Kritische Infrastrukturen: Verwundbarkeiten und Schutz - Center for ...

CSS Analysen zur SicherheitspolitikNr. 16 • Juni 2007 • 2. JahrgangCSSETH ZurichKRITISCHE INFRASTRUKTUREN:verwundbarkeiten UND SCHUTZDie Verwundbarkeit moderner Gesellschaften stellt eine wachsende Herausforderung für dieSicherheitspolitik dar. Der Schutz kritischer Infrastrukturen hat seit den Terroranschlägen vom11. September 2001 neue Dringlichkeit erlangt. Die Erarbeitung wirksamer Schutzkonzepteerweist sich jedoch als schwierig. Erforderlich sind differenzierte Lageanalysen, einbesseres Verständnis der Verwundbarkeiten und ein politischer Konsens über prioritäreSchutzmassnahmen. Auch innen- und zwischenstaatliche Kooperation sowie funktionierendeöffentlich-private Partnerschaften sind unabdingbar.Zwar war der Schutz strategisch wichtigerObjekte im eigenen wirtschaftlich-gesellschaftlichenRückraum schon früher unterdem Namen «Objektschutz» wichtigerTeil nationaler Verteidigungskonzepte. DerSchutz kritischer Infrastrukturen, meistunter der englischen Begrifflichkeit derCritical Infrastructure Protection (CIP) diskutiert,umfasst jedoch ein breiteres Konzept.Zum einen geht es nicht mehr nur um diekonkrete Gefahrenabwehr oder die Strafverfolgungnach begangener Tat, sondernzunehmend auch um Gefahren- oder sogar«Sicherheitsvorsorge». Zum anderen ist diemoderne Gesellschaft heute wesentlichverwundbarer und das Spektrum möglicherAuslöser von Störungen und Krisen umfassenderund diffuser. CIP ist deshalb zueinem Kristallisationspunkt der gegenwärtigenSicherheitsdebatte geworden.Informationsinfrastrukturen - Nervenzentren der modernen GesellschaftDer Schutz von Infrastrukturen hat in derSicherheitspolitik stark an Bedeutung gewonnen.Dies geht vor allem auf die traumatischenTerroranschläge in New Yorkund Washington (2001), Madrid (2004)sowie London (2005) zurück. In all diesenFällen instrumentalisierten die AttentäterElemente der zivilen Infrastruktur für denZweck des wahllosen Mordens. Bei denAnschlägen in den USA am 11. September2001 bedienten sie sich der Verkehrsinfrastrukturin Form von Flugzeugen alsWaffe. In Europa fungierten Züge, Untergrundbahnenund Bahnhöfe respektive diedort verkehrenden Menschenströme alsAngriffsziel. Dieses Vorgehen führte nichtnur die erschreckende Brutalität des «neuen»Terrorismus vor Augen, sondern verstärkteauch die Einsicht, dass traditionelleKonzepte der inneren Sicherheit nichtwww.istockphoto.commehr den Erfordernissen der Zeit entsprachenund einer Anpassung bedurften.Von Bedrohungen zu RisikenDie Entstehung und Etablierung desCIP-Konzepts geht auf zwei zentrale Faktorenzurück. Erstens hat der Wandel dersicherheitspolitischen Lage nach demEnde des Kalten Kriegs die Schutzbedürftigkeitvon Infrastrukturen erhöht.Während des Ost-West-Konflikts wurdensicherheitspolitische Gefahren in ersterLinie als militärische und akteurbezogene«Bedrohungen» verstanden. Die Identifizierungund Einschätzung dieser Bedrohungenerfolgte aufgrund des so genanntenBedrohungsdreiecks, bestehend ausdem gegnerischen Akteur, dessen feindlichenAbsichten sowie dessen Mittel zurSchadensverursachung. War das darausresultierende Bedrohungsbild währenddes Kalten Kriegs relativ klar, so sind dieFormen und Verläufe sicherheitspolitischerHerausforderungen seither wesentlich diffusergeworden. Statt einer begrenzten Anzahl«Bedrohungen» ist eine Vielzahl von«Risiken» in den Blickpunkt der Sicherheitspolitikgerückt. Risiken sind gekennzeichnetdurch Ungewissheit und Komplexität,die Frage «wer-wie-wo-was-warum-wann»kann kaum mehr beantwortet werden.Diesem diffusen Lagebild entsprechendwurde der sicherheitspolitische Fokusnach der Zeitenwende 1989/91 wenigerauf (schwer identifizierbare) Akteure, sondernauf die generellen Verwundbarkeitender Gesellschaft gelegt. Diese Debatte© 2007 Center for Security Studies (CSS), ETH Zürich

CSS Analysen zur SicherheitspolitikNr. 16 • Juni 2007 • 2. JahrgangInterdependenzen von Risiken und VerwundbarkeitenPhysische AttackeCyber-AttackeQuelle: PCCIP-Studie 1997, S. 6bedeutend mitgeprägt hat das US-Militär,das in den frühen 1990er Jahren verstärktüber asymmetrische Bedrohungen nachzudenkenbegann.Die zweite Antriebskraft hinter demCIP-Konzept war die Globalisierung undinsbesondere die diesen Prozess wesentlichmitgestaltende und vorantreibendeInformationsrevolution. Neue Informations-und Kommunikationstechnologienhaben in den 1990er Jahren eine dynamischeund tiefgehende Transformationder Gesellschaft ausgelöst, die noch keinesfallsabgeschlossen ist und deren Folgenerst teilweise erkennbar sind. Nebeneiner Vielzahl von positiven Faktorensticht in dieser Entwicklung vor allem einNegativum hervor: Die Verwundbarkeitmoderner industrialisierter Gesellschaftendurch ihre Abhängigkeit von einer Vielfaltvon nationalen und internationalenInformationsinfrastrukturen. Diese sinddas vernetzende Führungselement zwischenanderen Elementarbereichen undsomit Grundvoraussetzung für das Funktionierenaller anderen Infrastrukturen. Siemachen heute einen zentralen Bestandteilder ökonomischen Wertschöpfung aus.Dabei gelten sie nicht nur als inhärent unsicher,sondern sind auch ganz besondersanfällig für asymmetrische Massnahmen.Von Hackern zu TerroristenFür die weltweite Verbreitung des CIP-Konzeptswar die 1997 in den USA vorgelegteStudie «Critical Foundations: ProtectingAmerica’s Infrastructures» der President’sCommission on Critical InfrastructureProtection (PCCIP) massgebend. Die Studiengruppeuntersuchte Schwachstellender Sicherheit in acht Sektoren: Telekommunikation,Stromversorgung, Gas- undÖltransporte und -lager, Banken und Finanzen,Verkehr, Wasserversorgungssysteme,Rettungsdienste und öffentliche Verwaltung.Sie stellte fest, dass die USA vonPhysischeSicherheitCyber-Angriff(auch zur Identifikation von Zielen)Physische Attackengegen InfrastrukturCyber-SicherheitZIELE:Anlagen/EinrichtungenMenschenMedienWirtschaftComputerInformationdiesen Infrastrukturen so abhängig seien,dass die Regierung sie durch einen «nationalenSicherheitsfokus» betrachten müsse,da ein längerer Ausfall gravierende Folgenfür die gesamte Nation haben könnte.Gemäss diesem Ansatz sind kritischeInfrastrukturen zu verstehen als materielleund informationstechnologische Einrichtungen,Netze, Dienste und Anlagegüter,deren Störung oder Vernichtung gravierendeAuswirkungen auf die Gesundheit,die Sicherheit oder das wirtschaftlicheWohlergehen der Bürger sowie auf daseffiziente Funktionieren der Regierungeines Landes hätte. Diese Infrastrukturenkönnen sowohl durch strukturelle Gefahrenals auch durch bewusste Angriffevon Akteuren Schaden erleiden. Zur erstenKategorie von Risiken zu zählen sind etwaNaturkatastrophen, zivilisatorische Katastrophen(z.B. Staudammbruch, AKW-GAU),Personalausfall durch Streik oder Epidemie,organisatorische Mängel technischer oderpersoneller Natur, menschliches Fehlverhalten,technische Störungen sowie Abhängigkeitenund Versorgungsengpässe.Das Spektrum möglicher Angreifer, diezweite Kategorie, ist weit gespannt undreicht vom gelangweilten Teenager überverärgerte oder unzufriedene Mitarbeiter,Industriespione, organisiertes Verbrechen,Fanatiker und Terroreinheiten bis hin zufeindlichen Staaten.Vielfältig sind auch die Angriffsoptionen,die Hackerangriffe genauso umfassenwie die physische Zerstörung ziviler odermilitärischer Einrichtungen. Das Hauptaugenmerkder frühen amerikanischen CIP-Bemühungen lag jedoch eindeutig auf dennoch weitgehend unbekannten Risiken ausdem Cyberspace: die globale Informationsinfrastrukturschien anonyme Angriffe vonüberall auf der Welt zu ermöglichen undmachte gleichzeitig Hackertools für jedermanneinfach zugänglich. Aufgrund dieserBedrohungswahrnehmung bildete sichunter US-Präsident Bill Clinton eine CIP-Politik heraus, die zu einem grossen Teil aufInformationssicherheit ausgerichtet war.Seit den Terroranschlägen vom 11. September2001 lässt sich allerdings eine Rückkehrdes klassischen Bedrohungskonzeptes indie CIP-Debatte feststellen. Insbesondereaus Sicht der Vereinigten Staaten wird seithereine Reihe von strukturellen Gefahrenvermehrt im Rahmen einer akteursorientiertenStrategie der Terrorismusbekämpfungangegangen. CIP wurde in den USAzu einem zentralen Bestandteil von HomelandSecurity und wird heute vornehmlichmit Blick auf Strategien gegen den islamistischenTerrorismus diskutiert. PhysischeAspekte von CIP sind in den Vordergrundgerückt, Informationsaspekte hingegen habenan Bedeutung verloren. Eine solche aufTerrorabwehr zugeschnittene Ausrichtungvon CIP prägt heute auch die Debatten inder EU, die unlängst mit der Entwicklungeiner – vor allem die Massnahmen ihrerMitgliedstaaten koordinierenden – CIP-Politik begonnen hat.Herausforderungen für einewirksame CIP-PolitikDas amerikanische Beispiel und die bisherigenErfahrungen weiterer Länder lassenauf vier, teilweise eng verknüpfte Herausforderungenfür eine wirksame CIP-Politikschliessen. Erstens ist eine fundierte Einschätzungvon Art und Ausmass der relevantenRisiken und Bedrohungen erforderlich.Statt des derzeit einseitigen Fokus aufden Terrorismus sollte CIP wieder einembreiteren Ansatz folgen und sich mit derAnfälligkeit hochkomplexer Systeme generellbefassen. Bezüglich einer differenziertenLageanalyse kommt den Nachrichtendiensteneine wichtige Rolle zu. Sieist umso wichtiger, als je nach Gefahr dieVerantwortlichkeiten anders liegen undSchutzpraktiken anders zu gestalten sind.Um den Schutz vor Gefahren und Risikenim «normalen» Rahmen – dazu gehörenetwa neben Hackerangriffen auch kleinerenatürliche Katastrophen – muss derInfrastrukturbetreiber selber bemüht sein.Vom Staat hingegen wird erwartet, dass erSchutz vor Gefahren einer höheren Stufebieten kann, wie zum Beispiel Angriffe vonTerroristen und anderen Staaten.Zweitens braucht es ein grösseres Verständnisder Verwundbarkeiten, inklusiveder Interdependenzen zwischen Infrastrukturen.Es hat sich gezeigt, dass aufgrundhochkomplexer Systeme die bestehende© 2007 Center for Security Studies (CSS), ETH Zürich

CSS Analysen zur SicherheitspolitikNr. 16 • Juni 2007 • 2. JahrgangMethodik nicht ausreicht, um die ganzeSpannweite des Problems zu erfassen. Instrategischer Hinsicht geht es im Gegensatzzum dominierenden «technischen Zugang»oft weniger darum, Risiken «objektiv»zu quantifizieren und zu messen, alssie in ihrem gesellschaftlichen, politischinstitutionellen,kulturellen oder ökonomischenKontext zu verstehen.Drittens gilt es die Frage zu beantworten,was eine Infrastruktur überhaupt «kritisch»macht. Nach 9/11 wurde die Listevon kritischen Infrastrukturen in den USAstark ausgeweitet: Kritisch ist nun auch,was Rückwirkungen auf die Psyche unddie nationale Moral haben könnte. Diesführt zu fast unüberwindbaren Problemenfür die Konzeption von Schutzmassnahmen:Wie kann man Sicherheit gewähren,wenn potentiell fast alles kritisch unddeshalb schützenswert ist? Schwellenwertezwischen «normal» und «kritisch»dürfen nicht zu tief angesetzt werden.Eine sinnvolle Priorisierung ist zentral.Dies wiederum ist nur mit umfassendenRisikoanalysen möglich. Die hypothetischeVerwundbarkeit eines Ziels reicht nicht alsIndikator dafür aus, ob dieses Ziel geschütztwerden muss. Vielmehr braucht esfür die sinnvolle Abwägung von Kritikalitätauch Wissen über konkrete Bedrohungenund die Tragweite und Schwere eines möglichenSchadenfalls.Viertens erfordert CIP umfassende Kooperation.Eine funktionierende Partnerschaftzwischen Staat und Wirtschaft ist unabdingbar.Die Liberalisierung vieler Bereichedes öffentlichen Sektors seit den 1980erJahren und der Globalisierungsprozess habendazu geführt, dass sich heute ein grosserTeil der kritischen Infrastrukturen in privaterHand befindet. Der Wirtschaft kommtdeshalb sowohl bei der Definition als auchbei der Umsetzung einer Schutzpolitik einebedeutende Rolle zu. Eine wirksame CIP-Politik bedarf aber auch der Kohärenz zwischenden verschiedenen staatlichen Stellensowie der internationalen Kooperation.Terroristische Handlungen und sonstigeStraftaten wie auch Natur- und sonstigeKatastrophen machen nicht an Ländergrenzenhalt, weshalb auch Gegenmassnahmeninternational zu koordinieren sind.CIP-Timeline der SchweizNovember 1997: Strategische Führungsübung 1997 (SFU 97), Übungsszenario setzt schweizerischeInformationsinfrastruktur elektronischen Attacken aus. Resultat: DringlicherVorschlag, einen Sonderstab Informationssicherheit für Krisenbewältigung auf Stufe Bundeinzurichten.Juni 2001: Übung INFORMO, «Krisen ausgelöst durch Störungen in der Informationsinfrastruktur»,Test des Sonderstabs Information Assurance (SONIA).2001: Die Stiftung InfoSurance führt Roundtables zum Thema „Risiken und Abhängigkeitenin der Informationsgesellschaft” in verschiedenen Sektoren durch, ab 2004 vom Bundesamtfür wirtschaftliche Landesversorgung (BWL) übernommen.Oktober 2003: Gründung der Melde- und Analysestelle Informationssicherung (MELANI).Juni 2006: Der Bundesrat beschliesst, dass unter der Leitung des BABS als Grundlage füreine zukünftige Strategie der Handlungsbedarf konkretisiert und entsprechende Massnahmenerarbeitet werden sollen. Die Bestandesaufnahme soll u.a. die folgenden Elementeumfassen: Gemeinsames, abgestimmtes Begriffsverständnis, Identifikation der für dieSchweiz relevanten kritischen Infrastrukturen und ein Grundset an Gefährdungsszenarien.Bedeutung für die SchweizAuch in der Schweiz beschäftigen sichauf Bundesebene bereits mehrere Stellenmit dem Schutz kritischer Infrastrukturen,allerdings mit stark unterschiedlichenBlickwinkeln und kaum koordiniert. Folgerichtigwurde das Bundesamt für Bevölkerungsschutz(BABS) Mitte 2005 vomBundesrat beauftragt, zusammen mit allenbeteiligten Departementen den Handlungsbedarfzu identifizieren und entsprechendeMassnahmen zu erarbeiten.Analysiert man den heutigen Stand derSchweizer CIP-Bemühungen anhand deroben identifizierten vier Herausforderungen,so ergibt sich ein differenziertesBild: Bezüglich der Lageeinschätzung kanndie Schweiz im Bereich der Informationssicherheiteinen auch im internationalenVergleich erfolgreichen Ansatz vorweisen.Die Melde- und Analysestelle Informationssicherung(MELANI) hat sich nicht zuletztaufgrund einer engen Anbindung anden Inland-Nachrichtendienst (DAP) alswirksames Instrument erwiesen. In Bezugauf eine CIP-Strategie sollte auf dieserBasis aufgebaut werden. Darüber hinaussollte ein breites Netz von Experten zurkontinuierlichen Einschätzung der Bedrohungeinbezogen werden.Ansätze zur Erfassung von Verwundbarkeiten,die über die klassische Risikoanalysehinausgehen, sollte die Schweizsystematisch auf ihre Nützlichkeit prüfen.Darüber hinaus kann ein besseresund umfassendes Verständnis der Verwundbarkeitennur über interdisziplinäreund vor allem internationale Forschungerreicht werden, wie sie die EU in ihrem7. Rahmenprogramm ab 2008 in diesemThemenbereich priorisiert und fördert.Die Schweiz darf diese Entwicklung nichtverpassen und sollte bemüht sein, die entsprechendenForschungsprogramme aktivmitzugestalten.Die Festlegung von Schwellenwerten inBezug auf die Kritikalität von Infrastrukturenerfordert eine politische Debatte, diein der Schweiz noch nicht stattgefundenhat. Notwendig ist in diesem Bereich auchein staatliches Informations- und Kommunikationskonzept.Bei der Erfassung vonKritikalität und Verwundbarkeit ist zudemeine departementsübergreifende Vorgehensweisemit einer einheitlichen Methodikanzustreben, die auch nichtstaatlicheAkteure einbindet.Hinsichtlich der Notwendigkeit umfassenderKooperation schliesslich lassen sichim Fall der Schweiz besondere Stärken wieauch beträchtliche Defizite ausmachen.Das schweizerische Milizsystem, d.h. dieenge Bindung zwischen Staat und Wirtschaft,gewährt einen wichtigen Vorteilbei der Einbindung des Privatsektors in dieRisikoanalyse. Hier wird es darum gehen,bereits bestehende öffentlichprivatePartnerschaften auf der Ebene vonBundesämtern auch für eine SchweizerGesamtstrategie im CIP-Bereich nutzbarzu machen und bestehende Vertrauensstrukturenauszubauen. Handlungsbedarfhat die Schweiz hingegen in der internationalenZusammenarbeit zum Schutz kritischerInfrastrukturen: SektorspezifischeVereinbarungen über die Entwicklung einheitlicherStandards, gemeinsame Untersuchungenüber CIP, die Ermittlung gängigerBedrohungsarten und der Austauschbewährter Schutzpraktiken sollten zentraleElemente einer zukünftigen SchweizerKooperationsstrategie sein. Gerade weildie Schweiz günstige Voraussetzungen füröffentlich-private Partnerschaften hat,sollte sie die von ihr entwickelten Lösungsansätzeauch vermehrt in die internationaleCIP-Debatte einfliessen lassen.Verantwortlicher Editor: Daniel Möcklianalysen@sipo.gess.ethz.chBezug und Mailingliste:www.ssn.ethz.ch© 2007 Center for Security Studies (CSS), ETH Zürich