anspruchsvolle Rechenprozesse, etwa im KI Training". gebraucht wird. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/7a/04/7a04fa3d86ff0e304f68f044e8ececfc/0117780015.jpeg "Direct Chip Cooling bedeutet in den meisten Fällen, dass im Server Wasser über die CPU, machmal auch über GPUs laufen, um diese zu kühlen. Lüfter benötigt das System dann nur noch zur Rückkühlung und für andere Rechnerkomponenten. (Bild: Andrew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/2c/9f2cd9daf29a929f15c5cd0b26da673b/0117848608.jpeg "HPE-Studie klärt: Wie sehen europäische Unternehmen den European Data Act? (Bild: Dragon Claws - stock.adobe.co)")
:quality(80)/p7i.vogel.de/wcms/24/fc/24fc357d4ed8f5c6500da52c0f5b2dec/0117727355.jpeg "Penny Philpot, Vice President Ecosystems EMEA bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/02/f3/02f3b02239ac228d4c24f9812dffd6c3/0117866623.jpeg "Die Vektordatenbank „Qdrant“ kann Milliarden von Vektoren verarbeiten, unterstützt den Abgleich semantisch komplexer Objekte und ist aus Gründen der Leistung, Speichersicherheit und Skalierbarkeit in Rust implementiert. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4b/9e/4b9ef0b509dc376675682d114ae41a96/0117793805.jpeg "Die Planat GmbH bietet ERP-Standardsoftware "Made in Germany" für den produzierenden Mittelstand an. (Bild: frei lizenziert: Janno Nivergall )")
:quality(80)/p7i.vogel.de/wcms/9f/cf/9fcf8a5268ff444c71d5ec5b91956f04/0117816823.jpeg "Der Bedarf an Fachkräften, die im Umgang mit KI-Tools geschult sind, wird in Zukunft weiter wachsen. Dafür braucht es Weiterbildungsangebote. (Bild: atitaph - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/4b/dd4b966903663a25da9a563a503bdca5/0117806385.jpeg "Offenbar gilt für den ein oder anderen Datacenter-Betreiber die Alarmstufe Rot; denn laut Béla Waldhauser drohen sie, mit inkonsistenten Gesetzen und Vorschriften überfordert zu werden. (Bild: Eco - Verband der Internetwirtschaft)")
:quality(80)/p7i.vogel.de/wcms/9e/e0/9ee04bdec5d842254716a56d956ff358/0117572577.jpeg "Welche Vorgaben Finanzinstitute erfüllen müssen, wenn sie IT-Services in die Cloud auslagern, hat die BaFin neu geregelt. (Bild: pixelrobot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/1c/e41ccb215fd0aad7b9ab0f66bddf0c2c/0117564858.jpeg "Ionenfallen-Technik von Eleqtron: Einzelne Ionen werden durch elektromagnetische Felder im Vakuum wie an einer Perlenkette aufgereiht. (Bild: Land NRW/ Mark Hermenau)")
:quality(80)/p7i.vogel.de/wcms/0c/29/0c29cfdef0bef45d969595cf6aeb4cb7/0117284743.jpeg "Das tiefgekühlte Quantencomputing-System von IQM zieht nun auch in das Jülich Supercomputing Centre ein.
(Bild: Forschungszentrum Jülich / Sascha Kreklau)")
:quality(80)/p7i.vogel.de/wcms/24/9f/249fd68b693a656acd9cfecd5789a9cf/0117284710.jpeg "Quandela wurde 2017 gegründet und so sieht der photonische Quantencomputer der Franzosen aus; hier beim Hersteller, Île-de-France, selbst. (Bild: Quandela)")
:quality(80)/p7i.vogel.de/wcms/29/1e/291ed2b23f87bb349f2e14fd08e5985a/0117197907.jpeg "„IQM Radiance“ ist der bisher fortschrittlichste supraleitende Quantencomputer von IQM. Er beginnt bei 54 Qubits und kann auf 150 Qubits aufgerüstet werden. (Bild: IQM Quantum Computers)")
:quality(80)/p7i.vogel.de/wcms/4a/ad/4aadd3fc22bbb69cd340c8930587e6c5/0117792616.jpeg "Wie ist es um die Ausfallsicherheit von Rechenzentren bestellt? Das Uptime Institute veröffentlicht dazu regelmäßig Studien. (Bild: frei lizenziert: TheDigitalArtist)")
:quality(80)/p7i.vogel.de/wcms/7a/e4/7ae40ab0ad814a3438200e2e0565d19c/0117538366.jpeg "Wie die Ergebnisse der "Pulse Survey" von Logz.io zeigen, werden die Möglichkeiten von Observability häufig noch nicht optimal genutzt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5b/32/5b32471b2fc5eed796e6337de9617610/0117166583.jpeg "Tenable sorgt mit seiner Exposure-Management-Plattform „One for OT/IoT“ für den nötigen Durchblick. (Bild: frei lizenziert: Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/ab/63/ab636d1161af20016512f5db1398a5a5/0117903018.jpeg "Nun gehören zu Nlighten 34 Edge-Rechenzentren in Europa. Die neu übernommenen Edge-Rechenzentren sind vergrößert dargestellt. (Bild: Nlighten)")
:quality(80)/p7i.vogel.de/wcms/2d/3d/2d3d14768c1ccc56c267d1b0005b6aa9/0117870937.jpeg "Co-Location ist unter anderem für Unternehmen interessant, die hohe Anforderungen an ihr Rechenzentrum nicht in Eigenregie bewältigen können. (Bild: NTT)")
:quality(80)/p7i.vogel.de/wcms/5b/90/5b9077c213fc5cc0e999093e1b690e3a/0117206477.jpeg "„Die Umstellung von Festplatten auf All-Flash kann bis zu 40 Prozent niedrigere TCO und 60 Prozent niedrigere Betriebskosten über sechs Jahre bedeuten“, scheribt Elke Steinegger, Regional Vice President Germany and Austria bei Pure Storage, (Bild: sderbane - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/c4/c4c4a34b823f39aac9b2a41f45d2763a/0117007080.jpeg "Mit „Oracle Globally Distributed Autonomous Database“ lässt sich eine einzelne logische Datenbank in mehrere, global verteilte Shards aufteilen. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb7c0af3ca2b340fa094de1f895078/0116812287.jpeg "„S3“-kompatible On-Prem-Tape-Lösungen zur Langzeitarchivierung versprechen in Hybrid-Cloud-Umgebungen laut Spectra Logic deutliche Kostenvorteile und mehr Nachhaltigkeit. (Bild: ©D3Damon, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/72/d4/72d4e133d879bff354491edfe00c2262/0116767655.jpeg "HPE führt mit dem Release 3 von „HPE Greenlake for Block Storage“ erstmals disaggregierten Scale-Out-Blockspeicher ein. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
:quality(80)/p7i.vogel.de/wcms/f3/da/f3dacd38e5834ae3f3c9d0a4bc9664d3/0113348475.jpeg "Das vom Umweltbundesamt beauftragte Projekt „Public Energy Efficiency Register of Data Centres “ (PeerDC), ist nach Einschätzung der Beteiligten Marina Köhn (UBA), Peter Radgen (IER Uni Stuttgart) und Felix Behrens (Öko-Institut e.V.) ein Erfolg auf ganzer Linie. Das sah DataCenter-Chefredakteurin Ulrike Ostler nach dem DataCenter-Diaries Podcast #16 nicht ganz so rosa. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f5/90f56ec6cb3ddbdabca2162fd5477836/0113078524.jpeg "(Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/ff/1b/ff1bf13207bfcba03383fbeb30a3c5c6/0117931452.jpeg "Künstliche neuronale Netzwerke lassen sich mit Sparsification effizienter und kostengünstiger im Rechenzentrum betreiben. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/c2/8a/c28a3e2b1e5a668e85a60ab1513f0505/0114961639.jpeg "Alle Gewinner der diesjährigen 'DataCenter-Insider-Awards' plus Ulrike Ostler Chefredakteurin DataCenter-Insider (l.) und Moderatorin Margit Lieverz. Das gesamte Redaktionsteam bedankt sich herzlich bei allen, die abgestimmt und bei allen, die den Gala-Abend unvergesslich gemacht haben. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/51/6b/516b6a7be304ba9862e972c6e11c9fec/0114109625.jpeg "DataCenter-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
Gesellschaftliche Verantwortung, Open Source und Fachkräftemangel Sind unsere kritischen Infrastrukturen (KRITIS) ausreichend gegen Cyber-Angriffe geschützt?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/57100/57113/65.jpg "FNT_rgb_300dpi.jpg ()")
Insbesondere angesichts des Kriegs in der Ukraine und mehr oder weniger offenen Drohungen gehen (westliche) Länder, die die Ukraine unterstützen, mehren sich die Befürchtungen, kritische Infrastrukturen könnten durch Cyber-Angriffe schwerwiegend beeinträchtigt oder gar außer Kraft gesetzt werden (s. Kasten). Die Bedrohungsszenarien wirken immer bedrohlicher und reichen von Angriffen auf Unterseekabel, bis hin zur Lahmlegung von Energieversorgern, Ausschalten von Rechenzentren.
Für DataCenter-Insider hat Sascha Lindemann ein Gespräch zur den aktuellen Herausforderungen für KRITIS-Unternehmen mit zwei ausgewiesenen Experten geführt: Dr. Marius Feldman und Holger Berens. Feldmann ist COO der Cloud&Heat Technologies GmbH und CEO der Secustack GmbH. Berens ist Vorstandsvorsitzender des Bundesverband für den Schutz Kritischer Infrastrukturen e. V. (BSKI)
Wie eine kürzlich veröffentlichte Studie von Cisco gezeigt hat, ist etwa die Hälfte der eingesetzten Sicherheitstechnologien in deutschen Unternehmen veraltet und auf Cyber-Vorfälle schlecht vorbereitet. Doch wie sieht es, auch angesichts des Russland-Ukraine-Konflikts, bei den Betreibern kritischer Infrastrukturen (KRITIS) aus, die die Grundversorgung der Bevölkerung gewährleisten? Welchen Sicherheitsstandards unterliegen sie?
Holger Berens: Normale wirtschaftliche Unternehmen denken bei der Planung der Sicherheits- und Management-Systeme primär betriebswirtschaftlich. Sie führen eine Risiko-Analyse durch und evaluieren die Eintrittswahrscheinlichkeit für ein bestimmtes Bedrohungsszenario und welche Auswirkungen es für das Unternehmen selbst gibt.
KRITIS-Betreiber wiederum müssen in ihren Sicherheitserwägungen die Auswirkungen auf die Versorgung der Bevölkerung vordergründig einbeziehen. Daraus resultieren deutlich höhere Sicherheitsstandards und tiefergreifende Maßnahmen, um (cyber-)sicher aufgestellt zu sein. Bei den entsprechenden Investitionen, die unter das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ fallen, reicht eine Prüfung nach betriebswirtschaftlichen Vorgaben nicht aus.
Bei kritischen Infrastrukturen müssen mehrere Säulen beachtet werden: Dazu gehören organisatorische Maßnahmen wie das unter das Risk Management fallende Business Continuity Management, um gravierende Risiken für eine Organisation frühzeitig zu erkennen und dagegenzusetzen. Weiter braucht es „State of the Art“-Technik, um die IT und OT zu sichern und zu schützen. Und all das müssen die KRITIS-Betreiber auch überprüfen und gesetzeskonform zertifizieren lassen.
Das klingt und ist in der Theorie äußerst komplex. Wie läuft denn die Umsetzung in der Praxis, sind die KRITIS-Betreiber wirklich so gut vorbereitet?
Marius Feldmann: Die Betreiber nehmen die Sicherheitsthematik angesichts der Tragweite bei Versagen beziehungsweise Nachlässigkeit sehr ernst. Die IT-Sicherheit ist aber auch nicht einfach ein Zustand, den man final erreicht. Vielmehr ist es ein dauerhafter Prozess, zu dem ein dauerhafter Kompetenzaufbau gehört – gemeinsam mit den Akteuren vor Ort.
Neuralgische Punkte gibt es mitunter dennoch auch da, wo man es vielleicht nicht (mehr) erwartet. Am Ende ist selbst ein harmloser, umherfliegender Luftballon in der Lage, beispielsweise ein Umspannwerk und damit die Stromversorgung einer ganzen Region außer Gefecht zu setzen, wie es in Dresden 2021 passiert ist.
Holger Berens: Ein weiteres Beispiel aus der Praxis: Ich führe hin und wieder im Auftrag von Unternehmen gezielte Schwachstellenanalysen durch, einmal bei einem KRITIS-Rechenzentrum, also einem Unternehmen, das BSI-Vorgaben und -Zertifikaten mit allem Pipapo unterliegt. Da ging es um die Frage der physischen Sicherheit, denn was wir nicht vergessen dürfen: Je höher Unternehmen die Sicherheitshürden für Cyber-Kriminelle setzen und so potenzielle Cyber-Angriffe erschweren, desto eher gehen die Angreifer wieder den einfacheren Weg, nämlich physisch, vor Ort.
Daher habe ich bei besagtem Rechenzentrum einen physischen Penetrationstest gemacht. Sie können sich das als Sicherheitssystem mit verschiedenen Ebenen vorstellen, ähnlich einem Zwiebelschalenprinzip, bei dem man sich von außen immer weiter zum Inneren des Rechenzentrums vorarbeiten muss:
1. Ich habe mir im Vorfeld einige Daten und Mitarbeiternamen des Unternehmens über Business-Netzwerke eingeholt. Vor Ort habe ich zunächst den Pförtner gefragt, ob ich zur Toilette gehen kann, was mir nicht verwehrt wurde – und schon hatte ich die erste Hürde überwunden, ohne jegliche sichtbare Mitarbeiterkennung.
2. Als Nächstes bin ich über ein Drehkreuz geklettert, was den Zutritt an sich nur mit einer Chipkarte gewährt. An der Stelle kamen sogar noch Mitarbeitende und fragten, ob das System wieder kaputt sei.
3. Im Anschluss bin ich, vorbei an Büros, Schreibtischen und verlassenen Computern, ohne Probleme bis in den Hochsicherheitsbereich gelangt.
4. An der Tür eines Serverraums angekommen, hinterließ ich eine große Tasche, die ich die ganze Zeit dabei hatte. Da hätte eine Sprengvorrichtung oder wer weiß was drin sein können.
Sie sehen also: Cyber-Zertifizierungen und Co. bringen herzlich wenig, wenn die physische Sicherheit nicht gewährleistet ist. So viel zum Thema ganzheitliche Sicherheit einer kritischen Infrastruktur. Doch ist KRITIs-Unternehmen nicht gleich KRITIS-Unternehmen: Ein Rechenzentrum ist ein geschlossenes System. Es hat daher mit ganz anderen Sicherheitsvoraussetzungen oder Maßnahmen zu tun als ein offenes System, wie es der Schienenverkehr ist oder eben ein Netzbetreiber wie in diesem Fall. Das besagte Unternehmen hat nach der Schwachstellenanalyse nicht schlecht gestaunt und selbstverständlich entsprechende Präventivmaßnahmen umgesetzt.
Marius Feldmann: Ganz genau. Es geht auch immer darum, typische Schutzziele, also Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, zu adressieren. Die Krux ist oftmals: Man denkt zu sehr zustandsorientiert und ruht sich auf dem – aktuell – sicheren Stand aus, anstatt die Sicherheit als steten Prozess zu begreifen.
Es geht weniger darum, dass man jetzt alles auf dem Radar hat, sondern dass man angemessen und schnell reagieren kann, wenn irgendwo die ersten Schutzwälle überbrückt werden. Und hier ist definitiv noch Luft nach oben.
Auch Sie haben ein Beispiel parat?
Marius Feldmann: Ein simples Beispiel aus der Praxis: Im KRITIS-Bereich liegen die Kompetenzen zur Reaktion mitunter bei mehreren externen Dienstleistern – und eben nicht in-house oder bei einzelnen Partnern. Das ist dann eine schwierige Voraussetzung, um wirklich effizient reagieren zu können.
Hinzu kommt die Menge der kollaborierenden Dienstleister beziehungsweise Akteure. Wenn viele Dinge parallel abgestimmt und umgesetzt werden müssen, gehen die Prozesse zulasten der Geschwindigkeit und Qualität der Reaktion. Ergänzend müssen hier auch präventive Detection Systems implementiert, reaktive Maßnahmen durchdacht und aufgesetzt werden. Auch hier besteht definitiv Nachholbedarf.
In den vergangenen Monaten mehren sich die Fälle angegriffener IT-Dienstleister und Energieversorger. Teilweise sind jedoch nur einzelne Bereiche betroffen, so zum Beispiel die Website, aber nicht die Energieversorgung selbst. Sind diese Bereiche grundsätzlich immer getrennt und gut genug geschützt?
Holger Berens: Grundsätzlich lautet hier die Devise: Netzwerktrennung, Segmentierung, Segregation, vorausgesetzt, alles wird in-house gemacht. Wenn die Website angegriffen wird, ist dieses Netz kompromittiert, und ggegebenenfalls werden personenbezogene Daten der User entwendet, was natürlich aus Sicht der Datenschutzrechte nicht hinnehmbar ist. Es hat aber keine Auswirkungen auf die Energieversorgung selbst, weil die Angreifer über diese Schwachstelle keinen Zugriff auf das Netz erlangen.
Ein weiteres Stichwort: Identity- and Access Management (IAM); Zero Trust ist im Moment in aller Munde. Man kann drüber streiten, ob das lediglich ein Buzzword ist, aber selbstverständlich brauchen wir ein vernünftiges IAM-System. Zero Trust kann der Weg dahin sein.
Die Thematik ist bei Betreibern und Verantwortlichen zum Glück schon weitgehend angekommen. Wichtig ist aber auch, dass das nach unten in die Belegschaft getragen und dort für Sensibilisierung gesorgt wird. Es geht aber auch nach oben in die Geschäftsführung hinein, die unter Umständen selbst Kompetenzlücken aufweist.
Mitunter bleibt das Bewusstsein leider auf der B-Führungsebene, wo man sich beim Budget Management an der Geschäftsführung manchmal die Zähne ausbeißt. Bei kritischen Infrastrukturen greift hier zum Glück das BSI-Gesetz – die Betreiber sind zu Cyber-Sicherheits-Maßnahmen verpflichtet. Das ist für die Verantwortlichen der Hebel bei der Budgetplanung, um entsprechende Überzeugungsarbeit bei der Geschäftsführung zu leisten. Dies wiederum fehlt bei den „normalen“ Unternehmen.
Marius Feldmann: Genau. Bei der Abwägung, ob man eine Maßnahme einführt, geht es darum, den Aufwand ins Verhältnis zu den weitreichenden Folgen eines Ausfalls zu setzen und nicht bloß um kurzzeitiges auf Sicht fahren.
Lassen Sie uns gerne über den Trend Micro- beziehungsweise Edge-Rechenzentren sprechen. Wie können hier Sicherheitsmaßnahmen umgesetzt werden, wenn sie nicht direkt von KRITIS-Unternehmen betrieben werden?
Marius Feldmann: Ein Rechenzentrum ist ja nicht per se kritische Infrastruktur. Laut KRITIS-Verordnung 2021 (1.5) müssen hierfür bestimmte Voraussetzungen erfüllt sein: Die Leistung ist von 5 Megawatt (MW) auf 3,5 MW reduziert worden, dazu gibt es noch weitere Kennzahlen wie physische Instanzen (10.000) und virtuelle Instanzen (15.000). Wobei auch noch nicht klar ist, wie Verbünde gewertet werden.
Reicht bereits eine Zusammenschaltung von Rechenzentren? Dann könnte es durchaus sein, dass eine Edge-Infrastruktur unter besonderen Bedingungen eben auch durch das Erreichen von in Summe 3,5 MW als KRITIS bewertet würde.
Da ist noch vieles im Graubereich und sicher noch ein intensiver Austausch mit dem BSI nötig. Das kann auch signifikante Implikationen haben, wenn ein Unternehmen viele kleine Einheiten im Bereich Edge-Infrastrukturen aufbaut, also ob eine zentrale Steuerung erfolgt, ein zentrales Management vorliegt usw.
Holger Berens: Das Edge-Beispiel veranschaulicht sehr gut, dass sich eben nicht nur die Bedrohungen ständig ändern, sondern auch die Technik, und die gesetzlichen Regularien. Hier kommen branchenspezifische Anforderungen hinzu. Wir haben auch kritische Infrastrukturen, die im regulierten Markt sind, wo wir nicht nur das BSI haben, sondern beispielsweise auch die BaFin, die im Bereich der BAIT (bankaufsichtliche Anforderungen an die IT) und in der VAIT (versicherungsaufsichtliche Anforderungen an die IT) dezidierte, in manchen Punkten sogar etwas rückständige Vorgaben für die Nutzung von Cloud-Dienstleistungen machen.
Auch hier ist die Technik wieder wesentlich schneller als zum Beispiel die Aufsichtsbehörde des Finanzsektors. Das verursacht definitiv auch Probleme, gerade wenn man im Finanzbereich eine Cloud sicher aufsetzen möchte. Denken Sie mal an die ganzen Neo-Banken, da haben jetzt einige angesichts zu einfacher Konto-Anmeldungen richtig Probleme mit der BaFin wegen möglicher Geldwäsche.
Schritthalten mit der Technik ist ein gutes Stichwort. Welche Rolle spielt hier der IT-Nachwuchs und der oft zitierte Wissensaustausch?
Fachkräftemangel und Open Source
Marius Feldmann: Das ist ein ganz zentraler Aspekt. Die technische Entwicklung schreitet so schnell voran, dass man regulatorisch und in der Aufsicht kaum noch hinterherkommt. Personalmangel verschärft hier zudem die Diskrepanz zwischen der Notwendigkeit, Lösungen mit Entwicklern und IT-Fachkräften bereitzustellen und gleichzeitig die Sicherheitsanforderungen des BSI und anderer Stellen zu erfüllen.
Es gilt, den Motivationsfaktor zu steigern, an interessanten neuen Technologien und Infrastruktur-Lösungen mitzuwirken. Meiner Auffassung nach sollte man auch auf KRITIS-Seite mehr in solche Projekte mit reingehen und aktiv zusammen mit Open Source Communities entsprechende Lösungen ausgestalten.
Holger Berens: Das kann ich voll und ganz unterschreiben. Wir brauchen die Branchenkenntnisse in der Entwicklung, insbesondere auch Verantwortliche im Bereich MaRisk (Mindestanforderungen an das Risiko-Management), die beispielsweise auch aus Sicht eines Wirtschaftsprüfers herangehen und ein internes Kontrollsystem (IKS) etablieren. Das läuft meistens noch aneinander vorbei und das ist ein Problem.
Marius Feldmann: Dieses Domänenwissen hat man derzeit nicht oder zumindest nur im geringen Maße in der technischen Entwicklung. Wir müssen die verschiedenen Welten perspektivisch zusammenzubringen.
Kurzfristige Betrachtungen führen häufig zu schnellen Entscheidungen, aber wir brauchen vielmehr eine langfristige Betrachtung der Dinge. Also einerseits schnelle Lösungen entwickeln, auf der anderen Seite aber das zu einem Dauerthema machen und eben auch langfristige volkswirtschaftliche, gemeinwohlorientierte Perspektiven dabei einnehmen. Da haben wir sicher über die letzten Jahre auch wertvolle Zeit verloren. Ich bin jedoch der Meinung, dass es noch nicht zu spät ist, um Boden gutzumachen.
Wo liegt für Sie noch etwas im Argen, welche Stellschrauben müssen angezogen werden?
Holger Berens: Es gibt drei Aspekte, die ich als Vertreter des Bundesverbands für den Schutz Kritischer Infrastrukturen (BSKI) auch immer wieder in die Community beziehungsweise Branche einbringe.
Erstens: Cyber-Sicherheit verkürzt den Blickwinkel zulasten der Sicherheit vor Ort, das heißt: Wir dürfen auch die physischen Sektoren nicht vergessen, Stichwort: Ganzheitliches Sicherheitskonzept.
Zweitens: Wir haben lokale und regionale Versorger, etwa für Wasser und Energie, die ebenfalls wesentlich sind für die Versorgung der Bevölkerung, die aber nicht unter das IT-Sicherheitsgesetz fallen. Hier wünsche ich mir von Seiten des Gesetzgebers eine wesentlich sinnvollere KRITIS-Strategie, gerade für kleinere Unternehmen.
Und der dritte Punkt: Wir brauchen mehr Fachkräfte. Wir müssen sehen, dass wir schon in der Ausbildung und im Studium anfangen, entsprechende Querkompetenzen zu bilden. Unser Bundesverband startet in Kürze die Initiative „BSKI-Kaninchen“, um bei Kindern das Bewusstsein zu schaffen, wie sie sich sicher im Netz bewegen können. Selbst die Studierenden, die ich an der Hochschule unterrichte, haben teilweise mit rund 18 Jahren keinerlei Bewusstsein, was sie da im Netz machen und die sind demnächst dann in den verantwortlichen Stellen. Genau das ist ein Riesenproblem.
Marius Feldmann: Dem kann ich nur zustimmen. Ich persönlich habe einen Gesamtappell: Wichtig bei der Thematik Cyber-Sicherheit ist die Perspektive, dass wir keine akuten Probleme lösen, sondern dass die Probleme dauerhaft sind. Das Entscheidende ist, dass wir hier wirklich in großen zeitlichen Dimensionen denken.
Dann entstehen wirklich gute Lösungen. Und da ist die Politik gefragt, aber auch die KRITIS-Betreiber, die Mitarbeitenden und perspektivisch die Fachkräfte von morgen.
Artikelfiles und Artikellinks
(ID:48475433)
:quality(80)/p7i.vogel.de/wcms/a2/ca/a2cab0291b28f5248032ba9ab1de26b9/0116453851.jpeg "Die Bedohungslage im Cyberspace bessert sich nicht, erst recht nicht mit den Intelligenterwerden der Malware. Unternehmen, insbeondere die, die Rechenzentren betreiben, müssen Geld für die Prävention, Backups und Notfallvorsorge in die Hand nehmen. Aber was regelt 'NIS-2'? (Bild: frei lizenziert: Pete Linforth )")
:quality(80)/p7i.vogel.de/wcms/2c/44/2c44122aa037f937cda109ca4da17366/0111238449.jpeg "Mehr eine schwankende Boje als ein Rettungsanker und schon erst recht kein fester, festgefügter Untergrund: Versicherungen für IT und Rechenzentren (Bild: frei lizenziert: harmonies Pix )")