KIT Report Kritische Infrastrukturen

___________________________________________________________________________Friedmar Fischer; 1Kritische Infrastrukturen: Denkweisen, Zusammenhänge, Visualisierungen

Kritische Infrastrukturen

Denkweisen, Zusammenhänge,Visualisierungen

Dr. Friedmar Fischer

Karlsruher Institut für Technologie(K.I.T.)

Institut für Kern- und Energietechnik(IKET)

Campus Nord

Mai 2010


Inhaltsverzeichnis

1 Vorwort .................................................................................................................... 3

2 Einleitung................................................................................................................. 5

3 Internationale/nationale Arbeiten ............................................................................. 63.1 Europa .............................................................................................................. 63.2 Deutschland .................................................................................................... 12

3.2.1 Kleiner Exkurs zur Kritikalitätsmatrix ........................................................ 243.3 Schweiz........................................................................................................... 26

3.3.1 Auswirkungen auf andere Teilsektoren (Dependenzkriterium) ................. 323.3.2 Ergebnis der Gesamt-Kritikalitätsbewertung ............................................ 36

3.4 Würdigung früherer Untersuchungen zur Sicherheit kritischer Infrastrukturen 38

4 Visualisierung der Vernetzung von KI – Sektoren und ihrer Elemente .................. 414.1 Erfassung der KI-Sektoren und ihrer Komponenten........................................ 454.2 Darstellung von KI - Wirkungsbeziehungen .................................................... 514.3 Einflussanalyse/Wirkungsanalyse................................................................... 534.4 Kritikalitätsüberlegungen................................................................................. 63

5 Visualisierung (kompakt) der Vernetzung von acht KI – Sektoren......................... 675.1 Wirkungsdarstellung und –analyse (kompakt) ................................................ 675.2 Vergleich mit früheren kompakten KI – Untersuchungen................................ 72

5.2.1 Kritikalitätsüberlegungen .......................................................................... 76

6 Hinweis auf aktuelle Forschungsprojekte .............................................................. 79

7 Schlussbetrachtung ............................................................................................... 84

Anhang 1 .................................................................................................................. 85

Anhang 2 .................................................................................................................. 92

Quellenverzeichnis ................................................................................................... 95

Abbildungsverzeichnis .............................................................................................. 99

Tabellenverzeichnis................................................................................................ 100


1 Vorwort

Einen gewissen Überblick über ältere und neuere internationale wissenschaftlicheArbeiten zum Schutz kritischer Infrastrukturen geben die Berichte [Ref. 1], [Ref. 4],[Ref. 5], [Ref. 6], [Ref. 7]. Dabei sind manchmal die Grenzen zwischen Aktivitäten fürkritische Infrastrukturen und Überlegungen zum Schutz kritischer Informations-Infrastrukturen fließend.

Im vorliegenden Bericht wird u.a. angedeutet, welche Anstrengungen - über deneigenen nationalen Tellerrand hinaus - unternommen wurden, um sich dem Themader kritischen Infrastrukturen zu nähern.

Zum tieferen Verständnis ist es unerlässlich, Begriffe zu erläutern, Strukturen zubeschreiben, Interdependenzen aufzuzeigen und schließlich auch Kriterien zurBewertung von Abhängigkeiten kritischer Teilinfrastrukturen im Störfall zu definieren.

Nach der Einleitung wird in Kapitel 3 ein Überblick über wesentliche europäischeBemühungen zur Sicherheit kritischer Infrastrukturen gegeben, getragen von derAbsicht

Begrifflichkeiten zu klären, Vergleichbarkeiten anzustreben, unterschiedliche Sichtweisen und deren Hintergründe herauszufinden, behördliche Leitfäden anzubieten, Bewertungskriterien für komplexe Abhängigkeitsverhältnisse der Elemente

von kritischen Strukturen zu entwickeln.

In Deutschland hat man sich inzwischen auf acht wesentliche kritische Infrastrukturengeeinigt, deren Elemente jedoch eine komplexe Vernetzung untereinanderaufweisen.

In Kapitel 4 und 5 werden die kritischen Infrastrukturen mit ihren inhärentenAbhängigkeiten das eine Mal ausführlich (38 Struktur-Elemente), das andere Malkompakt (8 Struktur-Elemente) visualisiert. Gegenseitige Beeinflussung bzw.Einflussnahme kann so sichtbar gemacht werden. Dazu wird als Werkzeug einVerfahren zur Visualisierung des vernetzten Denkens, die GAMMA-Methode(GAnzheitliche Modellierung und MAnagement komplexer Systeme [Ref. 39]),benutzt. Bereits in einer früheren Arbeit [Ref. 2] wurde anhand von zweiausgewählten praktischen Beispielen kritischer Infrastrukturen (dieFunktionssicherheit der Stromversorgung in einem Krankenhaus und dieVersorgungssicherheit der Treibstoffversorgung) gezeigt, wie man die komplexenZusammenhänge dieser Teilstrukturen fassbar abbilden kann.

Visualisierte Darstellungen von Wirkungsgefügen der Systeme kritischerInfrastrukturen können nur ein helfendes Werkzeug und eine Anregung sein,Komplexität sichtbar und durchschaubar zu machen. Die Darstellung und dieSchlußfolgerungsmöglichkeiten sind nur so gut, wie die notwendige Einbringung von


Expertenwissen und die Diskussion im Team über Einflussgrößen und derenAbhängigkeiten erfolgt sind.

Das gewählte Visualisierungsverfahren kann dabei helfen, bei der Analyse komplexerSysteme nicht Wesentliches ausser Acht zu lassen.

In den Unterkapiteln 4.4 und 5.2.1 wie auch bereits vorher in Kapitel 3.2.1 findenBewertungsmodelle Anwendung, die die „relative“ Bedeutsamkeit der kritischenInfrastrukturelemente in Bezug auf die Konsequenzen einer Störung (z.B.Funktionsausfall) einer kritischen Infrastruktur messen (Kritikalitätsbetrachtungen).Hier wird zurückgegriffen auf die Methode AKIS (Methode zur Analyse der kritischenInfrastruktursektoren), Bundesamt für Sicherheit in der Informationstechnik (BSI),Deutschland, 2008, [Ref. 29], Wolthusen [Ref. 35] und mehrere Arbeiten [Ref. 9],[Ref. 12], [Ref. 47] des schweizerischen Bundesamtes für Bevölkerungsschutz(BABS) und der ETH Zürich.

Schließlich wird in Kapitel 6 ein Hinweis auf aktuelle Forschungsprojekte desdeutschen Bundesministeriums für Bildung und Forschung (BMBF) zur Sicherheitkritischer Infrastrukturen gegeben.

Die vorliegende Arbeit entstand im Rahmen des Projekts SIMKRIT: „SimulationKritischer Infrastrukturen für das Krisenmanagement“ am Karlsruher Institut fürTechnologie (K.I.T).

Der Projektbericht kann helfen, einen Teil der folgenden Fragen zu beantworten:

Welche Modellansätze und Modelle existieren zur Abbildung kritischerInfrastrukturen und deren Vernetzung, die im Bereich der Bewältigung vonSchadensereignissen aber auch bereits in der Planungsphase eingesetztwerden können, und welche Anforderungen werden an sie gestellt?

Welche Ansätze zur Entscheidungsunterstützung vermögen es, diekomplexen Zusammenhänge zwischen den kritischen Infrastrukturen für einenEntscheidungsträger fassbar abzubilden und zu bewerten?

D.h. Wie kann das Verhalten kritischer Infrastrukturen visualisiert, simuliertund zur Entscheidungsfindung genutzt werden?

In Anhang 1 werden die Kritikalitätsüberlegungen [Ref. 12] des schweizerischenBundesamtes für Bevölkerungsschutz (BABS) und der ETH Zürich imZusammenhang wiedergegeben.

Anhang 2 stellt zusätzlich zu den im vorliegenden Bericht erwähnten Detail-Infrastrukturen (Funktionssicherheit Stromversorgung im Krankenhaus,Funktionssicherheit Treibstoffversorgung) aus dem kritischen Infrastruktur-Sektor„Versorgung“ drei Diagramme aus dem Infrastruktur-Sektor „Transport und Verkehr“bereit, die Grundlage vertiefter Wirkungs- und Dependenz-Analysen sein könnten.Das setzt jedoch entsprechendes Expertenwissen über Zusammenhänge voraus.


2 Einleitung

ReineTechnik-Aspekte allein sind es inzwischen nicht mehr, die den Schwerpunktder Untersuchung des Schutzes von kritischen Infrastrukturen wie z.B.Energieversorgung, finanzielle Dienstleistungen, Gesundheitswesen, Transport undVerkehr usw. bilden. Es werden auch Aspekte äußerer und innerer Bedrohungen z.B.durch Terroranschläge, durch Natur- und Technik-Katastrophen einbezogen. Es seiaktuell (April 2010) erinnert an den Ausbruch des Vulkans in Island und dessenAuswirkungen auf den Flugverkehr im europäischen Luftraum oder an dieGefährdung des Lebensraums und die Störungen der Umwelt für einige Südstaatender USA durch den Untergang einer Bohrinsel im Golf von Mexico, ebenfalls im April2010.

Kritische Infrastrukturen sind in den meisten Industrieländern zudem vernetzt ggf.sogar auch über die Staatsgrenzen hinaus. Das macht deren Schutz alszusammenhängendes System eher schwierig. Die Mehrheit dieser Infrastrukturenbefindet sich in nicht-staatlicher Hand ggf. also in der Hand miteinanderkonkurrierender Unternehmungen, die aus Wettbewerbsgründen zeit- undkostenoptimal agieren müssen. Das ist für die Sicherheit von kritischenInfrastrukturen nicht eben förderlich. Es spricht also alles dafür über Staatsgrenzenhinweg, dass Wirtschaft und Staat zusammenarbeiten und gemeinsameSchutzkonzepte entwickeln.

Nach [Ref. 3] sind „kritische Infrastrukturen die Lebensader von Staat, Gesellschaftund Wirtschaft. Ihr Schutz und die Gewährleistung einer zuverlässigen Versorgungist eine der vordringlichsten Aufgaben im Bereich der Notfallvorsorge undNotfallplanung. Zuständig für die Sicherheit der Einrichtungen und den Schutzdes Personals sind zwar vorrangig die Unternehmen, aber auch der Staat trägtVerantwortung für die Sicherheit und den Schutz seiner Bürger. Damitüberlappen sich staatliche, gesellschaftliche und unternehmerischeVerantwortungsbereiche für den Schutz kritischer Infrastrukturen (KRITIS),gleichzeitig stützen und ergänzen sie sich aber auch.

Damit Staat und Wirtschaft ihre gemeinsame Verantwortung für den SchutzKritischer Infrastrukturen wahrnehmen können, ist es notwendig, bereits im Vorfeldvon Ereignissen Strukturen, Funktionen und Verfahren des Partners – das„Ticken” des Gegenübers – zu kennen. Ein vertrauensvoller, intensiver Dialogzwischen Staat und Wirtschaft auf Augenhöhe im Zuge der Vorsorge- undMaßnahmeplanung sowie eine enge Kooperation im Ereignisfall sind derrichtige Weg für eine Erfolg versprechende Arbeit zum Schutz kritischerInfrastrukturen und dienen dazu, gesamtstaatliche Sicherheit alspartnerschaftliche Aufgabe zu verstehen und wirkungsvoll umzusetzen.“

Es wurden in diesem Sinne auf internationaler und deutscher Ebene großeAnstrengungen unternommen, Aufgaben zu definieren, Begrifflichkeiten zu klären,Verantwortlichkeiten zu beschreiben.


3 Internationale/nationale Arbeiten

Einen gewissen Überblick über ältere und neuere internationale wissenschaftlicheArbeiten zum Schutz kritischer Infrastrukturen (SKI) (oder im englischenSprachraum: CIP = Critical Infrastructure Protection) geben die Berichte [Ref. 1],[Ref. 4], [Ref. 5], [Ref. 6], [Ref. 7]. Dabei sind manchmal die Grenzen zwischenAktivitäten für kritische Infrastrukturen (SKI, CIP) und Überlegungen zum Schutzkritischer Informations-Infrastrukturen (CIIP) fließend.

Im vorliegenden Bericht wird u.a. angedeutet, welche Anstrengungen - über deneigenen nationalen Tellerrand hinaus - unternommen wurden, um sich dem Themader kritischen Infrastrukturen zu nähern.

Zum tieferen Verständnis ist es unerlässlich, Begriffe zu erläutern, Strukturen zubeschreiben, Interdependenzen aufzuzeigen und schließlich auch Kriterien zurBewertung von Abhängigkeiten kritischer Teilinfrastrukturen im Störfall zu definieren.

3.1 Europa

Nach [Ref. 8] lag die Europäische Union (EU) beim Schutz Kritischer Infrastrukturenviele Jahre hinter den Einzelstaaten zurück. In der Zwischenzeit befasst sich die EUmittlerweile weitaus stärker mit dem Thema.

Die Tabelle 1 aus [Ref. 8] zeigt, dass es zwischen den Ländern unterschiedlicheAuffassungen gibt, welche Infrastrukturen als kritisch zu betrachten sind.

Tabelle 1: Vergleich der KI-Sektoren in ausgewählten Ländern [Ref. 8](X = KI-Sektoren, x = Teilsektoren in der Schweiz)


Diese Unterschiede lassen sich u.a. aufgrund geographischer Begebenheiten,wirtschaftlicher und politischer Ausprägung und historischen und kulturellenErfahrungen erklären. Gemeinsam ist jedoch, dass sie allesamt die sieben BereicheEnergie, Finanzen, Gesundheit, Informations- und Telekommunikationstechnologie,Lebensmittel, Transport sowie Wasser (in der Schweiz den Sektoren Nahrung undEntsorgung zugeteilt) zu den Kritischen Infrastrukturen zählen.

Homogenisierung und Verständigung auf gemeinsame Begriffe und Ziele ist alsodurchaus angebracht

Nach [Ref. 14] präsentieren eine Reihe von Institutionen Projekte im Internet zumThema Schutz kritischer Infrastrukturen. Die in [Ref. 14] aufgeführten externen Linkslassen den Stand der nationalen kritischen Infrastruktur (KRITIS)-Initiativen einerseitsund die Bemühungen um ihre internationale Vernetzung andererseits (z. B. EU)erkennen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe [Ref. 15] schreibtzum Beispiel zum Grünbuch und Richtlinienentwurf der EU-Kommission:

„So genannte kritische Infrastrukturen (KRITIS) sind für das Funktionieren modernerGesellschaften unverzichtbar und lebensnotwendig. Dass bestimmte kritischeInfrastrukturen einen unbestreitbaren internationalen Bezug haben, hat derStromausfall im europäischen Übertragungsnetz am 04.11.2006 drastischverdeutlicht. Es ist daher nur folgerichtig, dass sich neben den nationalstaatlichenBemühungen auch die Europäische Union (EU) mit dem Schutz KritischerInfrastrukturen auf ihrer Ebene befasst (CIP - Critical Infrastructure Protection).Neben den Energieversorgungsnetzen haben vor allem die großenVerkehrsinfrastrukturen, aber auch die Informations- undTelekommunikationsinfrastrukturen und einige andere Versorgungsinfrastrukturengrenzüberschreitenden Charakter. Von Störungen oder Ausfällen solcherInfrastrukturen können grundsätzlich mehrere Mitgliedstaaten der EuropäischenUnion betroffen sein.

Mit der Absicht, den Schutz kritischer Infrastrukturen in Europa zu verbessern, hatdie Europäische Kommission im Dezember 2006 den Entwurf für eine diesbezüglicheRichtlinie des EU-Rates vorgelegt. Der Richtlinienentwurf beruht auf dem sogenannten Grünbuch der EU-Kommission über ein Europäisches Programm fürden Schutz kritischer Infrastrukturen (EPSKI) vom November 2005. Darin werdenMaßnahmen vorgeschlagen, wie kritische europäische Infrastrukturen zu ermittelnund auszuweisen sind. Hinzu kommen Kriterien zur Bewertung der Notwendigkeit,den Schutz dieser Infrastrukturen zu verbessern.

Mit dem vom Bundesministerium des Innern (BMI) herausgegebenen und vomBundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam mitdem Bundeskriminalamt (BKA) erarbeiteten Basisschutzkonzept, das Empfehlungenfür Unternehmen zur Überprüfung und Verbesserung ihres Schutzniveaus enthält,hat Deutschland bereits einen wichtigen Beitrag zum Schutz kritischer Infrastrukturengeleistet. Auch für Unternehmen in anderen europäischen Staaten kann dieseBroschüre von Nutzen sein. Das BBK wird sich aktiv an der Diskussion desRichtlinienentwurfes beteiligen, Methodenvorschläge zur Risikoanalyse kritischer


Infrastrukturen einbringen und die deutschen Ansätze für Basis- undSpezialschutzkonzepte weiterentwickeln. Konkrete Produkte zur Verbesserung desInfrastrukturschutzes können auf den Seiten des BSI (Bundesamt für Sicherheit inder Informationstechnik) sowie auf der Homepage des BBK unterPublikationen/Fachpublikationen/Leitfäden herunter geladen werden.“

Das Grünbuch [Ref. 16] dient in erster Linie dazu, möglichst viele Akteure in dieDiskussion um das europäische Programm für den Schutz kritischer Infrastruktureneinzubeziehen und ihre Meinung zu den hier vorgestellten Optionen in Erfahrung zubringen. Ein effizienter Schutz kritischer Infrastruktureinrichtungen setztKommunikation, Koordination und Kooperation sowohl auf nationaler als auch aufEU-Ebene unter Einbeziehung aller Beteiligten voraus – Eigentümer/Betreiber vonInfrastrukturen, Behörden, Berufs- und Industrieverbände in Zusammenarbeit mitallen Regierungsebenen und der Öffentlichkeit.

Im Grünbuch werden Optionen vorgestellt, wie die Kommission der Aufforderung desRates zur Ausarbeitung eines Europäischen Programms für den Schutz kritischerInfrastrukturen (EPSKI) sowie eines entsprechenden Warn- und Informationsnetzes(WINKI) nachkommen kann.

Das EPSKI soll bei kritischen Infrastrukturen unionsweit angemessene, gleicheSicherheitsschutzstufen gewährleisten, Schwachstellen minimieren und zügige,erprobte Verfahren zur Wiederherstellung normaler Verhältnisse bereitstellen. DasSchutzniveau ist u. U. nicht für alle kritischen Infrastrukturen gleich und kann davonabhängen, wie sich der Ausfall einer KI auswirkt. Das EPSKI ist kein statischesGebilde, sondern muss regelmäßig überprüft werden, um neuen Problemen undAnforderungen gerecht werden zu können.

Die Konzeption des EPSKI sollte sich im Wesentlichen an folgenden Grundsätzenorientieren:

Subsidiarität – Subsidiarität steht im Mittelpunkt des EPSKI, denn der Schutzkritischer Infrastrukturen ist zuallererst eine nationale Aufgabe.Hauptverantwortung für den Schutz kritischer Infrastrukturen tragen dieMitgliedstaaten und Eigentümer/Betreiber, die auf einer gemeinsamenGrundlage handeln. Die Kommission konzentriert sich ihrerseits auf diegrenzübergreifenden Aspekte. An der Verantwortung derEigentümer/Betreiber, selbst den Schutz ihrer Anlagen zu planen und darüberzu entscheiden, sollte sich nichts ändern.

Komplementarität – Mit dem EPSKI werden bereits bestehende Maßnahmenergänzt. Sind auf Gemeinschaftsebene bereits Mechanismen vorhanden,sollten sie weiter genutzt werden, um so zur Umsetzung des EPSKIbeizutragen.

Vertraulichkeit – Informationen über den Schutz kritischer Infrastrukturenwerden auf der Basis von Vertrauen und Vertraulichkeit ausgetauscht. Dies isterforderlich, da bestimmte Informationen über eine kritische Infrastruktur dazubenutzt werden können, ihren Betrieb zu stören oder andere untragbareKonsequenzen herbeizuführen. Den Schutz kritischer Infrastrukturen

http://www.bsi.bund.de/

http://www.bsi.bund.de/

http://www.bbk.bund.de/cln_007/nn_1070154/DE/05__Publikationen/05__Fachpublikationen/03__Leitfaeden/Leitfaeden__node.html__nnn=true


betreffende Informationen werden sowohl auf EU- als auch auf nationalerEbene als Verschlusssache behandelt, zu der nur die Personen Zugangerhalten, die Kenntnis von der Sache nehmen müssen.

Mitwirkung der Stakeholder – Alle Stakeholder einschließlich derMitgliedstaaten, der Kommission, der Wirtschaftsverbände,Normungsgremien, Eigentümer/Betreiber von Infrastruktureinrichtungen undNutzer (‚Nutzer’ sind Organisationen, die eine Infrastruktur gewerblich und zurErbringung von Dienstleistungen betreiben und nutzen) haben einen Beitragzum Schutz kritischer Infrastrukturen zu leisten. Alle Stakeholder solltenentsprechend ihren jeweiligen Aufgaben und Zuständigkeitsbereichenzusammenarbeiten und an der Entwicklung und Umsetzung des EPSKImitwirken. Die Federführung und Koordination bei der Ausarbeitung undUmsetzung eines landesweit kohärenten Konzepts für den Schutz kritischerInfrastrukturen obliegt den Behörden der Mitgliedstaaten innerhalb ihresZuständigkeitsbereichs. Die Eigentümer/Betreiber und Nutzer derInfrastruktureinrichtungen arbeiten sowohl auf einzelstaatlicher als auch aufEU-Ebene aktiv mit. Normungsorganisationen könnten gegebenenfallseinheitliche Normen für die Bereiche setzen, für die es noch keineinternationalen oder sektorspezifischen Normen gibt.

Verhältnismäßigkeit – Die Schutzstrategien und -maßnahmen müssen imVerhältnis zu dem jeweiligen Risiko stehen, da nicht alleInfrastruktureinrichtungen vor allen Risiken geschützt werden können(Stromnetze zum Beispiel sind zu weitläufig, um umzäunt oder bewachtwerden zu können). Durch die Anwendung geeigneter Risikomanagement-Techniken kann die Aufmerksamkeit auf die am stärksten gefährdetenBereiche konzentriert werden, wobei die Bedrohung, die relative Kritikalität,das Kosten-Nutzen-Verhältnis, der Grad des Sicherheitsschutzes und dieWirksamkeit der verfügbaren Risikominimierungsstrategien berücksichtigtwerden.

Kritische Infrastrukturen sollten in der EU mit Hilfe eines gemeinsamen EPSKI(Festlegung gemeinsamer Ziele, Methoden z. B. für Vergleiche, Interdependenzen)sowie dem Austausch bewährter Praktiken und mit Konformitätskontrollen geschütztwerden. Ein solcher gemeinsamer Rahmen umfasst u. a.:

gemeinsame Grundsätze für den Schutz kritischer Infrastrukturen gemeinsam festgelegte Verhaltensweisen/Standards gemeinsame Definitionen, auf deren Grundlage sektorspezifische Definitionen

festgelegt werden können[Ref. 16, Annex 1] eine gemeinsame Liste der einschlägigen Sektoren (Vorschlag siehe [Ref. 16,

Annex 2] und Tabelle 2 weiter unten) die Festlegung prioritärer Bereiche für den Schutz kritischer Infrastrukturen eine Beschreibung der Verantwortungsbereiche aller Beteiligten vereinbarte Benchmarks Methoden für den Vergleich von Infrastrukturen in verschiedenen

Wirtschaftszweigen und die Festlegung von Prioritäten.


Tabelle 2: Liste von Sektoren mit kritischen Infrastrukturen [Ref. 17]

Im Dezember 2009 wurde der Abschlussbericht des European Security Researchand Innovation Forum (ESRIF) [Ref. 18] bzw. www.esrif.eu, das unter deutscherRatspräsidentschaft 2007 von der EU-Kommission und den Mitgliedstaaten initiiertwurde, veröffentlicht. An dem ESRIF-Abschlussbericht hatten über 600 Experten aus27 europäischen Staaten in elf thematischen Arbeitsgruppen mitgewirkt.

Empfehlungen der Studie u.a aus BBK-Sicht.:

die Stärkung der „Krisenbewältigungsfähigkeiten“ der Bevölkerung, die Verbesserung der Fähigkeiten zu grenzüberschreitender, transnationaler

Zusammenarbeit, Kooperation und Koordinierung im Krisenmanagement, die Verbesserung der Kommunikation zwischen verschiedenen Einsatzkräften

untereinander, zwischen Krisenmanagementkräften und der Bevölkerungsowie der Medien,

www.esrif.eu


die Intensivierung multinationaler Ausbildung und Übungen sowie desErfahrungsaustausches.

In der ESRIF - Arbeitsgruppe 2 „Sicherheit kritischer Infrastrukturen“ wurden folgendeAspekte skizziert:

Risiken, Herausforderungen Fähigkeiten, Lücken Forschungsnotwendigkeiten und –prioritäten Neue kritische Infrastrukturen

([Ref. 18]): biodiversity, effects of illegal toxic and other dumping, externalities from marine

exploitation including deepwater trawling, oil and gas industry etc.) Notwendigkeit systemischen (vernetzten, holistischen) Forschens

Schließlich sei noch ein von der Europäischen Union gefördertes Projekt „Design ofan interoperable European federated simulation network for crititical infrastructures“(DIESIS) [Ref. 19] (vor allem für kritische Informationsinfrastrukturen) erwähnt mitden Konsortialpartnern:

Fraunhofer-Institute for Intelligent Analysis and Information Systems (IAIS) Germany Consorzio Campano di Ricerca per l`Informatica e l`Automazione Industriale (CRIAI) Italy Ente per le Nuove Tecnologie, l'Energia e l'Ambiente (ENEA), the Italian National Agency for

New Technologies, Energy and the Environment Imperial College London (ICL), United Kingdom De Nederlandse organisatie voor toegepast natuurwetenschappelijk onderzoek (TNO) - The

Netherlands Organisation for Applied Scientific Research, Netherlands

Nach [Ref. 19] ist die Forschung im Bereich komplexer Infrastruktursysteme daraufangewiesen, Modelle und Simulationsumgebungen als Hilfsmittel zu verwenden, daUntersuchungen oder Erprobungen von neuen Techniken aus Sicherheitsgründennicht an den im Betrieb befindlichen Kontrollsystemen durchgeführt werden können.Für einzelne Infrastrukturen gibt es bereits sehr gute Simulatoren, jedoch gibt esbisher keine, die geeignet sind, eine koordinierte und sektorübergreifende Simulationvon mehreren voneinander abhängigen Infrastrukturen zu leisten. Aufgabe und Zieldes Projekts DIESIS ist es nun, eine europaweit standardisierte Plattform für dieModellierungs- und Simulationsaufgaben zu konzipieren, die die Grundlage für einegrenzübergreifende Erforschung von Sicherheitsaspekten der kritischeneuropäischen Infrastrukturen bildet. Die Plattform soll im Rahmen eines spätereinzurichtenden »Europäischen Zentrums für die Simulation und Analyse kritischerInfrastrukturen EISAC« bereitgestellt werden,so [Ref. 19] und www.diesis-project.eu.

Weitere zusammenfassende und klassifizierende Arbeiten sind u.a.:

Managing and reducing social vulnerabilities from coupled criticalinfrastructures (White Paper 3), International Risk Governance Council(IRGC), October 2006 [Ref. 45]

E. Zio: Reliablity Engineering - Old problems, new challenges, ReliabilityEngineering and System Safety 94 (2009) 125– 141 [Ref. 46]

www.diesis-project.eu

________________________________Friedmar Fischer;Kritische Infrastrukturen: Denkweisen,

Im Zusammenhang mit kritischen Infrastrukturen fallen häufig auch die BegriffeVulnerabilität (Verletzlichkeit) und Resilienz (Widerstandsfähigkeit) kritischerInfrastruktursysteme. Diese Begrifflichkeiten werden später erörtert.

3.2 Deutschland

In Deutschland beschäftigt sich eine Vielzahl von Behörden mit Aspekten desSchutzes Kritischer Infrastrukturen. Auf der Homepage des Bundesamts fürSicherheit in der Informationstechnik (BSI), Deutschland, ist kurz beschrieben, werwelche Aufgaben wahrnimmt:

http://bit.ly/BSI_Aufgabenverteilung_SKI 1

Abbildung 1: Liste der ach

Gemäß [Ref. 3] sind nach einerNovember 2003 kritische Infrast

1 Die Arbeit nutzt den Service <bit.ly> zur Erzeden originalen URLs expandieren mit www.get

Telekommunikation

Rüstung

wesen

I V

SF

G

Infra

E
EnergieversorgungElektrizität,Gas,
Informationstechnikund

_____________________________

Zusammenhänge, Visualisierungen

t deutschen KI-Sektoren nach

Übereinkunft der Regierungsrukturen Organisationen und

ugung von short URLs. Die <bit.ly> URLslinkinfo.com.

Öl

-

Medien

T

B

strukturen

VersorgungTrinkwasser,Ernährung,Gesundheitswesen,Blaulicht-Organisationen,
Entsorgung
GefahrstoffeGefahrguttransporte,sensitive Industrien,

Transport- undVerkehrswesen(einschließlich
Postwesen)
Behörden undöffentliche
Verwaltung
SonstigeGroßforschungs-einrichtungen,symbolträchtige Bauwerke, Kulturgut,

Finanz-, Geld- undVersicherungs-

Kritische

______________12

[Ref. 3]

ressorts vomEinrichtungen

lassen sich wieder zu

http://bit.ly/BSI_Aufgabenverteilung_SKI


mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfalloder Beeinträchtigung

nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Kritikalität kann in diesem Zusammenhang definiert werden als relatives Maß fürdie Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eineStörung oder ein Funktionsausfall für die Versorgungssicherheit derGesellschaft mit wichtigen Gütern und Dienstleistungen hat.

Als „kritisch” gelten diese Einrichtungen, da sie für die Funktionsfähigkeitmoderner Gesellschaften von essentieller Bedeutung sind, wobei insbesondere dieEnergieversorgung alle Bereiche des täglichen Lebens durchzieht. Innerhalb derkritischen Infrastrukturen werden für Deutschland folgende acht Sektorenidentifiziert(siehe Abbildung 1).

Nach [Ref. 3] sind kritische Infrastrukturen einer breiten Palette von Gefährdungenausgesetzt, die nicht nur „traditioneller” Natur sind, sondern auch einespezifische Verletzlichkeit dieser Infrastrukturen umfasst: SchwerenNaturkatastrophen sind Infrastruktureinrichtungen oftmals schutzlos ausgeliefert:Verkehrstrassen, Stromleitungen und andere netzbasierte Infrastrukturen lassensich bei Hochwasser nicht verlegen, Strommasten müssen Orkanen trotzen(können), die Versorgung der Bevölkerung mit Trinkwasser und der Industriemit Brauchwasser muss auch bei lang andauernder, großer Hitze gewährleistetsein. Daneben können so genannte man-made hazards, d.h. technisches odermenschliches Versagen, kriminelle Handlungen und terroristische Anschlägesowie organisatorische Defizite zu massiven Schäden führen und dieFunktionsfähigkeit kritischer Infrastrukturen erheblich beeinträchtigen.

Eine KRITIS-spezifische Verletzlichkeit ergibt sich aus teils massivenwechselseitigen Abhängigkeiten, die sich potenzieren und einbesonders hohes Schadenspotential entwickeln können. Da alle Sektorengleichermaßen von einer zuverlässigen Energieversorgung abhängig sind,hat ihr Schutz besonderes Gewicht.

Darüber hinaus stellen kritische Infrastrukturen aufgrund ihrer Bedeutung fürdie Gesellschaft ein potenzielles Angriffsziel etwa für terroristische Anschlägedar: Getroffen würden eine zentrale Ader des gesellschaftlichen und wirt-schaftlichen Lebens und damit eine Vielzahl von Nutzern dieserInfrastruktureinrichtungen.

Nicht zuletzt stellen kritische Infrastrukturen aber auch selbst eineGefahrenquelle dar, d.h. die Gefährdung kann aktiv von ihnen ausgehen.Zu nennen wären hier beispielsweise die mit kerntechnischen oderpetrochemischen Anlagen oder die mit dem Transport bzw. der Lagerunggefährlicher Güter verbundenen Gefahrenpotentiale.

In [Ref. 20] werden eine Reihe grundlegender Fragen gestellt und beantwortet.


Was sind kritische Infrastrukturen? Was macht diese verletzbar und wie lässt sichihre Verletzbarkeit reduzieren? Wodurch wird das Ausfallrisiko von kritischenInfrastrukturen bestimmt, und wie können Ausfälle schnell und effizient bewältigtwerden? Diese und weitere grundlegende Fragen gilt es zu beantworten, umgeeignete Schutzmaßnahmen ergreifen zu können. Eine wichtige Grundlage hierfürist neben der Identifizierung von potentiellen Gefahren die Beschäftigung mit derVulnerabilität (Verletzbarkeit) von kritischen Infrastrukturen, denn sie ist vonentscheidender Bedeutung dafür, ob eine Infrastruktur ihre Funktionsfähigkeit auchunter widrigen Bedingungen aufrechterhalten kann.

Sowohl die KRITIS-Sektoren als auch die einzelnen Teilinfrastrukturen innerhalb dieserSektoren weisen große Unterschiede in Bezug auf ihre physische Struktur und ihreOrganisationsweise auf und sind daher nur bedingt vergleichbar. So sind manche Infrastrukturendurch eine Netzwerkstruktur charakterisiert (z. B. Strom- und Wasserversorgung, Transport-und Verkehrswege), während andere Infrastrukturen aus punktuellen, nicht direkt räumlich mit-einander vernetzten Komponenten bestehen (z. B. Einrichtungen des Gesundheitswesens,Industrieanlagen).

Der Sektor Gefahrstoffe nimmt eine besondere Stellung ein, denn die Kritikalität seinerInfrastrukturelemente beruht weniger auf ihrer Relevanz für die Versorgung der Bevölkerungals vielmehr auf der potentiellen Gefährdung, die von seinen Produkten ausgehen kann. Auchder Sektor Sonstiges hat eine Sonderstellung, denn die hier zusammengefassten Elemente wiesymbolträchtige Bauwerke und Denkmäler werden beispielsweise aufgrund ihres besonderenideellen oder kulturellen Wertes bzw. ihrer symbolischen Bedeutung für die Gesellschaft alskritisch bewertet. So ist es zu erklären, dass z. B. das Brandenburger Tor oder der Kölner Domdem Sektor Sonstiges als kritische Infrastrukturen zugerechnet werden könnten, auch wenn ihreZerstörung nicht zu einem Versorgungsausfall im eigentlichen Sinne führen würde

Kleiner Exkurs für den Begriff Vulnerabilität:

Voraussetzung für die Reduzierung der Vulnerabilität von kritischen Infrastrukturenist eine praktikable Methode für ihre systematische Analyse und Bewertung. DieEntwicklung einer solchen Methode setzt wiederum ein klares Verständnis desKonzepts der Vulnerabilität in Bezug auf kritische Infrastrukturen voraus.

Nach [Ref. 20]:

Vulnerabilität ist die gefahrenspezifische Anfälligkeit einer kritischenInfrastruktur für Beeinträchtigung oder Ausfall ihrer Funktionsfähigkeit, welchezur Unterbrechung der Versorgung der Bevölkerung mit wichtigen Gütern undDiensten führen können.

Vulnerabilität ist objektbezogen. Sie ist stets in Bezug auf ein Risikoelement inseinem spezifischen räumlichen und strukturellen Kontext zu sehen.

Vulnerabilität ist gefahrenspezifisch. Sie kommt dann zum Tragen, wenn sich eineGefahr in einem schädigenden Ereignis realisiert und manifestiert sich in denAuswirkungen des Ereignisses, z. B. in physischen Schäden.


Vulnerabilität ist immanent. Sie existiert unabhängig davon, ob das Risikoelementeiner Gefahr tatsächlich ausgesetzt ist oder nicht.

Vulnerabilität ist multidimensional. Sie wird durch zahlreiche Einflussfaktorenunterschiedlicher (natürliche, physische, soziale und ökonomische) Dimensionenbestimmt, die in vielfältiger Weise miteinander verflochten sind.

Vulnerabilität ist dynamisch. Sie ist weniger eine statische Eigenschaft alsvielmehr ein dynamischer Zustand, der sich mit der Zeit verändern kann.

Vulnerabilität ist skalenbezogen. Die Einflussfaktoren der Vulnerabilität eines Ri-sikoelements variieren mit der räumlichen Skala der Betrachtung. So wird bei-spielsweise die Vulnerabilität einer einzelnen Infrastrukturkomponente durch andereEinflussfaktoren bestimmt als die einer Gesamtinfrastruktur oder einesInfrastrulctursektors.

In Bezug auf kritische Infrastrukturen ist das Risiko eines Ausfalls von besonderemInteresse. Es lässt sich festhalten, dass unter Gefahr ein potentielles, schädigendesEreignis verstanden wird, das den Ausfall einer kritischen Infrastruktur verursachenkann. Jede kritische Infrastruktur ist durch ihre Lage im Raum (Exposition)unterschiedlichen Gefahren ausgesetzt, so dass ihre Gefährdung aus demräumlichen und zeitlichen Zusammentreffen mit einer spezifischen Gefahr resultiert.Die Vulnerabilität einer kritischen Infrastruktur bestimmt deren Anfälligkeit fürschädigende Einwirkungen durch eine Gefahr spezifischer Art und Stärke. Risikoverbindet diese Begriffe und kann in diesem Zusammenhang definiert werden als dieWahrscheinlichkeit eines Ausfalls einer kritischen Infrastruktur, welche aus demZusammenwirken von endogener Vulnerabilität, exogener Gefahr und räumlicherExposition resultiert.

Während Vulnerabilität entscheidend dafür ist, ob ein Ereignis zum Ausfall einerkritischen Infrastruktur führt, ist die Bewältigungskapazität ausschlaggebend dafür,wie schnell ihre Funktionsfähigkeit wiederhergestellt werden kann. Sie umfasst alleMaßnahmen und Ressourcen, die vor, während und nach Eintritt eines Ereignissesergriffen werden können, um negative Auswirkungen zu begrenzen und denNormalzustand wiederherzustellen. Das Risiko eines längerfristigen Ausfalls vonkritischen Infrastrukturen kann also neben einer Verringerung der Vulnerabilität durchgeeignete Maßnahmen zur Erhöhung der Bewältigungskapazität in Bezug auf denUmgang mit extremen Ereignissen reduziert werden, so [Ref. 20].

In zwei Aufsätzen beschreibt das Center for Security Studies (CSS) der ETH Zürichden Aspekt der Vulnerabilität (Verletzlichkeit) kritischer Infrastrukturen [Ref. 21] undden Aspekt der Resilienz (Widerstandsfähigkeit, Regenerationsfähigkeit) [Ref. 22].

Nach [Ref. 22] zielt Resilienz darauf ab, die generelle Widerstands- undRegenerationsfähigkeit von technischen und gesellschaftlichen Systemen zuerhöhen.

Unter Resilienz versteht man die Fähigkeit eines Systems oder einer Gesellschaft,eine plötzliche Katastrophe oder eine Krise rasch zu bewältigen und die Funktions-und Handlungsfähigkeit schnellstmöglich wieder herzustellen. Die zentralen


Dimensionen dieses Konzepts bilden somit die Widerstandsfähigkeit und Rege-nerationsfähigkeit von technischen und gesellschaftlichen Systemen.

Technische und soziale Systeme können in hoch und niedrig resiliente Systemeunterteilt werden. In hoch resilienten Systemen besteht ein Konsens über dierelevanten Herausforderungen, das Risiko ist verteilt und die Reaktionen auf dasEintreten eines Ereignisses werden koordiniert. Zudem zeichnen sich hoch resilienteSysteme durch die Anwendung des strategischen Risikomanagements und dasVorhandensein einer Risikokommunikationsstrategie aus. In niedrig resilientenSystemen können Störungen ungenügend absorbiert und aufgefangen werden.

Anpassungsfähigkeit und Flexibilität sind Kernelemente einer hoch resilienten Ge-sellschaft. Es gibt vier spezifische Charakteristika hoch resilienter Gesellschaften:

1) Robustheit (robustness), d.h. die Fähigkeit eines Systems, Belastungenstandzuhalten;

2) Redundanz (redundancy), d.h. das Vorhandensein von alternativenMöglichkeiten zur Erfüllung kritischer Aufgaben eines Systems;

3) Einfallsreichtum (resourcefulness), d.h. die Kapazität eines Systems zurkreativen und angemessenen Reaktion auf ein Schadenereignis; und

4) Schnelligkeit (rapidity), d.h. die rasche Reaktions- undRegenerationsfähigkeit eines Systems in einem Katastrophenfall. Innerhalbdes integrierten Resilienz-Zyklus fallen Robustheit und Redundanz in dieBereiche der Schadensbegrenzung und der Bereitschaft, währendEinfallsreichtum und Schnelligkeit den Phasen der Krisenreaktion und derErholung zugeordnet werden.

Das Vorhandensein von Information und die Gewährleistung einer optimalen Kom-munikation sind wesentliche Merkmale hoch resilienter Gesellschaften. Das Internetund die mobile Telekommunikation haben den Bereich der Informations- undKommunikationstechnologien (ICT) revolutioniert und ermöglichen in Ergänzung zuden traditionellen Kanälen neue und interaktive Arten der Kommunikation und desInformationsaustauschs. Im Kontext der Katastrophenvorsorge und der Krisen-bewältigung können diese Möglichkeiten auf vielfältige Art und Weise eingesetztwerden. Der Nutzen, den solche Informations- und Kommunikationstechnologien imKatastrophenfall haben, ist trotz der Gefahr der System-Überlastung unbestritten, so[Ref. 22].

Resilienz stellt gemäss [Ref. 22] einen der fünf zentralen Grundsätze zum Schutzkritischer Infrastrukturen dar:

Integrales Risikomanagement Umfassendes Gefahrenspektrum (all-hazards-approach) Resilienz Wahrung der Verhältnismässigkeit zwischen Schutzmassnahmen und

Risikoabschätzung Subsidiarität, Kooperation zwischen öffentlichen und privaten Infrastruktur-

Betreibern


Drei Massnahmen stehen dabei im Vordergrund. Die Schwierigkeiten bei derUmsetzung einer Resilienz-Politik wurzeln erstens darin, dass es den verschiedenenSektoren an einem gemeinsamen Verständnis von Resilienz fehlt. Derzeit wird mitdem Konzept meist nur die vage Vorstellung verbunden, dieses bezeichne diegrundlegende Fähigkeit einer Gesellschaft, eine Krise zu bewältigen. Für dieBeratung politischer Entscheidungsträger und eine effektive Umsetzung desKonzepts müsste diese Definition spezifiziert und das Verständnis von Resilienzvereinheitlicht werden.

Zweitens sollte eine kohärente Risiko- und Krisenkommunikation erarbeitet werden,welche sowohl öffentliche als auch private Akteure einbezieht. Vor dem Hintergrund,dass massgeblich das Reaktionsvermögen darüber entscheidet, wie schnell derErholungsprozess nach einer Krise vor sich geht und wie rasch dieHandlungsfähigkeit von Gemeinschaften wieder hergestellt werden kann, ist dieBereitstellung einer sektorenübergreifenden Kommunikationsstrategie im Bereich derKrisen- und Katastrophenbewältigung zur Erhöhung der Resilienz unerlässlich.

Im Bereich der Kommunikation könnte drittens verstärkt auf die Möglichkeitenzurückgegriffen werden, welche die neuen Informations- und Kom-munikationstechnologien eröffnen. Durch den stärkeren Einbezug von Mobiltelefonenund Social Media-Plattformen könnte die Kommunikation zwischen den Behördenund der Zivilbevölkerung und Individuen deutlich verbessert werden, so [Ref. 22].

Ein sogenanntes Grünbuch des deutschen ZUKUNFTSFORUMS ÖFFENTLICHESICHERHEIT vom September 2008 [Ref. 23] fasst die bisher in Facharbeitsgruppenund im Forum stattgefundenen Gespräche zusammen und entwickelt daraus zentraleSzenarien und Leitfragen. Auf Basis dieser Arbeit möchte es eine breite Debatte inPolitik, Wirtschaft, Verbänden und Öffentlichkeit über die vielfältigenHerausforderungen anstoßen, denen sich heute der Schutz der Bevölkerunggegenübersieht.

Eine solche Publikation dient in der Europäischen Union als Mittel zum Anstoßgesellschaftlicher Veränderungsprozesse. Das ZUKUNFTSFORUM ÖFFENTLICHESICHERHEIT geht auf eine überfraktionelle Initiative des Deutschen Bundestageszurück.

Nach [Ref. 23] zeigen kritische Sicherheitsszenarien, dass das eigentlich Neue der(Informations)gesellschaft die zunehmend komplexe, inzwischen weltumspannendeKoppelung von Systemen durch Metadatenströme ist. Dadurch entsteht eine neueQualität von Verletzlichkeit und Risiko. Sicherheit hängt heute zunehmend von derDatenverfügbarkeit und dem reibungslosen Funktionieren von Kommunikation ab.Verläuft diese falsch, können umfassende Krisen entstehen. Sie können ein Ausmaßerreichen, das bislang nur für den Spannungs- oder Verteidigungsfall denkbar war.

Unter diesen Bedingungen bedeutet „Öffentliche Sicherheit“ in erster Linie, dasskomplexe Prozesse und Systeme – lokale, nationale bis hin zu transnationalen –möglichst problemlos funktionieren. Das Grünbuch zeigt auf, an welchen Stellendieses Funktionieren gefährdet ist, und fragt, wie solchen Systemausfällen oder garKrisen begegnet werden kann. Je mehr Ressourcen mobilisiert werden, destowiderstandsfähiger und krisenfester („resilienter“) sind Gesellschaft und Staat.


Die zentrale Frage lautet: Womit können die Verantwortlichen ein solchesreibungsloses Funktionieren durchsetzen, aufrechterhalten und – im Falle einer Krise– möglichst rasch zurückgewinnen? In welchem Umfang und wie lange können dieeinzelnen Funktionalitäten ausfallen, bis Gesellschaft und Staat existenziell gefährdetwären? Welche Mittel („funktionale Äquivalente“) sind notwendig, um diese Ausfälleüberbrücken, umgehen oder kompensieren zu können?

Neben anderen Leitfragen zur Sicherheitsphilosophie und zu Schutzzielen, zuRessourcen und Mobilisierung, zur Bevölkerung und zum Bevölkerungsschutz, zurRisiko- und Krisenkommunikation, zu den institutionellen Erfordernissen und derenUmsetzung, werden auch Leitfragen zu kritischen Infrastrukturen gestellt.

Ist das Konzept „kritische Infrastruktur“ angesichts neuer Bedrohungenausreichend definiert? Sind alle Komponenten systematisch erfasst?

Sind die Wechselwirkungen zwischen den Infrastrukturen genügend modelliertund anwendbar getestet?

Reichen die vorhandene Sensorik sowie die heute verfügbareKommunikationstechnik aus, um eventuelle Angriffe auf kritischeInfrastrukturen rechtzeitig erkennen und abwehren zu können?

Sollen industrielle Betreiber von kritischen Infrastrukturen Mindeststandards imHinblick auf physikalische Bedrohungen einhalten und deren Umsetzungbehördlicher Prüfung unterzogen werden?

Im Sinne europäischer Wünsche und Forderungen zu nationaler und internationalerZusammenarbeit zwischen Behörden, Institutionen, Unternehmen zur Erforschungkritischer Infrastrukturen hat es von deutscher Seite eine Reihe Kooperationen undVeröffentlichungen gegeben.

Aus der Vielzahl der Berichte seien als Beispiele herausgegriffen:

Schutz Kritischer Infrastrukturen – Basisschutzkonzept, Empfehlungen fürUnternehmen, Bundesministerium des Innern (BMI), August 2005, [Ref. 24]

Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement, Leitfadenfür Unternehmen und Behörden, Bundesministerium des Innern (BMI), Januar2008, [Ref. 25]

Schutz Kritischer Infrastruktur: Risikomanagement im Krankenhaus,Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), November2008, [Ref. 26]

Schutz Kritischer Infrastruktur: Risikomanagement im Krankenhaus, Leitfadenzur Identifikation und Reduzierung von Ausfallrisiken in KritischenInfrastrukturen des Gesundheitswesens, Bundesamt für Bevölkerungsschutzund Katastrophenhilfe (BBK), November 2008, [Ref. 27]


Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie),Bundesministerium des Innern (BMI), Juni 2009, [Ref. 28]

Die Methode AKIS (Methode zur Analyse der kritischen Infrastruktursektoren),Bundesamt für Sicherheit in der Informationstechnik (BSI), 2008, [Ref. 29]

Management von kritischen Infrastrukturen, Bundesverband deutscherBanken, Mai 2004, [Ref. 30]

Nationaler Plan zum Schutz der Informationsinfrastrukturen,Bundesministerium des Innern (BMI), 2005, [Ref. 31]

Umsetzungsplan KRITIS des nationalen Plans zum Schutz derInformationsinfrastrukturen, Bundesministerium des Innern (BMI), Januar2008, [Ref. 32]

Krisenmanagement Stromausfall: Krisenmanagement bei einer großflächigenUnterbrechung der Stromversorgung am Beispiel Baden-Württemberg;Vertiefende Auswertung der Übungsergebnisse der LÜKEX 2004 undtatsächlicher vergleichbarer Ereignisse, Hrsg.: Innenministerium Baden-Württemberg und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe(BBK); Center for Disaster Management and Risk Reduction Technology(CEDIM) am Karlsruher Institut für Technologie (K.I.T.), Karlsruhe, Mai 2010

Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel einesgroßräumigen Ausfalls der Stromversorgung, Projekt (Beginn Oktober 2008)beim Büro für Technikfolgenabschätzung beim deutschen Bundestag (TAB)beim K.I.T.. Projektskizze siehe [Ref. 33]. Hierzu wurden zwei Gutachtenvergeben. Ein Untersuchungsauftrag galt der konzeptionellen Abklärung desProjektthemas durch eine Machbarkeitsstudie. Eine weitere Beauftragungzielte auf die Exploration des Themenbereichs »Risiko- undkommunikationspsychologische Bestimmungsfaktoren des Umgangs miteinem großräumigen Ausfall der Stromversorgung in der Bevölkerung« [Ref.34]. Der Endbericht des Projekts ist noch nicht veröffentlicht.

Bereits in Abbildung 1 wurden acht Sektoren kritischer Infrastruktur unterschieden,einige von Ihnen enthalten mehrere Branchen.

Energie, Versorgung (Wasser, Lebensmittel, Gesundheit, Notfallversorgung) Informations- und Kommunikationstechnologie, Transport und Verkehr, Gefahrstoffe (Chemie- und Biostoffe, Labore, etc.), Banken und Finanzen, Behörden, Verwaltung, Justiz, Medien, Großforschungseinrichtungen und Kulturgüter

Da diese Infrastruktursysteme nicht eigenständig nebeneinander stehen, sonderndurch vielfältige Beziehungen miteinander vernetzt sind, bestehen gegenseitige


Abhängigkeiten (Interdependenzen), die in vielen Fällen für die Funktionsfähigkeitvon Organisationen lebenswichtig sind.

Man kann diese Interdependenzen symbolisch als vernetzte Kugel darstellen.

Abbildung 2: Vernetzung von Kritis-Sektoren und Branchen [Ref. 27]

Nach [Ref. 27] können diese Interdependenzen zwischen zwei Infrastrukturen sehrgering sein, so dass die Unterbrechung eines Konnexes nur schwache oder garkeine gesellschaftlichen Auswirkungen hat, etwa Störungen im Transportsektor fürden Bereich Kulturgut. Bei anderen Verbindungen kann eine solche Unterbrechunghingegen schwerwiegende oder sogar katastrophale Auswirkungen haben, z.B. wenndie Versorgung des Gesundheitswesens mit Energie unterbrochen ist, so [Ref. 27].

Es wäre nun gut, eine Art Wertungsmechanismus - also eine Skalierung undGewichtung - der Interdependenzen (Abhängigkeiten) der Teilsektoren und derenBranchen, zu haben. Das würde helfen, Schwachstellen zu erkennen, Bedrohungenzu begrenzen, Eingriffmöglichkeiten zu eröffnen und darzustellen.

Um wirkungsvolle Maßnahmen zur Verbesserung des Schutzes der KritischenInfrastrukturen ergreifen zu können, müssen jedoch deren Funktionsweiseverstanden und die kritischen Prozesse innerhalb der kritischen Infrastrukturenidentifiziert und analysiert sein.

Nach der Broschüre „Methode zur Analyse kritischer Infrastrukturen (AKIS)“ desBundesamts für Sicherheit in der Informationstechnik (BSI) [Ref. 29] spielt neben den


Begriffen <kritische Infrastruktur> und deren <Vulnerabilität> als ein denkbarerWertungsmechanismus der Begriff der <Kritikalität> eine Rolle.

Wie grenzt man dabei Untersuchungen zur Kritikalität (um Abhängigkeiten vonkritischen Infrastrukturen zu bewerten) ab von Risikoanalysen?

Risikoanalyse vs. Kritikalitätsbetrachtung

Analysen mit dem Ziel, Ausfallwahrscheinlichkeiten sowie mögliche Auswirkungenund Schäden zu identifizieren, fallen typischerweise in das Fachgebiet derRisikoanalyse und des Risikomanagements. Ausgearbeitete Methoden zurRisikoanalyse gibt es viele. Diese arbeiten häufig mit einer sehr ähnlichen Struktur:Objekte, Bedrohungen, Schwachstellen und Wahrscheinlichkeiten werdenkatalogisiert und verknüpft. Das Ergebnis sind dann die zu erwartendenSchadenshöhen oder Risikokategorien.

Die Anwendung dieser Methoden für Analysen im Bereich der kritischenInfrastrukturen zeigt sich als wenig zielführend. Für Schäden undAusfallwahrscheinlichkeiten gibt es derzeit keine aussagekräftigen Statistiken, eineKatalogisierung von Objekten, Schwachstellen und Bedrohung vom Unternehmen bishin zur volkswirtschaftlichen Ebene scheint schlicht unmöglich.

Als Methode wird deshalb eine modifizierte Analyse in Form einer„Kritikalitätsbetrachtung“ angewandt.

Ausgangspunkt dabei sind die in den Infrastruktursektoren ablaufenden Prozesse.Diese werden auf sehr hohem Niveau betrachtet. Beispielhafte (Geschäfts)prozessesind z. B. im Finanzsektor die Bargeldversorgung der Bevölkerung oder in fast allenSektoren die Rechnungsstellung.

Dabei ist nicht von Interesse, durch wen oder was die Funktionsfähigkeit dieserProzesse bedroht ist, sondern lediglich, ob der Prozess massiv gestört oder zumAusfall gebracht werden kann. Es stellt sich also z. B. nicht die Frage, wie derBetrieb eines Rechenzentrums gestört werden kann. Interessant sind vielmehr dieAuswirkungen auf den entsprechenden Prozess, für den Fall, dass dasRechenzentrum nicht mehr arbeitet.

Durch eine relativ grobe Modellierung der Prozesse ist es möglich, objektunabhängigzu arbeiten; es müssen weder Computersysteme aufgelistet noch umfangreicheSchadenskataloge erstellt werden. Betrachtet werden nur die Kernkomponentender Prozesse.

„Kritisch“ und „Kritikalität“

Für das weitere Verständnis einer Methode zur Gewichtung der Interdependenzenist die Unterscheidung zwischen den Begriffen „kritisch“ und „Kritikalität“ zuverdeutlichen:

Als „kritisch“ wird ein Infrastruktursektor bezeichnet, wenn bei dessen Störungschwerwiegende Auswirkungen für die Bevölkerung eintreten. Aber auch einGeschäftsprozess in einem Unternehmen wird als „kritisch“ bezeichnet, wenn beidessen Störung existentielle Gefahr für das Unternehmen besteht. Man spricht dannauch von „unternehmenskritisch“. Kritisch ist immer eine „ja/neinAussage“.


„Kritikalität“ ist hingegen eine skalierbare Wertung. Ein Prozess kann z. B. einehohe oder eine geringe „Kritikalität“ aufweisen. Bewertet werden dabei dieWahrscheinlichkeit und die zu erwartende Auswirkung einer Störung.

Die Begriffe „kritisch“ und „Kritikalität“ lassen sich auf verschiedenenBezugsebenen anwenden. So ist eine Infrastruktur, deren Störung den Bestand einesUnternehmens gefährdet, eine „unternehmenskritische Infrastruktur“. Ein Prozess mitdiesen Eigenschaften ist ein „unternehmenskritischer Prozess“.

Wie wirkt sich aber der Ausfall eines unternehmenskritischen Prozesses auf denSektor oder gar die gesamte Gesellschaft aus? Dazu sind gesonderte Betrachtungennotwendig. Der Ausfall (der Dienstleistungen) eines Unternehmens kann für dieGesellschaft irrelevant sein. Er kann aber auch auf dieser Bezugsebene zu massivenBeeinträchtigungen führen, wenn das betrachtete Unternehmen z. B. einen großenMarktanteil im Sektor inne hat oder gar alleiniger Anbieter ist. Dementsprechend sinddie einzelnen Begriffe auch für die Bezugsebenen Sektor und Gesellschaft definiert.

Dabei ist zu erwarten, dass es zwar ein Vielzahl von unternehmenskritischenProzessen gibt, aber nur wenige sektorkritische Prozesse. Da der Ausfall einesvollständigen Sektors im Allgemeinen aber auch für die Gesellschaft ein massivesProblem darstellt, wird die Anzahl der sektorkritischen und der gesellschaftskritischenProzesse fast identisch sein.

Nach diesen Begriffserläuterungen sollte auch die sich durch die gesamte Methodehindurchziehende Leitfrage nachvollziehbar sein:

„Was sind die kritischen Prozesselemente der kritischen Infrastruktursektoren undwelche Kritikalität weisen sie auf?“

Es gilt zunächst, einen Überblick über den Sektor zu gewinnen und diesen geeignetweiter zu unterteilen. Anschließend sind die kritischen Prozesselemente zuidentifizieren und bezüglich ihrer Kritikalität zu bewerten. Die Prozesselemente mitbedeutender und hoher Kritikalität werden dann weiter auf ihre Abhängigkeitenuntersucht. Nach einer abschließenden Betrachtung, u. a. wie denn der Sektorbereits mit diesen kritischen Prozesselementen umgeht, kann als Ergebnis derUntersuchung eine sogenannte Kritikalitätsmatrix stehen, so [Ref. 29].

Mit anderen Worten:

Gemäß [Ref. 29] lässt sich die Gesamtheit der kritischen Infrastrukturen in einzelneInfrastruktursektoren unterteilen. Diese Sektoren können dann weiter untergliedertwerden, z. B. in Branchen. Nach der erfolgten Strukturierung sind die für dieBranchen relevanten Prozesselemente zu identifizieren und zu definieren. Diesesollen dann im Weiteren in Hinblick auf ihre Kritikalität beurteilt werden.

Dieser Schritt ist für die gesamte Analyse wichtig. Prozesselemente, die hier nichtberücksichtigt werden, finden auch bei der Kritikalitätsbeurteilung keine Beachtung.Wird hingegen bei der Prozess-Elemente-Definition auf zu niedrigem Niveau und zudetailliert gearbeitet, hat dies zur Folge, dass eine Vielzahl von Prozessen identifiziert


wird und damit die Gefahr besteht, den Blick für das Wesentliche zu verlieren.Darüber hinaus steigt der Arbeitsaufwand enorm.

Zur Identifikation der Prozesse stehen verschiedene Hilfsmittel bereit. Insbesonderebei Sektoren mit hoher volkswirtschaftlicher Bedeutung liefert die Wissenschaftbereits ausgearbeitete Prozessmodelle. Diese sind durch Expertenbefragungengeeignet zu ergänzen.

Bei anderen Sektoren, hier sind die Sektoren Notfall- und Rettungswesen sowieBehörden und Verwaltung gute Beispiele, stehen in der Regel nur Experten alsQuellen zur Verfügung.

Mit Experten sind hier Vertreter aus Unternehmen oder Behörden der einzelnenBranchen gemeint, die aktiv an den Prozessen mitwirken und somit unmittelbar ausihrer beruflichen Erfahrung berichten können.

Die Expertenbefragungen sind je nach Branche unterschiedlich zu gestalten. Ineinigen Branchen liefern Workshops schnelle und gute Ergebnisse, in anderenBranchen sind weiterführende Informationen - wichtig insbesondere bei derKritikalitätsbewertung - nur in Einzelinterviews zu erhalten. Die glaubhafte Zusagedes vertrauensvollen Umgangs mit den erhaltenen Informationen ist ein wesentlicherErfolgsfaktor für die Analyse.

Die identifizierten Prozesse sind grob zu beschreiben. Da die einzelnen Prozesse inden verschiedenen Unternehmen meist unterschiedlich realisiert sind, in der Methodeaber eine sektorübergreifende Betrachtung angestrebt wird, ist eine detaillierte,wissenschaftlich gründliche Definition hier nicht zielführend.

Als Beispiel für einen wie oben beschriebenen Prozess ist in der folgendenAbbildung 3 die Mineralölversorgung aus dem Sektor Energie dargestellt.

Abbildung 3: Element Mineralölversorgung aus dem Sektor KI-Energie [Ref. 29]


Das Infrastrukturelement bzw. der Prozess „Mineralölversorgung“ lässt sich zunächstin nur vier Schritten darstellen. Erwarten die Experten bei einem Prozessschrittbesondere Kritikalitäten, können die einzelnen Prozessschritte – wie in Abbildung 3bei „Transport“ und „Vertrieb“ dargestellt – weiter detailliert werden, so [Ref. 29].

Sowohl in [Ref. 6] wie auch in der Vorlesung von Wolthusen [Ref. 35] im WS2005/2006 an der Ruhr-Universität Bochum wird darauf hingewiesen, dass bereitsMitte 2002 im Auftrag des Bundesministeriums des Innern (BMI) und desBundesamts für Sicherheit in der Informationstechnik (BSI) eine Reihesystematischer Sektorstudien erstellt wurden, die insbesondere den Einfluss vonInformations- und Kommunikationstechnik auf sieben kritische Infrastruktursektorenbeschrieben haben. Bereits in jenen (unveröffentlichten) Studien aus dem Jahr 2002haben Kritikalitätsüberlegungen zur Bewertung der kritischen Infrastrukturelementeeine wesentliche Rolle gespielt ([Ref. 35], [Ref. 29]).

3.2.1 Kleiner Exkurs zur Kritikalitätsmatrix

Nach [Ref. 29] wird das Ziel verfolgt, Einschätzungen bzw. Bewertungen durchExpertenbefragungen vergleichbar zu machen – die Analyseergebnisse sollen nachMöglichkeit eine Vergleichbarkeit zwischen den einzelnen Sektoren ermöglichen –.Daher sind sowohl für die zu erwartenden Auswirkungen, wie auch für diegeschätzten Ausfallwahrscheinlichkeiten mehrstufige Skalen vorzugeben. AKIS [Ref.29] verwendet fünf Stufen. Das erscheint dabei noch hinreichend differenziert, ohnezu grob zu klassifizieren: z. B. für die Schäden von „unbedeutend“ bis „katastrophal“,für die Ausfallwahrscheinlichkeiten von „sehr selten“ bis „fast sicher“.

Die Bedeutung und Größenordnung der einzelnen Stufen können den Experten /Interviewpartnern anhand von Fallbeispielen und Szenarien vermittelt werden. Einekonkrete Festlegung auf Zahlenwerte sollte dabei bewusst unterbleiben. Hiermitwürde eine nicht gegebene Vergleichbarkeit suggeriert werden (z. B. werden an dieAusfallsicherheit von Kernkraftwerken andere Ansprüche gestellt als an die einerGepäckabfertigung auf einem Flughafen), so [Ref. 29].

Aus der Kombination Auswirkung (X-Achse 5-stufig: „unbedeutend“, „gering“,„mäßig“, „gross“, „katastrophal“ und Ausfallwahrscheinlichkeit (Y-Achse 5-stufig:Ausfallwahrscheinlichkeiten „sehr selten“, „unwahrscheinlich“, „möglich“,„wahrscheinlich“, „fast sicher“) ergibt sich dann die z.B. 4-stufige Kritikalität (gering,mittel, bedeutend, hoch)) des Prozesses (siehe Tabelle 1 und Abbildung 4 in [Ref.29]), dargestellt als sogenannte Kritikalitätsmatrix.

Als Indikatoren für die Kritikalität kamen also hier in Betracht: „Auswirkungen“,„Ausfallwahrscheinlichkeiten“ mit jeweils fünf Bewertungstufen. Die Abgrenzung derfünf Einschätzungsstufen dürfte nicht ganz leicht sein. Ähnliches gilt für die 4-Stufigkeit der Bewertung der Kritikalität.

Es liegt also nahe, jeweils nur drei Bewertungsstufen zu wählen:

für die Indikatoren: 1: Kleine Auswirkungen


2: Mittlere Auswirkungen 3: Grosse Auswirkungen 0: Keine Auswirkungen

für die Bewertung der Kritikalität (skaliert):

1: Geringe (reguläre) Kritikalität (Punktewerte 1 bis 3) 2: Grosse Kritikalität (Punktewerte 4 bis 6) 3: Sehr grosse Kritikalität (Punktewerte 7 bis 9)

0: Keine Kritikalität

Nimmt man an, dass die Indikatoren, die die Kritikalität beeinflussen, neben derähnlichen Skalierung auch die gleiche Gewichtung (Bedeutung) haben und gibt ihnendie Zahlenwerte 1 bis 3, kann man „Kritikalität“ als quadratische 3x3 Matrixdarstellen, deren Elemente das Zahlenprodukt aus den jeweiligen Elementen derIndikatoren sind. Die Zahlen der Elemente der Matrix werden dann noch hinsichtlichder Anzahl der Indikatoren der Kritikalität ganzzahlig skaliert.

Indikator Y: gross(3) 3 6 9Indikator Y: mittel(2) 2 4 6Indikator Y: klein(1) 1 2 3

Indikator X: klein(1) Indikator X: mittel(2) IndikatorX: gross(3)

Dividiert man jedes Element dieser Matrix durch die Anzahl der Indikatoren (2),rundet die Zahlen auf und läßt nur Werte <=3 zu, erhält man eine 3-stufigeKritikalitätsmatrix:

Abbildung 4: Dreistufige Kritikalitätsmatrix bei dreistufigen Indikatoren


3.3 Schweiz

Seit Juni 2005 hat das schweizerische Bundesamt für Bevölkerungsschutz (BABS)die Koordination der Arbeiten zum Thema „Schutz Kritischer Infrastrukturen (SKI)“. Inder Folge hat das BABS die Arbeitsgruppe Schutz Kritischer Infrastrukturen (AG SKI)gebildet. Die Arbeitsgruppe hat dem schweizerischen Bundesrat im Juni 2007 undMai 2009 zwei Berichte [Ref. 8], [Ref. 9] vorgelegt. Die Berichte stellen wichtigeEtappen auf dem Weg zur Erarbeitung einer nationalen schweizerischen SKI-Strategie dar. In den Berichten werden unter anderem die zentralen Begrifflichkeitengeklärt und die für die Schweiz wichtigsten Infrastruktursektoren und -teilelementebezeichnet und die Aufgaben für die nächsten Jahre definiert.

Das Strategiepapier liegt inzwischen vor [Ref. 10].

Das SKI-Programm der Schweiz bezieht sich nach [Ref. 11] primär auf diejenigenInfrastrukturen, die auf nationaler Ebene von Bedeutung sind. Dementsprechendwerden solche, deren Ausfall Auswirkungen auf untere Verwaltungsgliederungen hat,nicht speziell berücksichtigt. Damit wird deutlich, dass die Bedeutung vonInfrastrukturen von der jeweiligen Betrachtungsebene abhängt:

Eine Übersicht über Veröffentlichungen des schweizerischen Bundesamtes fürBevölkerungsschutz (BABS) bzgl. des Schutzes kritischer Infrastrukturen kann manauch nachlesen unter www.infraprotection.ch.

Nach [Ref. 8] wird für den Schutz kritischer Infrastrukturen der Schweiz ein integralesRisikomanagement verwendet. Die Komplexität und die gegenseitigenAbhängigkeiten der kritischen Infrastrukturen führen dazu, dass ein umfassenderAnsatz unabdingbar ist, um einen optimalen Schutz der kritischen Infrastrukturen zugewährleisten.

In der Maßnahmenplanung soll der Risikomanagement-Kreislauf angewandt werden.Dieser unterstützt die Auswahl von geeigneten Maßnahmen und optimiert dieUmsetzung der getroffenen Maßnahmen für alle Phasen des Risikomanagements.Als Ausgangspunkt der weiteren Arbeiten dient das im Rahmen von KATARISK [Ref.13] durch das schweizerische Bundesamt für Bevölkerungsschutz (BABS)erarbeitete Konzept (Abbildung 5).

www.infraprotection.ch


Abbildung 5: Risikomanagement-Kreislauf in der Schweiz [Ref. 8]

Dieses soll vor allem im präventiven Bereich durch bauliche, technische,organisatorische und rechtliche Maßnahmen spezifisch für die Bedürfnisse zumSchutz Kritischer Infrastrukturen angepasst werden.

Dem Konzept des integralen Risikomanagements (vgl. Abbildung 5) folgend, beginntdie Risikoanalyse mit einer Gefahrenanalyse, welche umfassend ("all hazardsapproach"-Ansatz) sein soll. Erst nach einer vollständigen Risikoanalyse und -bewertung können Prioritäten gesetzt werden, die sich auf den Schutz vorbestimmten Gefahren beziehen.

Das integrale schweizerische Risikomanagement lässt sich wie folgt auf diePerspektive des Schutzes Kritischer Infrastrukturen anwenden (Abbildung 6). Dabeigilt es zu berücksichtigen, dass neben den präventiven und vorsorglichenMaßnahmen auch Interventionsmaßnahmen eingeplant und vorbereitet werden.


Abbildung 6: Risikomanagement aus der Perspektive des KI - Schutzes [Ref. 8]

Identifikation kritischer Infrastrukturen

In einem Teilprojekt hat eine Arbeitsgruppe des Bereichs „Schutz kritischerInfrastrukturen“ (SKI) eine Methode zur Kritikalitätsbewertung von 31 kritischenTeilsektoren erarbeitet. Mit dieser Methode wurde in der Folge die Kritikalität derTeilsektoren bewertet, wobei unter Annahme einer normalen Gefährdungslageanhand dreier Kriterien das Ausmaß der Auswirkungen bei einem Ausfall derTeilsektoren abgeschätzt wurde. Folgende Kriterien und Fragestellungen standen beider Bewertung der Kritikalität der einzelnen Teilsektoren im Vordergrund:

Auswirkungen auf andere Teilsektoren (Dependenz): Wie viele andereTeilsektoren sind in welchem Ausmass direkt vom Ausfall des Teilsektorsbetroffen?

Auswirkungen auf die Bevölkerung: Wie viele Personen sind wie stark direktvom Ausfall des Teilsektors betroffen?

Auswirkungen auf die Wirtschaft: Wie gross ist der wirtschaftliche Schadendurch den Produktionsausfall im Teilsektor selbst und die indirektenwirtschaftlichen Auswirkungen in den anderen Teilsektoren?


Tabelle 3: Kritische Infrastruktursektoren und Teilsektoren in der Schweiz [Ref. 8]

Nach [Ref. 12] von Januar 2009 hat die Kritikalitätsbewertung zum Ziel, die 31Teilsektoren anhand ihrer Kritikalität zu gewichten. Dabei wird die Kritikalität nicht alsgenerelle "Wichtigkeit" oder Bedeutung des Teilsektors verstanden, sondern inAnlehnung an die Definition des Kritikalitätsbegriffs als die relative Bedeutung inBezug auf die Folgen eines Ausfalls für die Bevölkerung und ihre Lebensgrundlage.

Die Bewertung stellt indes keine Priorisierung oder Vorwegnahme bezüglich derRessourcenzuteilung dar. Da die Wahrscheinlichkeit von Ausfällen der Teilsektorennicht massgebend für die Kritikalität ist, macht die Bewertung zudem keine direktenAussagen über unmittelbaren Handlungsbedarf. Schliesslich hat die Kritikalität derTeilsektoren keinen direkten Einfluss auf die Kritikalität von einzelnenInfrastrukturen: Auch Infrastruktur-Elemente aus einem Teilsektor mit einer regulärenKritikalität können eine sehr hohe Kritikalität aufweisen.


Die Ansätze zur Beurteilung der Kritikalität von Infrastrukturen haben ihren Ursprungin einer wissenschaftliche Zusammenarbeit zwischen dem Bundesamt fürBevölkerungsschutz (BABS), Schweiz, und dem Laboratorium für Sicherheitsanalytikder ETH Zürich und sind beschrieben in [Ref. 47] und [Ref. 48].

Der von der Arbeitsgruppe Kritikalität des BABS entwickelte Ansatz lehnt sich an dieso genannte Breitband-Delphi-Methodik an. Dabei wird in einem ersten Schritt dieKritikalität der 31 Teilsektoren durch die Arbeitsgruppe einzeln bewertet. DasVerfahren sieht weiter vor, dass die Resultate anschliessend gemeinsam diskutiertund überarbeitet werden. Schliesslich werden die Bewertungen erneut gesammelt,um daraus den Kritikalitäts-Mittelwert für jeden Teilsektor zu bestimmen. Bevor dieKritikalitäts-Bewertung durchgeführt wurde, ließ die Arbeitsgruppe die Methodik vonzwei externen Stellen (u.a. ETH Zürich) validieren.

Die Kritikalität eines Teilsektors soll seine relative Bedeutung im Hinblick auf dieAuswirkungen bei einem Ausfall angeben. Die Arbeitsgruppe SKI hat in der Folgedrei Merkmale identifiziert, die im Kontext von KI-Zwischenfällen das Ausmaß derStörung entscheidend beeinflussen.

Es ist von Bedeutung,

wie viele andere KI-Teilsektoren durch den Ausfall beeinträchtigt werden(Dependenzkriterium),

wie stark die Bevölkerung vom Ausfall betroffen ist, und wie gross der wirtschaftliche Schaden ausfällt.

Aus diesem Grund hat jede/r Beurteilende/r abgeschätzt, welche Folgen ein Ausfalldes zu bewertenden Teilsektors bezüglich den:

Auswirkungen auf andere Teilsektoren (Dependenz) Auswirkungen auf die Bevölkerung Auswirkungen auf die Wirtschaft

nach sich ziehen könnte. Die Auswirkungen wurden jeweils mit Werten zwischen 0und 3 beurteilt:

0: Keine Auswirkungen 1: Kleine Auswirkungen 2: Mittlere Auswirkungen 3: Grosse Auswirkungen

Um die Ermittlung des Kritikalitätswerts zu systematisieren, wurden in der Folge fürjedes der drei Kriterien zwei Indikatoren ermittelt. Aufgrund dieser beidenIndikatoren wurde jeweils der Kritikalitätswert für jedes Kriterium ermittelt und in einerErfassungsmatrix festgehalten (vgl. Tabelle 4).

In Tabelle 4 werden die drei „Blöcke“ (Dependenzen, Bevölkerung, Wirtschaft)angegeben. Die beiden ersten Spalten jeden Blocks enthalten die Werte der


Experten. Die letzte Spalte jedes Blocks enthält die jeweilige Bewertung anhand derjeweils zwei Indikatoren.

Tabelle 4: Erfassungsblatt zur Ermittlung der Kritikalität [Ref. 12]

Zum Verständnis der Tabelle 4 sei ein Beispiel (Block „Bevölkerung“) herangezogen:

Stromausfall:

Die Annahme, dass grosse Teile der Bevölkerung (Wert 3) sehr stark betroffen sind(Wert 3) führt nach der farbigen Bewertungsmatrix in Abschnitt 6.2 des Anhangs desvorliegenden Berichts bzw. nach [Ref. 12] zu einem Kritikalitätswert von 3.

Denn:

Der Tabelle 4 liegt ein Excel-Arbeitsblatt zugrunde. Geht man nun wie in Kapitel3.2.1 vor, kann die Bewertung der Kritikalität mit Hilfe der <Wenn-Funktion> vonExcel nachgebildet werden: WENN(Prüfung; Dann_Wert; Sonst_Wert)

WENN(A;1;WENN(B;2;WENN(C;3,0)))


NR6 = Produkt der Zahlen in der Zeile „Stromversorgung“ im Block „Bevölkerung“:Bewertung a) x Bewertung b) = 3 x 3 =9. Die Krikitalitätsbewertung ist in der letztenSpalte des Blocks „Bevölkerung“

Bedingung A: (NR6 > 0 UND NR6 < 3) wahr, dann: 1Bedingung B: (NR6 > 2 UND NR6 < 6) wahr, dann: 2Bedingung C: (NR6 > 5 UND NR6 < 10) wahr, dann: 3 ist erfüllt !

1: Geringe (reguläre) Kritikalität 2: Grosse Kritikalität 3: Sehr grosse Kritikalität 0: Keine Kritikalität

Ausfall Rundfunk und Medien:

Der Ausfall von Rundfunk und Medien betrifft zwar eine grosse Zahl der Bevölkerung(Wert 3), die Auswirkungen sind jedoch weit weniger gravierend (Wert 1). Gemäß deroben angesprochenen farbigen Bewertungsmatrix ergibt das den Kritikalitätswert 2.

Die Annahme, dass grosse Teile der Bevölkerung (Wert 3) nur wenig betroffen sind(Wert 1) führt nach der farbigen Bewertungsmatrix in Abschnitt 6.2 des Anhangs desvorliegenden Berichts bzw. nach [Ref. 12] zu einem Kritikalitätswert von 2.

Denn für die „Medien“ – Zeile geht man entsprechend vor.

NR21 = Produkt der Zahlen in der Zeile „Medien“ im Block „Bevölkerung“: Bewertunga) x Bewertung b) = 3 x 1 =3. Die Krikitalitätsbewertung ist in der letzten Spalte desBlocks „Bevölkerung“

Bedingung A: (NR21 > 0 UND NR21 < 3) wahr, dann: 1Bedingung B: (NR21 > 2 UND NR21 < 6) wahr, dann: 2 ist erfüllt !Bedingung C: (NR21 > 5 UND NR21 < 10) wahr, dann: 3

Im vorliegenden Bericht erfolgt eine Beschränkung der Betrachtung auf dieUntersuchungen zum Dependenzkriterium.

3.3.1 Auswirkungen auf andere Teilsektoren (Dependenzkriterium)

Das Kriterium der Dependenz wurde mit Hilfe einer detaillierten Dependenz-Analyseermittelt. Dabei wurde für jeden der 31 Teilsektoren abgeschätzt, wie stark ein Ausfalldie anderen Teilsektoren betreffen würde. Die Auswirkungen wurden jeweils mitWerten zwischen 0 (keine Auswirkungen) bis 3 (grosse Auswirkungen) angegeben.

Vorgehensweise (nach [Ref. 12]:


Fragestellung: Wie stark sind die direkten Auswirkungen auf Teilsektor X,wenn Teilsektor Y vollständig ausfällt?

Werte:

0 = keine Dependenz (keine direkte Verbindung zwischen denTeilsektoren).

1 = kleine Dependenz (der andere Teilsektor kann seine Leistung mitleichten Einschränkungen weiterhin ausüben).

2 = mittlere Dependenz (der andere Teilsektor kann seine Leistung nurnoch eingeschränkt ausüben).

3 = grosse Dependenz (der andere Teilsektor kann seine Leistung nichtmehr ausüben).

Vorgaben für die Bewertung: Es sollen nur die "direkten" Abhängigkeitenbewertet werden.

Aus dieser Dependenz-Analyse resultiert eine Matrix, aus der sich unteranderem ablesen lässt, wie viele Teilsektoren vom untersuchten Teilsektorabhängig sind. Überdies werden auch Aussagen über die Stärke derAbhängigkeiten gemacht. Diese beiden Werte werden zur Beurteilung desKriteriums Dependenz herangezogen.

In einem ersten Schritt werden die Werte für die Anzahl der abhängigenTeilsektoren (die zwischen 0 und 31 liegen) skaliert:

Werte "Anzahl abhängige Teilsektoren"

o keine (0) = 0o klein (1) = 1 - 10o mittel (2) = 11 - 20o gross (3) = 21 – 31

Anschliessend wird die durchschnittliche Stärke der Abhängigkeiten ermittelt.Zu diesem Zweck wird die Gesamtsumme der Dependenzen durch die Anzahlder direkt betroffenen Teilsektoren dividiert. Das kann man dann z.B. in dievorletzte Spalte der Tabelle 5 eintragen. Die daraus resultierenden Wertewerden wie folgt skaliert:

Werte "Ø Ausmass Dependenz"

o keine (0) = 0o klein (1) = 1,00 - 1,66o mittel (2) = 1,67 - 2,33o gross (3) = 2,34 - 3,00


Abbildung 7: Matrix zum durchschnittlichen Ausmass der Dependenz [Ref. 12]

Bemerkung:

Nach [Ref. 12] unterscheiden sich die 31 Teilsektoren sowohl bezüglich ihrerLeistung als auch bezüglich ihres Aufbaus derart stark, dass die Folgen ihresAusfalls nicht in absoluten Zahlen miteinander verglichen werden können. Überdiesfehlen vielfach Erfahrungswerte bezüglich der Ausfälle von gesamten Teilsektoren.Auch sind die verschiedenen Folgeschäden und Wechselbeziehungen im Falle vonAusfällen noch nicht genügend bekannt und deshalb nicht quantifizierbar. Ausdiesem Grund kann die Kritikalität der Teilsektoren nicht exakt berechnet, sondernmuss abgeschätzt, respektive bewertet werden.

Damit die Kritikalität abgeschätzt werden kann, sollen die 31 Teilsektoren alsabstrakte Subsysteme betrachtet werden, die eine bestimmte Leistung für dasGesamtsystem "Schweiz" liefern. Es interessiert dabei nur die Frage nach denKonsequenzen im Fall eines Leistungsausfalls des betroffenen Teilsystems, egal wierealistisch Ausfall und Konsequenzen erscheinen mögen. Beurteilungen bezüglichWahrscheinlichkeiten von Ausfällen und Verletzlichkeiten von Teilsektoren werdenspäter gesondert betrachtet.

Der Teilsektor wird als ganzes beurteilt, ohne die unterschiedliche Kritikalität dereinzelnen kritischen Elemente zu berücksichtigen. Diese Beurteilung erfolgt bei derIdentifikation von kritischen Infrastruktur-Elementen.


Tabelle 5: Erfassung des Dependenz (KI – Sektoren Schweiz) [Ref. 12]


Für die Bewertung wird von folgender Annahme ausgegangen: Die Leistung des zubewertenden Teilsektors bricht ohne Vorwarnung ab. Der Teilsektor kann in derFolge seine Leistung während rund drei Wochen nicht mehr ausüben. Das vomTeilsektor gelieferte Produkt (oder Dienstleistung) fehlt während dieser Zeit in derganzen Schweiz. Die Ursache für den Ausfall ist für diese Betrachtung nicht vonBedeutung, ebenso wird die Schweiz als geschlossenes System betrachtet.Auswirkungen aus dem und ins Ausland werden ebenso wenig berücksichtigt wieallfällige internationale Hilfe.

Die Beurteilung der Auswirkungen wird unter der Annahme einer "normalen" Lagevorgenommen (Kriege, grosse Terror-Anschläge oder nationale Katastrophenwerden nicht einbezogen).

3.3.2 Ergebnis der Gesamt-Kritikalitätsbewertung

Um die Auswirkungen auf die Bevölkerung zu bewerten, wurde nach [Ref. 12](siehe auch die Anlage 1 zu dem vorliegenden Bericht) erstens abgeschätzt, wieviele Personen vom Ausfall des zu bewertenden Teilsektors betroffen sind. In einemzweiten Schritt wurde bewertet, wie stark diese betroffenen Personen vom Ausfallbeeinträchtigt sind. Damit wurde dem Umstand Rechnung getragen, dassbeispielsweise bei einem landesweiten Stromausfall sehr viele Personen in starkemAusmass betroffen sind, bei einem Ausfall des Luftverkehrs hingegen wenigerPersonen in geringerem Masse.

Zur Bewertung der wirtschaftlichen Auswirkungen wurde als erster Indikator dieHöhe der direkten finanziellen Ausfälle im Teilsektor selbst (durch den Wegfall des"Produkts" oder der Dienstleistung) eingestuft. Als zweiter Indikator wurden dieindirekten wirtschaftlichen Schäden abgeschätzt, wie etwa die direkten finanziellenEinbussen in anderen Teilsektoren oder indirekte wirtschaftliche Beeinträchtigungen(z.B. eine Schädigung des Wirtschaftsstandorts Schweiz, Reputationsschäden, etc.).

Damit die Kritikalität abgeschätzt werden konnte, wurden die 31 Teilsektoren alsabstrakte Subsysteme betrachtet, die eine bestimmte Leistung für dasGesamtsystem "Schweiz" liefern. Im Zentrum der Bewertung stand anschliessend dieFrage nach dem (Schadens-) Ausmass im Falle eines Leistungsausfalls des zubeurteilenden Teilsektors. Dabei wurde ausser acht gelassen, wie realistisch Ausfallund Konsequenzen erscheinen mögen. Beurteilungen bezüglichWahrscheinlichkeiten von Ausfällen und Verletzlichkeiten von Teilsektoren wurdendeshalb nicht berücksichtigt und sollen später gesondert betrachtet werden. Fernerwurde festgehalten, dass die Beurteilung unter der Annahme erfolgen soll, dass dieLeistung des zu bewertenden Teilsektors ohne Vorwarnung abbricht. Der Teilsektorkann in der Folge seine Leistung während rund drei Wochen nicht mehr erbringen.Das vom Teilsektor gelieferte Produkt (respektive die Dienstleistung o.ä.) fehltwährend dieser Zeit in der ganzen Schweiz. Die Ursache für den Ausfall ist für dieseBetrachtung nicht von Bedeutung. Ebenso wird die Schweiz als geschlossenesSystem betrachtet. Auswirkungen aus dem und ins Ausland werden nichtberücksichtigt. Der Ausfall findet schliesslich unter der Annahme einer "normalen"sicherheitspolitischen Lage statt (Kriege, grosse Terror-Anschläge oderüberregionale Katastrophen wurden nicht berücksichtigt)


Nachdem jedes Mitglied der Kerngruppe alle Teilsektoren hinsichtlich der dreiKriterien bewerteten hatte, wurden die Werte im Sinne des erwähnten Delphi-Verfahrens konsolidiert und anschliessend gemittelt. Da jeder Teilsektor im Maximumneun Kritikalitätspunkte erzielen konnte (drei für jedes der drei Kriterien), liegen auchdie definitiven Kritikalitätswerte in diesem Skala-Bereich.Weil vermieden werden soll, mit einer exakten Rangliste eine nur scheinbarvorhandene Objektivität vorzutäuschen, hat die Kerngruppe beschlossen, alsResultat der Kritikalitätsbewertung die 31 Teilsektoren zu drei Gruppenzusammenzufassen:

Teilsektoren mit einer sehr hohen Kritikalität Teilsektoren mit einer hohen Kritikalität Teilsektoren mit einer regulären Kritikalität

Dabei gilt zu beachten, dass grundsätzlich alle 31 Teilsektoren kritisch sind.

Abbildung 8: KI-Teilsektoren Schweiz gruppiert nach Kritikalität [Ref. 12]


Aufgrund der Kritikalitätsbewertung identifizierte die Kerngruppe acht "rote"Teilsektoren, fünfzehn "orange" Teilsektoren und acht "gelbe" Teilsektoren (sieheAbbildung 8). Dieses Resultat mit der verhältnismässig grossen mittleren Gruppewiderspiegelt die Tatsache, dass viele der 31 Teilsektoren mehr oder weniger gleichkritisch und in diesem Bereich keine sinnvolle Kritikalitäts-Abgrenzung möglich ist.Innerhalb der drei Gruppen werden die Teilsektoren nach alphabetischer Reihenfolgeaufgeführt. Damit wird dem Umstand Rechnung getragen, dass eine scheinbargenaue Rangierung nicht sinnvoll ist, so [Ref. 12].

In Kapitel 3.3.1 wurde vor allem Bezug genommen auf den Kritikalitätsaspekt„Dependenz“ der Infrastruktursektoren. In Abschnitt 5 und 6 des SchweizerKritikalitätsberichts [Ref. 12] (siehe auch die Anlage zum vorliegenden Bericht)werden auch die anderen Kritikalitätsaspekte „Auswirkungen auf die Bevölkerung“und „Auswirkungen auf die Wirtschaft“ ausführlich erläutert. Die Gesamtbewertungdieser drei Kritikalitätsaspekte führt zu der Gruppierung der Kritikalität (sieheAbbildung 8). Im Anhang 1 zum vorliegenden Bericht werden dieHandlungsanweisungen des schweizerischen Kritikalitätsberichts [Ref. 12] als Zitatwiedergegeben.

3.4 Würdigung früherer Untersuchungen zur Sicherheit kritischerInfrastrukturen

Wenn über die Sicherheit von kritischen Infrastrukturen gesprochen wird, dreht sichdie Argumentation meist nur um die Verwundbarkeit von Teilstrukturen. Diese sinddann verwundbar, wenn es keine Grundstrategien der verantwortlichen Akteure(Staat oder Unternehmen) zum Schutz kritischer Infrastrukturen gibt. Hier haben dieeuropäischen Institutionen und auch einzelne Nationen durch Verabschiedungentsprechender Grundsatzpapiere Versäumtes nachgeholt. Papier ist jedochgeduldig.

Notwendig sind auch die inhaltliche Durchdringung und Bewertung derkomplexen Zusammenhänge vernetzter Infrastrukturen und die Erprobung vonErnstfällen.

Es ist unklar, ob z.B. die scheinbar bekannten Verwundbarkeiten vonRechnersystemen einen Einfluss auf die Verwundbarkeit von anderen kritischen(Informations-) Infrastrukturen haben. Hier sei an die kurzzeitige Panik der Broker ander New Yorker Börse vom 06.05.2010 nachdrücklich erinnert, da automatisierteComputerabläufe innerhalb kürzester Zeit große Kursstürze verursachten und damitden Finanzsektor in „Gefahr“ brachten.

An der inhaltlicher Durchdringung und Bewertung der komplexenZusammenhänge vernetzter Infrastrukturen wird intensiv gearbeitet, wie Projektez.B. in der Europäischen Union (< Design of an Interoperable European FederatedSimulation Network for Critical Infrastructures (DIESIS) [Ref. 19]; Integrated RiskReduction for Information-based Infrastructure Systems (IRRIIS)> [Ref. 36]), in derSchweiz und in Deutschland zeigen. Vorurteilfreies, systematisches undganzheitliches Vorgehen erweisen sich dabei von Vorteil.


Die Erprobung von Ernstfällen durch Planspiele und Simulationen diente nach[Ref. 37] in unterschiedlichen Staaten dazu, Auskünfte über die Verwundbarkeit undEigenschaften kritischer Infrastrukturen zu erhalten.

Jan Kuhn würdigt in seinem Beitrag [Ref. 37] von 2005 die bis dahin geleistetenAnstrengungen zum Schutz kritischer Infrastrukturen eher kritisch, bringt dabei einigebemerkenswerte Überlegungen ein.

Es erscheint dringend notwendig, sich (selbst)kritisch mit der Komplexität kritischerInfrastrukturen auch im politischen Umfeld auseinanderzusetzen. „Schlechtreden“,„Schönreden“, „Pauschalisieren“ von Annahmen und Ergebnissen von Simulationensind nicht angebracht. Das möge der folgende etwas ausführlichere Einschubzeigen.

Man kann nämlich - je nach Interpretationslage - zu ganz verschiedenenSchlußfolgerungen aus Planspielen, Übungen, Simulationen kommen, wie dieInterpretationen der Ergebnisse zur Cyber Terror Exercise (CYTEX) 2001 – Übungzeigen.

Zum Hintergrund (nach [Ref. 37]):

Unter der Schirmherrschaft der Industrieanlagen- und Betriebsgesellschaft (IABG) wurde einPlanspiel unter Beteiligung von staatlichen Organisationen und privaten Unternehmendurchgeführt. In der Übung wurde ein IT-Angriff von Globalisierungsgegnern auf die kritischenInfrastrukturen (KI) im Raum Berlin simuliert. Dort sollte, so das Szenario des Planspieles, eineinternationale Konferenz unter Leitung der Bundesregierung, stattfinden. Mit den Angriffen sollteerreicht werden, dass das öffentliche Leben in Berlin zusammenbricht, wodurch die Konferenzerzwungenermaßen abgebrochen werden müsste. Außerdem sollte laut Szenariobeschreibung dieRegierung erpresst werden, inhaftierte Mitglieder der angreifenden Gruppe aus ihrer Haft zuentlassen.Es sind nur Ergebnisse veröffentlicht, die Unterlagen des Planspieles selbst stehen unterVerschluss. Deshalb kann man bei der Sichtung der Veröffentlichungen zu dem Planspiel zuunterschiedlichen Schlüssen kommen. Rainhard Hutter, Mitarbeiter der IABG, kommtbeispielsweise zu folgendem Ergebnis:„Durch Informationsangriffe lassen sich die gesamte Infrastruktur und damit das öffentlicheLeben, die Funktionsfähigkeit der betroffenen Wirtschaftszweige und die politischeHandlungsfähigkeit massiv in die Knie zwingen. Nach und nach brechen Telefonverkehr,Transaktionsfähigkeit von Banken, Energie, Straßen-, Schienen- und Luftverkehr zusammen.Großveranstaltungen müssen abgesagt werden, es kommt zu Panikreaktionen und erheblichenwirtschaftlichen Schäden – und – es gab keine Zweifel, dass ein derartiges Szenario machbar istund so oder ähnlich real eintreten kann“ [Ref. 38].Durch solche Äußerungen wird suggeriert, dass auch die kritischen Infrastrukturen in Deutschlandverwundbar sind und dass die Verwundbarkeit ausgenutzt werden kann, um die SicherheitDeutschlands massiv zu gefährden. Zu einem ganz anderen Schluss gelangt man, wenn unterstelltwird, dass die in der Übung vorgenommenen IT-Angriffe als erfolgreich vorgegeben waren unddaher nur die Auswirkungen solcher Angriffe auf Entscheidungsträger und Infrastrukturensimuliert wurde. Die Schlussfolgerung aus der Übung ist dann nicht, dass die Verletzlichkeit vonkritischen Infrastrukturen gegeben ist, sondern dass unter der Voraussetzung, dass sie gegeben istund dass sie durch einen Akteur ausgenutzt werden kann, die unterschiedlichen Krisenstäbe nochnicht optimal zusammen arbeiten können und dass in diesem Bereich Nachholbedarf besteht. DesWeiteren ist darauf hinzuweisen, dass die Panikreaktionen in der Übung angenommen wurden.


Betrachtet man allerdings Erfahrungen mit den Stromausfällen im Sommer 2003 in den USA,Italien und Dänemark, wird deutlich, dass die Ausnutzung einer Verwundbarkeit, die zubestimmten Ereignissen (dem Ausfallen des Stroms) führen könnte, nicht unbedingt die in derÜbung angenommenen Auswirkungen – eine Panikreaktion der Bevölkerung – haben muss.Die Übung „CYTEX“, soll z.B. der Öffentlichkeit glaubhaft machen, dass die kritischenInfrastrukturen des Landes angreifbar sind und dass ein Angreifer dieses ausnutzen kann, umentweder den Strom im ganzen Lande abzuschalten oder öffentliche Panik zu verursachen. DieAbschaltung des Stroms würde dazu führen, dass kein System der modernen„Informationsgesellschaft“ mehr funktioniere. Obwohl es verständlich ist, dass nichtveröffentlicht werden kann, wie die Angriffe ausgeführt wurden, führt die Geheimhaltung dazu,dass die behaupteten Ergebnisse nicht überprüfbar sind. Im Rahmen von CYTEX wird deutlich,dass bestimmte Vorbedingungen, wie z.B. dass die Cyberangriffe erfolgreich waren, nichtgenannt werden, wodurch wiederum die Verwundbarkeit nicht richtig dargestellt wird. Aus denInformationen, die verfügbar sind, lässt sich nur schließen, dass eine Verwundbarkeit nichtbewiesen ist oder dass sie, falls es sie wirklich gibt, erst einmal nur von hoch spezialisiertenExperten ausgenutzt werden kann.Diese Überlegungen werden von einem anderen US-amerikanischen Planspiel mit Namen„Electronic Pearl Harbor“, welches 2002 durchgeführt wurde, bestätigt. In der vom US Naval WarCollege zusammen mit der Gartner Group veranstalteten dreitägigen Übung testeten SpezialistenRechnerangriffe auf KI. Das Ergebnis war, dass Angriffe sehr wahrscheinlich wenig erfolgreichsind, da sie beispielsweise dann, wenn sie gegen SCADA-Systeme von Energieversorgerngerichtet sind, meist nur zu kurzen Unterbrechungen der Stromversorgung führen würden.Darüber hinaus würde ein großer Angriff 200 Millionen US-Dollar kosten und eineVorbereitungsphase von mehreren Jahren benötigen. Wiederum sind keine genauen Einzelheitenzu diesem Planspiel bekannt. Allerdings widerspricht sie der Grundthese von leichtdurchzuführenden, kostengünstigen Angriffen mit katastrophalen Konsequenzen vollständig.

Zur Erkennung und Behebung von Schwachstellen im Krisenmanagement dienenseit 2002 in Deutschland länderübergreifende LÜKEX – Übungen(Länderübergreifende Krisenmanagementübung (EXercise)), die die Wirksamkeit der„Neuen Strategie des Bundes und der Länder zum Schutz der Bevölkerung“erproben sollen.

Fachkreise und die Öffentlichkeit kritisieren, so WIKIPEDIA, die zumeistoffensichtlich unrealistischen Annahmen. Allerdings hat sich mit derSchneekatastrophe im Münsterland 2005 und der H1N1-Grippe-Pandemie-Gefahr2009 jeweils bald nach den entsprechenden LÜKEX-Übungsannahmen gezeigt, dassdiese durchaus auf realen Gegebenheiten beruhen.

Ein weiterer Kritikpunkt ist die Aufarbeitung der Übungen. Die Bewältigung derLÜKEX wird zumeist als großer Erfolg dargestellt, auch wenn einzelne Szenarien beiweitem nicht ausreichend bewältigt wurden und auch die Zusammenarbeit immerwieder große Probleme verursacht, so WIKIPEDIA.


4 Visualisierung der Vernetzung von KI – Sektorenund ihrer Elemente

Untersuchungen zum Schutz kritischer Infrastrukturen benötigten eine strukturierteVorgehensweise. Das ist unmittelbar ersichtlich, denn viele Teilbereiche vonkritischen Infrastrukturen sind untereinander vernetzt, stehen in gegenseitigenAbhängigkeiten und unterliegen auch zeitlichen Einflüssen. Das wurde bereits ineiner früheren Grafik (siehe Abbildung 2) veranschaulicht. Auch ohneDetailüberlegungen lassen sich wechselseitige Abhängigkeiten der acht deutschenTeilsektoren (siehe Abbildung 1) kritischer Infrastrukturen und ihrer jeweiligenElemente vermuten (siehe Abbildung 9).

Abbildung 9: Vernetzung der Sektoren kritischer Infrastrukturen inDeutschland

Um komplexe vernetzte Situationen handhabbar und visualisierbar zu machen, bietetsich nach [Ref. 40] ein ganzheitlicher systemischer Ansatz an.

Ganzheitliche Verfahren versuchen die Komplexität der Situation in ihrer Gesamtheitaufzufassen und zu behandeln. Sie stehen damit im gewissen Gegensatz zur


traditionellen Herangehensweise, die einzelne Elemente der komplexen Situationenherausgreift, diese isoliert analysiert und löst. Dabei bedeutet ganzheitlichesVorgehen nicht, dass der Realitätsbereich vollständig erfasst werden soll, sondernletztlich nur, dass alle wesentlichen Variablen in ihren jeweiligen Zusammenhängenaufgegriffen werden sollen. Die Einschätzung, was im Einzelnen in der jeweiligenkomplexen Situation als wesentlich zu beurteilen ist, verbleibt letztendlich beimAnwender, so [Ref. 40].

Nach [Ref. 41] wächst in allen Bereichen die Zahl komplexer Aufgaben undProbleme. Die Komplexität besteht darin, dass viele Einflussfaktoren untereinander ineinem wechselseitigen Wirkungszusammenhang stehen, dass die Faktorenüberwiegend qualitativer Art sind und sich laufend verändern können. Dasherkömmliche Spezialistendenken hilft hier nicht weiter und führt allenfalls dazu, dasseine "Lösung" gefunden wird, welche ein viel größeres "Problem" erzeugt.

Das vernetzte Denken ist eine Methodik, die Probleme als dynamisches Netz ausEinflussfaktoren, Zielgrößen und Wirkungen sichtbar macht. Das Erfassen dervielfältigen Zusammenhänge im Wirkungsnetz schafft die Voraussetzung füradäquate Lösungen.

Als Brücke kann das "GAMMA-Konzept" dienen. GAMMA® = GanzheitlicheModellierung und Management komplexer Systeme, steht für eine Methodik undein PC-Werkzeug [Ref. 39].

Schwerpunkte:

Das PC-Werkzeug GAMMA® dient dem raschen Aufbau von Wirkungsnetzenmit vielfältigen Analysefunktionen. Mit GAMMA kann u.a. auf Metaplan undMindmapping aufbauend die Vernetzung von Faktoren visualisiert werden.

Die GAMMA-Methodik arbeitet mit einer detaillierter Arbeits-Checkliste überalle Phasen eines Problems hinweg – von der Wahrnehmung bis zurImplementierung der Lösung. Einzelthemen sind u.a.: Reduktion vonKomplexität, bildhafte Kommunikation, alternative Szenarien, Wirkungskreise,Einflussanalyse, Frühwarnindikatoren, Entwicklung von Handlungsstrategien.

GAMMA ist ein PC-Werkzeug:

Es macht komplexe Probleme durch Visualisierung diskussionsfähig(er) Es erleichtert, sich ein "Bild" zu machen und "in Bildern" zu kommunizieren Es macht weiter, wo Metaplan und Mindmapping ihre Grenzen haben Es ermöglicht Simulationen, aufschlussreiche Analysen und umfassende

Dokumentationen

GAMMA ist eine Methodik:

Sie hilft bei der frühzeitigen Erkennung von potentieller Gefahren wie auchChancen

Sie fördert damit die Umstellung vom Reparatur-Verhalten zur Problem-Prävention


Sie ist kein Lösungs-Algorithmus – hilft aber sehr, die "richtigen" Fragen zustellen

Sie hilft bei der Prioritätensetzung und schützt davor, dass die "Lösung" zum"Problem" wird

Sie führt zu "nachhaltigen" Lösungen

Die Methodik ist in der Software integriert. Kern ist eine detaillierte Arbeits-Checkliste, welche von der Wahrnehmung der Aufgabe, bzw. des Problems bis zurFrage der Implementierung der Lösung sämtlicher Phasen und Teilschritte umfasst,so [Ref. 41]. Erläuterungen findet man in [Ref. 2], [Ref. 42], [Ref. 43].

So sieht der Einsatz von GAMMA (z.B. am Beispiel der Funktionssicherheit derStromversorgung im Krankenhaus [Ref. 2]) aus:

Es werden die Wirkungszusammenhänge von Einflussfaktoren einesAufgabenkomplexes als System abgebildet.

Anschließend wird das System in verschiedener Weise analysiert undinterpretiert – und Folgerungen für mögliche Strategien und Maßnahmenabgeleitet.

WirkungsgefügeErmitteln der Einflussgrößen und Wechselbeziehungen:

Haben Elemente die gleichen Aktiv-Passiv-Werte-Paare, so werden sie an der gleichen Positiongezeigt. Diese wird durch einen Buchstaben z.B. (A) gekennzeichnet, der in der Liste der Elementeneben den Einflussfaktoren vermerkt wird (siehe die Grafik der Einflussanalyse weiter unten).


Einfluss-MatrixBewertung der Einflussstärke der Wechselbeziehungen

Einfluss-AnalyseDarstellung der Einflussstärke der Wechselbeziehungen

Haben Elemente die gleichen Aktiv-Passiv-Werte-Paare, so werden sie an dergleichen Position gezeigt. Diese wird durch einen Buchstaben z.B. (A)gekennzeichnet, der in der Liste der Elemente neben den Einflussfaktoren vermerktwird (siehe die Grafik der Einflussanalyse oben).


4.1 Erfassung der KI-Sektoren und ihrer Komponenten

Bereits in Kapitel 3.1 wurde erwähnt, dass es zwischen den Ländernunterschiedliche Auffassungen gibt, welche Infrastrukturen als kritisch zu betrachtensind.

Lfd.Nr. Sektor Teilsektor (TS) TS_CH TS_D

1 Energie Elektrizität 6 E1

2 Energie Kernenergie 32 E2

3 Energie Gas 8 E3

4 Energie Öl 7 E4

5 Versorgung Blaulicht-Organisationen 24 V1

6 Versorgung Lebensmittelversorgung 22 V2

7 Versorgung Wasserversorgung 23 V3

8 Versorgung Ärzte, KKH 14 V4

9 Versorgung Arzneimittelversorgung 15 V5

10 Versorgung Labor 16 V6

11 Versorgung Abwasserversorgung 9 V7

12 Versorgung Abfallversorgung 10 V8

13 Versorgung Kontrollpflichtige Abfälle 11 V9

14 Transport Schiene (Nah, Fern) 28 T1

15 Transport Luftverkehr 29 T2

16 Transport Schiff (Binnen, See) 30 T3

17 Transport Strasse 27 T4

18 Transport Post 31 T5

19 Behörden Regierung 1 B1

20 Behörden Behörden 33 B2

21 Behörden Verwaltung 34 B3

22 BehördenOrganisationen (auchinternational) 4 B4

23 Behörden Zivilschutz 25 B5

24 Behörden Bundeswehr 26 B6

25 Sonstiges Grosse Forsch. & Entw. 2 S1

26 Sonstiges Bauwerke, Kultur 3 S2

27 Finanzen Banken 12 F1

28 Finanzen Börsen 35 F2

29 Finanzen Finanzdienstleister 36 F3

30 Finanzen Versicherungen 13 F4

31 Gefahrstoffe Chemie- und Biostoffe 5 G1

32 Gefahrstoffe Gefahrguttransporte 37 G2

33 Gefahrstoffe Rüstungsindustrie 38 G3

34 IT und TK Informationssysteme 18 I1

35 IT und TK Internet 19 I2

36 IT und TK Instrumentationssysteme 20 I3

37 IT und TK Telekommunikationssysteme 17 I4

38 IT und TK Medien) 21 I5

Tabelle 6: Liste der 38 Komponenten von KI_Sektoren in Deutschland


In diesem Bericht wird auf den KI-Sektor-Übersichten der EU, des deutschenBundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und desdeutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgebaut(siehe Tabelle 2 und Abbildung 1). Zudem wird die Liste der KI-Sektoren der Schweiz(siehe Tabelle 3) herangezogen und anhand des KI – Katalogs des BSI [Ref. 44]leicht erweitert (siehe Tabelle 6).

In [Ref. 44] werden Erläuterungen zu den kritischen Infrastrukturen gegeben.

Energieversorgung (E)

Die meisten technischen Geräte funktionieren heute nicht ohne Energie. Dies verhältsich beim einfachen Radio nicht anders als bei einer hochkomplexen industriellenFertigungsanlage. Auch Informationstechnik ist ohne eine unterbrechungsfreieEnergieversorgung nicht ständig verfügbar. Dieses Abhängigkeitsverhältnis ist demNutzer häufig nicht bewusst, da die Verwendung technischer Geräte heuteselbstverständlich und die zuverlässige Versorgung mit Energie zudem (inIndustrienationen) beinahe immer gewährleistet ist. Das Energiewesen bildet eineneigenen Infrastruktursektor, beschreibt aber auch eine Basisinfrastruktur, von der alleanderen Sektoren abhängig sind.

Besonders kritische, von IT abhängige Systeme dieses Infrastruktursektorssind u. a.:Steuerung und Regelung der Energieerzeugereinrichtungen, Steuerung undRegelung von Einrichtungen der Energieübertragung, Steuerung undRegelung der Energieverteilung

Versorgung (V)

Der Versorgungssektor umfasst eine Vielzahl von Einrichtungen, dieGrundbedürfnisse der Bevölkerung sichern (z. B. Wasser- undLebensmittelversorgung) und bei Gefahr für Gesundheit und Leben (z. B. Notfall- undRettungswesen) direkt oder indirekt Hilfe leisten. Auch wenn diese Hilfeleistungen alssolche zu großen Teilen auch noch ohne den Einsatz von IT möglich sind, spielenInformationstechnologien vor allem bei der Kommunikation und Organisation wieauch bei der Einsatzleitung eine tragende Rolle.

IT kommt im Infrastruktursektor Versorgung vor allem in folgenden Bereichenzum Einsatz:Einsatzleitzentralen, (Sonder-) Kommunikationsverbindungen, Datenbanken

Speziell im Gesundheitswesen sind folgende Bereiche von IT abhängig:Krankenhausmanagement, Datenbanken mit vertraulichenPatienteninformationen, technische Leitstellen und Steuerungseinrichtungen,Medizintechnik

Transport und Verkehrswesen (T)

Wirtschaft und öffentliches Leben benötigen Güter, die fast nie direkt an ihrenGewinnungsorten oder Produktionsstätten genutzt und/oder weiterverarbeitetwerden. Ferner müssen Personen mobil sein, um an ihren Arbeitsplatz zu gelangen


oder Geschäfte beruflicher oder privater Art zu tätigen. Dazu stellen dieEinrichtungen des Transport- und Verkehrswesens bauliche Infrastrukturen (z. B.Straßen und Flughäfen) zur Verfügung und übernehmen bzw. organisieren denTransport von Personen und Gütern. Zusätzlich steuern und kontrollieren sie denVerkehrsfluss. Siehe dazu auch die Diagramme in Anhang 2 dieses Berichts.

Besonders kritische, von IT abhängige Systeme dieses Infrastruktursektorssind u. a.:Leitstellen, Prozessleittechnik, Logistikmanagement, Verkehrsmanagement,Verkehrssicherheit, Navigation

Behörden, Verwaltung und Justiz (B)

Das Erbringen von Dienstleistungen für den Bürger und das Aufrechterhalten deröffentlichen Sicherheit und Ordnung – auch in Krisenfällen – sind Aufgabe vonRegierung, öffentlicher Verwaltung und Justiz. Um die Erbringung dieserDienstleistungen und damit vor allem auch die Kommunikations-, Führungs- undEntscheidungsfähigkeit dieser Institutionen sicherzustellen, sindInformationstechnologien von entscheidender Bedeutung.

Von besonderer Bedeutung sind unter IT-Gesichtspunkten u. a.:gesicherte Kommunikation, spezifische Informationssysteme, Datenbanken,Leitstellen / Lagezentren

Sonstiges (S)

In diesem Sektor werden Branchen zusammengefasst, die keinem der anderenSektoren zugeordnet werden können, trotzdem aber kritische Infrastrukturenbeschreiben. Es gibt in Deutschland Institutionen bzw. Einrichtungen, die für dieGesellschaft wichtig sind, bzw. die für die Identifizierung mit der deutschenGeschichte, Kultur und Lebensweise eine herausragende Rolle spielen. WährendMedien und Großforschungseinrichtungen noch direkt von Informationstechnologienabhängig sind, da hier Informationen erstellt, verwaltet und kommuniziert werdenmüssen, zudem Produktions- und Steuerungsprozesse durch IT gesteuert werden,sind herausragende Bauwerke und Kulturgut vor allem von symbolischem Wert undnur in geringer Form direkt von IT abhängig.

Finanz-, Geld- und Versicherungswesen (F)

Staat und Wirtschaft aber auch die Bürger sind zwingend auf Bank-, Versicherungs-und Finanzdienstleistungen angewiesen. Von IT abhängige Dienstleistungen wieOnline-Banking oder IT-gestützte Steuererklärungen werden immer mehr zurSelbstverständlichkeit. Große Transaktionen wie z. B. an den Börsen sind ohne ITnicht mehr möglich. Die Gesellschaft setzt großes Vertrauen in diesenInfrastruktursektor und damit auch in die dort eingesetzte Informationstechnik.Finanz-, Geld- und Versicherungswesen bilden einen eigenen Infrastruktursektor,


beschreiben aber auch eine Querschnittsinfrastruktur, von der alle anderen Sektorenabhängig sind.

Für das reibungslose und zuverlässige Funktionieren dieses Sektors sind u. a.folgende Komponenten wesentlich:sichere Kommunikation innerhalb und zwischen den jeweiligen Instituten,branchenspezifische Datenverarbeitungsprogramme, bargeldloserZahlungsverkehr, Interbankenverkehr, Abrechnungssysteme

Gefahrstoffe (G)

Zur Produktion wichtiger wirtschaftlicher Güter aber auch zum Schutz unseresStaates werden Stoffe und Produkte benötigt, die per se über ein großesGefahrenpotenzial verfügen. Es ist daher von entscheidender Bedeutung, dieseGüter bzw. Stoffe vor jeglichem Missbrauch zu schützen, gleichzeitig aber auch ihrekontrollierte Verwendung zu ermöglichen. Dies umfasst den Aspekt des Transportesdieser Güter und Stoffe zu ihren Einsatzorten und Verarbeitungs- und Lagerstätten.

Besonders kritische, von IT abhängige Systeme dieses Infrastruktursektorssind u. a.:Steuerung, Regelung, Überwachung und Distribution der Erzeugung vonChemie- und Biostoffen, Überwachung von Gefahrguttransporten

Informationstechnik und Telekommunikation (I)

Die tägliche Verwendung aber auch die Abhängigkeit von Informationen undInformationstechnologien sind prägende Merkmale der heutigen Gesellschaft. IhreVorteile werden von Staat, Wirtschaft und Bürgern gleichermaßen genutzt. DieFähigkeiten zu einer ortsunabhängigen Kommunikation, zur schnellenDatenübertragung sowie die Fähigkeit zur Prozesssteuerung und -optimierungspielen dabei tragende Rollen.Informationstechnik und Telekommunikation bilden einen eigenen Infrastruktursektor,beschreiben aber auch eine Querschnittsinfrastruktur, von der alle anderen Sektorenabhängig sind.

Neben den klassischen Informationsübertragungsmitteln wie Festnetztelefonie, Funkund Rundfunk kommt vor allem neueren Techniken wie Mobilfunkdiensten undInternet eine Schlüsselaufgabe zu, so [Ref. 44].

Eine andere Darstellung in Organigrammform ist Abbildung 10 zu entnehmen. Dortsind auch farbliche Hinweise zum Kritikalitätsstatus zu ersehen (siehe Kapitel 3.3.1und [Ref. 12]). Die noch nicht vernetzte GAMMA – Struktur ist einige Seiten weiter inAbbildung 11 dargestellt.


Abbildung 10: Darstellung der KI-Sektoren in Organigrammform


Gamma-ID

KI-KomponentenAbkürzung

Namen der KI – Komponenten

1 B1 Regierung2 B2 Behörden3 B3 Verwaltung4 B4 Organisationen (auch international)5 B5 Zivilschutz6 B6 Bundeswehr7 E1 Elektrizität8 E2 Kernenergie9 E3 Gas10 E4 Öl11 F1 Banken12 F2 Börsen13 F3 Finanzdienstleister14 F4 Versicherungen15 G1 Chemie- und Biostoffe16 G2 Gefahrguttransporte17 G3 Rüstungsgüter18 I1 Informationssysteme und –netze19 I2 Internet20 I3 Instrumentationssysteme (z.B. SCADA)21 I4 Telekommunikationssysteme22 I5 Medien (Rundfunk, Fernsehen usw.)23 S1 Grosse Forschungs- und

Entwicklungseinrichtungen24 S2 Schutzwürdige Bauwerke und Kulturgüter25 T1 Schiene (Nah, Fern)26 T2 Luftverkehr27 T3 Schiff (Binnen, See)28 T4 Strasse29 T5 Post30 V1 Blaulicht-Organisationen31 V2 Lebensmittelversorgung32 V3 Wasserversorgung33 V4 Ärzte, Krankenhaus34 V5 Arzneimittelversorgung35 V6 Labor36 V7 Abwasser37 V8 Abfallentsorgung38 V9 Abfallentsorgung (kontrollpflichtig)

Tabelle 7: Elementliste der 38 KI-Sektoren in Deutschland

Um eine Wissensdatenbasis aufzubauen, könnte man nun eine weitere Spalte zurElementliste hinzufügen. Dort könnten Eigenschaften, Erkenntnisse, Hinweise zu denjeweiligen Komponenten Platz finden.

In dieser ersten Phase der Untersuchung ist es also wichtig, alle relevantenEinflußfaktoren (bzw. Zielgrößen) herauszuarbeiten und keinen Einflußfaktor zuvergessen.


Abbildung 11: Grafisch geordnete Liste der KI-Sektoren (unvernetzt)

Was jetzt noch strukturiert und übersichtlich aussieht, wird bei der Berücksichtigungvon gegenseitigen Abhängigkeiten der KI-Komponenten untereinander schnell zueinem undurchdringlichen Netz der Wechselwirkungen (siehe Abbildung 12).

4.2 Darstellung von KI - Wirkungsbeziehungen

Nun gilt es, Wirkungsbeziehungen anzugeben [Ref. 43]:

Welche Elemente wirken aufeinander? Darstellung der Wirkungen durch Verbindungspfeile. Aufbau einer

„Vernetzung“

Zudem kann man die Wirkungsintensität angeben [Ref. 43]:

Wie stark sind die Wirkungen der Einflussgrößen untereinander? (In derNetzdarstellung wird die unterschiedliche Wirkungsstärke durch diie Dicke derPfeile visualisiert.


Wirkung Pfeil Wichtung fürWeiterverarbeitung

schwache Wirkung dünner Pfeil 1

Mittlere bis starke Wirkung mittlere Pfeilstärke 2

sehr starke Wirkung Dicker Pfeil 3

Ausnahme: übersteuerndeWirkung

Sonderpfeilstärke 4-9

Man kann nach [Ref. 43] auch die Wirkungsart angeben: Ist die Wirkunggleichgerichtet / verstärkend? Ist die Wirkung entgegengerichtet /abschwächend? Dabei bedeutet:

Gleichgerichtet/verstärkend: Verstärkung (Abschwächung) von X führtdazu, dass sich auch Y verstärkt (abschwächt) bzw.

Entgegengerichtet/abschwächend: Verstärkung (Abschwächung) von Xführt dazu, dass sich Y abschwächt (verstärkt).

Abbildung 12: Netzdarstellung des Wirkungsnetzes der KI-Komponenten


Bei der Darstellung der Abhängigkeiten der Komponenten der kritischenInfrastruktursektoren treten nur gleichgerichtete Wirkungsarten auf. Daher wird indiesem Fall auf die zusätzliche Kennzeichnung durch (Plus)-Pfeilspitzen verzichtet.

Es ist aus Abbildung 12 ersichtlich, dass man sehr schnell ein undurchsichtiges Netzvon Abhängigkeiten zu durchdringen hat, die Visualisierung zumindest desWirkungsnetzes für die relativ grosse Anzahl der Komponenten der KI-Sektorenbringt also keinen Erkenntnisgewinn. Man hat in dem vorliegend Beispiel die maximaldenkbare Anzahl der Komponentenabhängigkeiten bei (382 – 38 = 1406)Möglichkeiten in Betracht zu ziehen. Daher empfiehlt es sich, Unterstrukturen zubilden (Teilnetze/Subnetze), bzw. eine kompaktere Darstellung mit Beschränkung aufdie großen Teilsektoren gemäß Abbildung 13 wählen. Darauf wird spätereingegangen.

Abbildung 13: Netzdarstellung (kompakt) der acht KI-Sektoren

4.3 Einflussanalyse/Wirkungsanalyse

Bislang wurde lediglich eine eher undurchsichtige Netzdarstellung der Komponentender kritischen Infrastrukturen angeboten. Dennoch wüßte man gerne, welcheEinflussgrößen denn bei der Vielzahl der zu berücksichtigen Größen einehervorgehobene Rolle spielen. Es ist also an der Zeit, eine Einflussanalysedurchzuführen.


Folgt man dem GAMMA-Tutorial [Ref. 43] so ergeben sich die folgendenFragestellungen:

Welche Rolle spielen die einzelnen Einflussgrößen im System? Wie stark ist die aktive Einflussnahme? Wie stark ist die passive Beeinflussung? Welche Kräfteverhältnisse sind erkennbar? Wo kann wirkungsvoll eingegriffen werden? Wo fehlen Eingriffsmöglichkeiten?

In einem farbig angelegten Koordinatensystem erscheinen alle Einflussgrößen desaktuellen Wirkungsnetzes, angeordnet nach ihrem Aktiv-Passiv-Verhalten. Dabeizeigen die

x Koordinaten, wie aktiv ein Element in diesem Netz ist, wie stark es aktiv indiesem Netz wirkt: Achse Einflussnahme

y Koordinaten, wie passiv ein Element ist, wie stark es in diesem Netz beein-flusst wird: Achse Beeinflussung

D.h., je aktiver ein Element ist, desto weiter rechts ist es im Koordinatensystemangeordnet. Je mehr ein Element beeinflusst wird, je passiver es ist, desto weiteroben wird es im Koordinatensystem angeordnet.


Zur leichteren Übersicht und Analyse wird die grafische Darstellung in vierQuadranten unterteilt, für die sich die folgenden Bezeichnungen eingeführt haben:

PassivElemente in diesem

Quadranten beeinflussenandere Elemente wenig ,werden ihrerseits jedoch

stark von anderenElementen beeinflußt.Sie werden auch als"reaktiv" bezeichnet.

KritischElemente in diesem

Quadranten beeinflussenandere Elemente stark ,

werden aber auchihrerseits stark vonanderen Elementen

beeinflußt.

PufferndElemente in diesem

Quadranten beeinflussenandere Elemente wenigund werden auch wenigvon anderen Elementen

beeinflußt.Sie werden auch als"träge" bezeichnet.

AktivElemente in diesem

Quadranten beeinflussenandere Elemente stark ,werden ihrerseits jedochnur wenig von anderenElementen beeinflußt.

Die Grenzen zwischen diesen Bereichen sind natürlich fließend. Dies wird auchdurch die Farbübergänge angedeutet.

Ermittlung der Koordinaten in der Einflussanalyse

Die Aktiv- bzw. Passiv-Werte = x/y-Koordinaten eines Elementes errechnen sich ausder Zahl und dem Gewicht der abgehenden (aktiven) bzw. eingehenden (passiven)Verbindungen. Dies kann an folgender Matrixdarstellung erläutert werden:

Dabei gilt:

Die Zeilen enthalten die von dem jeweiligen Element ausgehende Wirkung aufdie jeweils anderen: Zahlenwert, welcher der Pfeilstärke entspricht.

Zeilen- und spaltenweise werden die Zahlenwerte addiert.

Der höchste Aktiv- oder Passiv-Wert wird als Normgröße (100 %) angesetzt, aufwelche alle Werte in der grafischen Darstellung skaliert werden.


... auf die anderen Größen(Passiv)

1 2 3

Zeilensumme

1

wirktnichtdirekt aufsichselbstzurück

Wirkungvon 1 auf2

Wirkungvon 1 auf3

Aktiv-summezu 1

2Wirkungvon 2 auf1


Wirkungvon 2 auf3

Aktiv-summezu 2

Wirkungder jeweiligenGrößen (aktiv)...

3Wirkungvon 3 auf1

Wirkungvon 3 auf2


Aktiv-summezu 3

SpaltensummePassiv-summezu 1

Passiv-summezu 2

Passiv-summezu 3

Beispiel:

... auf die anderen Größen(Passiv)

1 2 3

Zeilen-summe

1 - 2 1 3

2 1 - 3 4

WirkungderjeweiligenGrößen(aktiv)...

3 3 3 - 6

Spaltensumme

4 5 4

Der höchste Summenwert ist hier der Aktiv-Wert für Einflussgröße 3, der Wert 6.


Bedeutung der Werte:

Je höher die Zeilensumme = Aktivsumme, desto mehr Wirkung geht vondem betreffenden Element insgesamt im Wirksystem aus. Anordnung weiterrechts in der Grafik.

Je höher die Spaltensumme = Passivsumme, desto mehr wird das betref-fende Element insgesamt von allen anderen beeinflusst. Anordnung weiteroben in der Grafik.

(siehe GAMMA Tutorial [Ref. 43])

Dem Beispiel der Netzdarstellung der Funktionssicherheit der kritischenInfrastruktursektoren und ihrer Komponenten liegt eine Element-EinflussmatrixTabelle 8 zugrunde.

Tabelle 8 gibt (je nach Wahl der Pfeilstärken im Netzdiagramm in Abbildung 14) klareHinweise darauf, wo beim Eingriff in die Problemsituation mit den größtenHebelwirkungen gerechnet werden kann, und wo wegen zu erwartenderKettenreaktionen Vorsicht am Platze ist.

Auch ohne Visualisierung sieht man die wesentlichen beeinflussten Größen aus derletzten Zeile der Tabelle 8:

Gamma-ID



6 B6 Bundeswehr33 V4 Ärzte, Krankenhaus30 V1 Blaulicht-Organisationen17 G3 Rüstungsgüter3 B3 Verwaltung23 S1 Grosse Forschungs- und

Entwicklungseinrichtungen2 B2 Behörden

Die wesentlichen „treibenden“ Einflussgrößen sieht man aus der letzten Spalte derTabelle 8 :

Gamma-ID



7 E1 Elektrizität21 I4 Telekommunikationssysteme18 I1 Informationssysteme und –netze28 T4 Strasse

Wirkungsvoller jedoch ist die grafische und farbige Darstellung der Einflussgrössenfür die Funktionssicherheit der kritischen Infrastruktursektoren und ihrerKomponenten in einem Enflussgrößen – „Koordinatensystem“ (Abbildung 14).


Tabelle 8: Element-Matrix der Funktionssicherheit der KI-Sektoren und -elemente


Abbildung 14: Einflussanalyse Funktionssicherheit der KI-Sektoren und -elemente


Die Größen 7, 21, 18, 28, Elektrizität (E1), Telekommunikationssysteme (I4),Informationssysteme – und netze (I1), Strasse (T4), liegen im roten Quadranten(rechts unten). Sie sind überwiegend "aktiv", dabei relativ wenig beeinflussbarDominant ist die Größe 7, Elektrizität (E1), d.h. die Stromversorgung. Die Größen21 und 18 jedoch, Telekommunikationssysteme (I4), Informationssysteme – undnetze (I1), könnten Einflussfaktoren sein, über die man u. U. viel erreichen kann,wenn es gelingt, sie im Sinne der Zielsetzung zu verändern.

Es liegen keine Größen im blauen Quadranten (links oben), dem Quadranten für dieüberwiegend "passiven" (also beeinflussten) Elemente. Jedoch scheint es so, dassdie Grössen 6 und 33, also die Funktionsfähigkeit der Bundeswehr (B6) und dieKomponente der ärztlichen Versorgung (V4) ganz besonders empfindlich aufEinflussnahmen reagieren. Hier ist bei weiteren Analysen vor allem zu betrachten,wie sich die verschiedenen Einwirkungen auf solche Elemente verhalten.

Liegen Elemente innerhalb des grünen Quadranten (links unten), so werden sie als"träge" bezeichnet als Ausdruck dafür, dass diese Elemente wenig beeinflussen undwenig beeinflusst werden.

Man kann aber auch erkennen, dass z.B. bei einer stärkeren aktiven Einflussnahmeder Größe 11, der Funktionsfähigleit der Banken (F1), diese zunächst eher „träge“Größe 11 zu einem „treibenden“ (roter Bereich, rechter unterer Quadrant) Elementwerden kann.

Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen werden dasVerhalten des Gesamtsystems der kritischen Infrastrukturen empfindlichbeeinflussen.

Bemerkung:

Die tabellarische und die visualisierte Darstellung des Wirkungsgefüges desSystems kritischer Infrastrukturen können nur ein helfendes Werkzeug und eineAnregung sein, Komplexität sichtbar und durchschaubar zu machen. Die Darstellungund die Schlußfolgerungsmöglichkeiten sind nur so gut, wie die notwendigeEinbringung von Expertenwissen und die Diskussion im Team über Einflussgrößenund deren Abhängigkeiten erfolgt sind.

Das gewählte Visualisierungsverfahren kann dabei helfen, bei der Analysekomplexer Systeme nicht Wesentliches ausser Acht zu lassen.

Man kann die Visualisierungsmethode GAMMA dazu nutzen, dieWirkungsaufnahme und Wirkungsausbreitung von Komponenten im Netz derkritischen Infrastrukturen aufzuzeigen. Das ist dann eine Wirkungskettenanalyse.


Zur Wirkungskettenanalyse liest man in [Ref. 43]:

Wie breiten sich bei Eingriffen die Wirkungen im Netz aus? Über welche Wirkungsketten sind Wirkungen auf eine betrachtete Einflussgröße zu

erreichen? Welche indirekten Wirkungsbeziehungen bestehen?

Diese Analyse ergänzt also die Einflussanalyse.

Wirkungsausbreitung: Die Analyse der Wirkungsausbreitung kommt inBetracht, wenn man sich für die Wirkungen interessiert, die von einembestimmten Element ausgehen:

Über welche Stationen werden welche Größen beeinflusst? Mit dieserAnalyse kann man beispielsweise erkennen, welche indirektenWirkungen von einem vorgesehenen Eingriff auf die verfolgten Zieleausgehen.

Wirkungsaufnahme: Die Analyse der Wirkungsaufnahme kommt inBetracht, wenn man sich dafür interessiert, von welchen Elementen einbestimmtes Element beeinflusst wird:

Über welche Stationen wird das Element beeinflusst? Diese Analysekann Aufschluss geben über die Ursachen von Veränderungen beiEinflussfaktoren und Zielen.

Einflussanalyse und Wirkungskettenanalyse lassen sich kombinieren:

Es macht bei gleich starken aktiven Elementen einen großen Unterschied, ob diejeweils beeinflussten Elemente ebenfalls aktive sind oder etwa überwiegend passive.

Im ersten Fall breitet sich eine Veränderung des betrachteten Elementes auf großeBereiche des Gesamtnetzes aus.

Im zweiten Fall bleiben die Auswirkungen lokal sehr begrenzt. Im Extremfall kann sich ein "puffernder/träger" Faktor in der Ausbreitungsanalyse als

sehr Einflussreich erweisen: Dann nämlich, wenn die wenigen von ihm beeinflusstenVariablen ihrerseits sehr aktiv sind.

Da es nur einiger Mausklicke bedarf, kann man rasch herausfinden, welchen Wirkungskettenbesondere Aufmerksamkeit zu schenken ist.

Angezeigte Ausbreitungswege sind zu reflektieren! Veränderungen einesElementes können andere Elemente erst dann spürbar beeinflussen, wenn einebestimmte Intensität ("Schwellenwert") erreicht wird. Geht die Wirkung über mehrereStufen, nimmt die Stärke der indirekten Wirkung meist ab. Dementsprechend sind dieangezeigten Auswirkungen zunächst nur als Möglichkeiten zu verstehen: Ob es unterdiesem Aspekt der abklingenden Wirkung tatsächlich zu spürbaren indirekten Einwir-kungen kommt, ist im konkreten Fall zu prüfen.

Was allgemein gilt, muss nicht auch in jeder konkreten Wirkungskette gelten!

Die Abfolge bei Wirkungsaufnahme und Wirkungsausbreitung wurde bereits in einemanderen Bericht [Ref. 2] am Beispiel der Funktionsfähigkeit des internen Stromnetzesder kritischen Infrastruktur „Krankenhaus“ gezeigt.


Im vorliegenden Bericht wählen wir lediglich zwei Beispiele aus:

Wirkungsaufnahme: von welchen Elementen wird Element 33 (Ärzte,Krankenhaus V4) beeinflusst:

Abbildung 15: Wirkungsaufnahme des Infrastrukturelements <Ärzte, KKH V4>

Beeinflussende Elemente (besondere Wichtigkeit haben dabei die (grün) markiertenGrößen), die auf Element 33 (Ärzte, Krankenhaus V4) wirken:

Gamma-ID



7 E1 Elektrizität11 F1 Banken14 F4 Versicherungen18 I1 Informationssysteme und –netze19 I2 Internet20 I3 Instrumentationssysteme (z.B. SCADA)21 I4 Telekommunikationssysteme22 I5 Medien (Rundfunk, Fernsehen usw.)28 T4 Strasse29 T5 Post32 V3 Wasserversorgung34 V5 Arzneimittelversorgung35 V6 Labor36 V7 Abwasser37 V8 Abfallentsorgung38 V9 Abfallentsorgung (kontrollpflichtig)


Wirkungsausbreitung: Welche Wirkung geht von Element 7 (Elektrizität E1) aus:

Abbildung 16: Wirkungsausbreitung des Infrastrukturelements <Elektrizität E1>

Die Funktionsfähigkeit der Stromversorgung (Elektrizität E1) hat Auswirkung auf alleanderen Infrastrukturelemente. Besondere Wichtigkeit haben dabei dieWirkungsstränge in Richtung der Informationstechnik und Telekommunikation (I),des Finanz- Geld- und Versicherungswesens (F), der Versorgung (V), derGefahrstoffe (G).

4.4 Kritikalitätsüberlegungen

Entsprechend den Vorgaben aus [Ref. 12] (oder im Anhang des vorliegendenBerichts dort Abschnitt 6.1) wurde wie in Kapitel 3.3.1 für jeden der 38 Teilsektorenabgeschätzt, wie stark ein Ausfall die anderen Teilsektoren betreffen würde. DieAuswirkungen wurden jeweils mit Werten zwischen 0 (keine Auswirkungen) bis 3(grosse Auswirkungen) angegeben.


Tabelle 9: Erfassung der Dependenz (KI-Sektoren und -elemente Deutschland)


Vorgehensweise (nach [Ref. 12]:

Fragestellung: Wie stark sind die direkten Auswirkungen auf Teilsektor X,wenn Teilsektor Y vollständig ausfällt?

Werte:

0 = keine Dependenz (keine direkte Verbindung zwischen denTeilsektoren).

1 = kleine Dependenz (der andere Teilsektor kann seine Leistung mitleichten Einschränkungen weiterhin ausüben).

2 = mittlere Dependenz (der andere Teilsektor kann seine Leistung nurnoch eingeschränkt ausüben).

3 = grosse Dependenz (der andere Teilsektor kann seine Leistung nichtmehr ausüben).

In einem ersten Schritt werden die Werte für die Anzahl der abhängigenTeilsektoren (die zwischen 0 und 31 liegen) skaliert:

Werte "Anzahl abhängige Teilsektoren"

o klein (1) = 1 - 13o mittel (2) = 14 - 26o gross (3) = 27- 38o keine (0) = 0

Anschliessend wird die durchschnittliche Stärke der Abhängigkeiten ermittelt.Zu diesem Zweck wird die Gesamtsumme der Dependenzen durch die Anzahlder direkt betroffenen Teilsektoren dividiert. Das kann man dann z.B. in dievorletzte Spalte der Tabelle 9 eintragen. Die daraus resultierenden Wertewerden wie folgt skaliert:

Werte "Ø Ausmass Dependenz"

o klein (1) = 1,00 - 1,66 Kritikalitätswert: 1o mittel (2) = 1,67 - 2,33 Kritikalitätswert: 2o gross (3) = 2,34 - 3,00 Kritikalitätswert: 3o keine (0) = 0

Die beiden ermittelten Werte zur "Anzahl abhängiger Teilsektoren" und zum„Ø Ausmass der Dependenz“ werden zur Beurteilung des Kriteriums„Dependenz“ herangezogen. Dazu nutzen wir die Möglichkeiten des zugrundeliegenden Excel-Arbeitsblatts.

Die Anzahl betroffener Teilsektoren(-elemente) in der drittletzten Spalte der Tabelle 9ermittelt man durch Zählen der nichtleeren Zellen der Zeilen der kritischen Größen 1bis 38 mittels der Excel-Funktion ZÄHLENWENN:

ZÄHLENWENN(X;“>“)


Um das durchschnittliche Ausmass der Dependenz in der letzten Spalte der Tabelle9 zu erhalten, ermittelt man zunächst im ersten Schritt den Quotienten ausGesamtsumme der Dependenzen für Grösse X dividiert durch Anzahl der direktbetroffenen Teilsektoren(-elemente) für jede der kritischen Größen 1 bis 38 und nutztdie Excel-Funktionen WENN und RUNDEN:

Aussage A: (Gesamtsumme der Dependenzen für Grösse X)

Aussage B: (Gesamtsumme der Dependenzen für Grösse X dividiert durch Anzahlder direkt betroffenen Teilsektoren(-elemente)

WENN(A;0;RUNDEN(B;2))

Damit hat man die Zahlenwerte für die vorletzte Spalte der Tabelle 9. Nun nutzt manDie Ergebnisse der vorletzten Spalte der Tabelle 9 und das Bewertungsschema ausKapitel 3.2.1 (siehe Abbildung 4) und Kapitel 3.3.1 (siehe Abbildung 7), um diedurchschnittliche Dependenzwerte der letzten Spalte in Tabelle 9 zu erhalten.

Im zweiten und letzten Schritt nutzt man verschachtelte Excel-WENN-Funktionen,um das Bewertungsschema nach Abbildung 7 nachzubilden.

WENN(A;1;WENN(B;2;WENN(C;3,0)))

wobei:

Bedingung A: (Y > 1 UND Y < 1,67) wahr, dann: 1Bedingung B: (Y >= 1,67 UND Y < 2,33) wahr, dann: 2Bedingung C: (Y > =2,34 UND Y <= 3) wahr, dann: 3

Die farbliche Abstufung im Excel-Arbeitsblatt (siehe Tabelle 9) erhält man durchNutzung der „bedingten Formatierung“ von Zell-Inhalten.


5 Visualisierung (kompakt) der Vernetzung von achtKI – Sektoren

5.1 Wirkungsdarstellung und –analyse (kompakt)

Es ist aus Abbildung 12 in Kapitel 4.2 ersichtlich, dass man sehr schnell einundurchsichtiges Netz von Abhängigkeiten zu durchdringen hat. Die Visualisierungzumindest des ausführlichen Wirkungsnetzes bringt für die relativ grosse Anzahl derKomponenten der KI-Sektoren also keinen Erkenntnisgewinn. Daher empfiehlt essich, entweder Unterstrukturen zu bilden (Teilnetze/Subnetze) oder eine kompaktereDarstellung mit einer Beschränkung auf die großen Teilsektoren gemäß Abbildung17 = Abbildung 13 wählen.

Abbildung 17: Netzdarstellung (kompakt) der acht KI-Sektoren

Gamma-ID



1 E Energie2 V Versorgung3 T Transport, Verkehr4 B Behörden, Verwaltung5 S Sonstiges6 F Finanzen, Geld, Versicherungen7 G Gefahrstoffe8 I IT und TK

Tabelle 10: Elementliste der acht KI-Haupt-Sektoren in Deutschland


Teil a): Gesamtsumme Dependenzen Block X auf Block Y aus Tabelle 8

B E F G I S T VB 26 4 6 7 8 2 0 5E 22 7 11 21 15 6 22 27F 8 5 19 1 5 2 5 6G 0 0 0 4 0 3 0 12I 43 11 37 9 36 7 26 31S 3 0 0 0 0 0 0 0T 22 9 2 19 9 4 12 29V 17 2 4 9 4 6 5 31

Teil b):aus Teil a) erzeugt: B-Zeilenwerte/6 ; E- und F-Zeilenwerte/4 ;

I- Und T-Zeilenwerte/5 , S-Zeilenwerte/2 ; V-Zeilenwerte/9 ;


Teil c):aus Teil b) erzeugt: Alle Zellen aus Teil b) durch 3 teilen und aufrunden


Teil d):aus Teil c) erzeugt: Zeilen und Spalten wurden in der Reihenfolge

E, V, T, B, S, F, G, I sortiert

E V T B S F G IE 0 3 2 2 1 1 2 2V 1 0 1 1 1 1 1 1T 1 2 0 2 1 1 2 1B 1 1 0 0 1 1 1 1S 0 0 0 1 0 0 0 0F 1 1 1 1 1 0 1 1G 0 2 0 0 1 0 0 0I 1 3 2 3 1 3 1 0

Tabelle 11: Umsetzungsschritte von KI-Element-Matrix (groß auf kompakt)


Die Element-Matrix Tabelle 8 zur ausführlichen Einflussanalyse der KI-Sektoren(siehe Abbildung 14) aus Kapitel 4.3 führte mit Hilfe der Umsetzungsschritte inTabelle 11 zu Tabelle 12 und bildete die Grundlage für die kompakte Einflussanalysein Abbildung 18.

Tabelle 12: Element-Matrix der Funktionssicherheit der acht KI-Haupt-Sektoren

Abbildung 18: Einflussanalyse Funktionssicherheit der acht KI-Hauptsektoren


Die Elemente 2 und 6, die Funktionsfähigkeit der Versorgung (V) und der SektorSonstiges (S), befinden sich an unterschiedlichen Grenzkanten zum gelbenQuadranten (oben rechts). Darin liegen i.A. diejenigen Elemente, welche selber sehraktiv sind, aber auch von anderen stark beeinflusst werden. Element 2 ist an derGrenze von „passiven“ (beeinflussten) Elementen zu „kritischen“ Elementen. Element6 liegt indifferent in der Mitte des Koordinatensystems. Den Elementen des „gelbenSektors (oben rechts) ist also bei Eingriffen in das System besondereAufmerksamkeit zu widmen.

Die Größen 1, 3, 8, Funktionsfähigkeit der Energieversorgung (E),Funktionsfähigkeit des Transport- und Verkehrssektors (T), Funktionsfähigkeitder Informations- und Telekommunikationstechnik (I), liegen im rotenQuadranten (rechts unten). Sie sind überwiegend "aktiv", aber auch beeinflussbar.Die Größen 3 und 8 jedoch, die Funktionsfähigkeit des Transport- undVerkehrssektors (T) und die Funktionsfähigkeit der Informations- undTelekommunikationstechnik (I), könnten Einflussfaktoren sein, die bei weitererBeeinflussung „kritisch“ für das Funktionieren des Gesamtsystems (derInfrastruktur in Deutschland) werden könnten. Ihnen sollte man besondereAufmerksamkeit widmen

Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen können dasVerhalten des Gesamtsystems der kritischen Infrastruktur empfindlich beeinflussen.

Liegen Elemente innerhalb des grünen Quadranten (links unten), so werden sie als"träge" bezeichnet als Ausdruck dafür, dass diese Elemente wenig beeinflussen undwenig beeinflusst werden. Nur die Größe 5, die Funktionsfähigkeit des SektorsSonstiges (S) liegt in diesem Quadranten, was auch zu erwarten war.

Die Größen 4, 7, die Funktionsfähigkeit des Behörden- und Verwaltungssektors(B) sowie der Finanz-, Geld- und Versicherungssektor (F) liegen im blauenQuadranten (links oben), dem Quadranten für die überwiegend "passiven" (alsobeeinflussten) Elemente. Auch das war auch zu erwarten. Hier ist bei weiterenAnalysen vor allem zu betrachten, wie sich die verschiedenen Einwirkungen auf einsolches Element verhalten.


Abbildung 19: W.Ausbreitung des Energie - Sektors im kompakten KI – Netz

In Abbildung 19 ist u.a. die besondere Bedeutung der Wirkungsausbreitung desEnergie – Sektors auf die Versorgungs - und Finanzsektoren erkennbar.

Abbildung 20: W.Aufnahme des Energie - Sektors im kompakten KI – Netz


Abbildung 21: W.Aufnahme des Finanz – Sektors im kompakten KI - Netz

In Abbildung 21 ist u.a. die besondere Bedeutung der Wirkungsaufnahme desFinanz – Sektors durch den IT und TK - Sektor erkennbar.

5.2 Vergleich mit früheren kompakten KI – Untersuchungen

Sowohl in [Ref. 6] wie auch in der Vorlesung von Wolthusen [Ref. 35] im WS2005/2006 an der Ruhr-Universität Bochum wird darauf hingewiesen, dass bereitsMitte 2002 im Auftrag des Bundesministeriums des Innern (BMI) und desBundesamts für Sicherheit in der Informationstechnik (BSI) eine Reihesystematischer Sektorstudien erstellt wurden, die insbesondere den Einfluss vonInformations- und Kommunikationstechnik auf sieben kritische Infrastruktursektorenbeschrieben haben. Das wurde in Kapitel 3.2 kurz angedeutet.

Wolthusen schrieb in [Ref. 35], dass die besagten Studien in einem Zeitraum vonnur 12 Wochen erstellt wurden. Er nennt den Studien-Ansatz „prozess-orientiert“.

Bei der Analyse mussten einerseits die berechtigten Interessen derUnternehmen an der Geheimhaltung von Geschäftsgeheimnissenberücksichtigt werden, andererseits galt es, ein umfassendes Bild zu zeichnen.

Es wurden über 250 einzelne Prozesse analysiert. Ungefähr 20 dieserProzesse wurden als kritisch für das Gemeinwesen eingestuft.

Bei keinem Prozess besteht ein unmittelbarer Handlungsbedarf.

Die Studien sollten ermöglichen:


eine erste Standortbestimmung

das Einkreisen von Schwachstellen

die Erstellung nationaler Worst-Case-Szenarien

in einem nächsten Schritt eine tiefer gehende Analyse der intersektoralenAbhängigkeiten

so Wolthusen in [Ref. 35].

Abbildung 22: Modell von sieben vernetzten Infrastruktursektoren [Ref. 35]

Vergleicht man die Visualisierungen von Dependenzen und Wirkungsausbreitungenbestimmter kritischer Infrastrukturen nach Wolthusen [Ref. 35] mit denen aus Kapitel5.1, so sind die Ähnlichkeiten unverkennbar.

Die Interdependenzen der Sektoren untereinander werden klassifiziert (Gering.Mittel, Hoch, Sehr hoch) in einer Interdependenz-Übersicht farblich dargestellt. ImSinne der Gamma Methode ist Tabelle 13 wie folgt zu lesen: Sektor der Spalte Xwirkt auf den Sektor in Y. Anders herum: Y ist abhängig (wird beeinflußt) von X.

(Abhängigkeit des Sektors z.B: Y=„Energie“ meint im Sinne der GAMMA-Methodealso Wirkungaufnahme des Sektors „Energie“ von anderen Sektoren X.)

Wolthusen [Ref. 35] unterscheidet sogar Interdependenzen für den Normalfall undden Krisenfall.


Tabelle 13: Interdependenzen im Normalbetrieb nach Wolthusen [Ref. 35]

Tabelle 14: Interdependenzen im Krisenfall nach Wolthusen [Ref. 35]


Abbildung 23: Wirkungsaufnahme des KI – Sektors „Energie“ [Ref. 35]

(Abhängigkeit des Sektors „Energie“ meint im Sinne der GAMMA-MethodeWirkungaufnahme des Sektors „Energie“ von anderen Sektoren.)

Abbildung 24: Wirkungsaufnahme des KI – Sektors „Finanzen“ [Ref. 35]


5.2.1 Kritikalitätsüberlegungen

Bereits in Studien aus dem Jahr 2002 haben Kritikalitätsüberlegungen zur Bewertungder kritischen Infrastrukturelemente eine wesentliche Rolle gespielt ([Ref. 35], [Ref.29].

Tabelle 15: Bewertungsmatrix für Prozesse des Energie-Sektors [Ref. 35]

Tabelle 16: Bewertungsmatrix für Prozesse des Finanz-Sektors [Ref. 35]


Tabelle 17: Bewertungsmatrix für Prozesse des Transport-Sektors [Ref. 35]

Tabelle 18: Bewertungsmatrix für Prozesse des IT/TK-Sektors [Ref. 35]


Tabelle 19: Bewertungsmatrix für Prozesse des Behörden - Sektors [Ref. 35]

Für das Gesundheitswesen existieren nach [Ref. 35] keine Prozesse mit erhöhterKritikalität. Das Datenmaterial für das Notfallwesen läßt eine grafische Aufbereitungnicht zu, so [Ref. 35].


6 Hinweis auf aktuelle Forschungsprojekte

In einem Informationsbrief vom April 2010

(http://bit.ly/BMBF_Infobrief),

herausgegeben vom VDI Technologiezentrum GmbH, ProjektträgerSicherheitsforschung im Auftrag des Bundesministeriums für Bildung und Forschung(BMBF), wird über den Start von sechs Projekten im Rahmen des Programms„Forschung für die zivile Sicherheit“ der Bundesregierung zum Schwerpunkt „Schutzvor Ausfall von Versorgungsinfrastrukturen“ informiert.

Der Text des Informationsbriefes sei komplett zitiert:

Die Projekte stehen im Zusammenhang mit dem nationalen Programm „Forschungfür die zivile Sicherheit“ und der europäischen Sicherheitsforschung im 7.Forschungsrahmenprogramm.

Ausgangssituation und Schwerpunkte der Förderung

Die Versorgung mit Strom in Deutschland gilt – ebenso wie die Versorgung mitTrinkwasser – im europäischen und internationalen Vergleich als äußerstzuverlässig. Dennoch konnte beispielsweise die Stromversorgung durchExtremwettersituationen, wie etwa das hohe Schneeaufkommen im Münsterland(2005) oder den Sturm Kyrill (2007), großflächig gestört werden. Die Netze fürTrinkwasser und Energie sind komplexer geworden. Dies liegt zum einen antechnologischen Neuerungen, zum anderen an der zunehmenden Verdichtung undVerbindung der Netze europaweit.

Vor diesem Hintergrund werden die Forschungsfragen der Projekte imThemenschwerpunkt „Schutz vor Ausfall von Versorgungsinfrastrukturen“ auskonkreten Sicherheitsszenarien abgeleitet, in denen Risiken und Bedrohungslagenfür kritische Versorgungsinfrastrukturen – beispielsweise in der Energie-, Wasser-und Lebensmittelversorgung – thematisiert werden, die durch potenzielle Anschläge,Großunfälle oder Naturkatastrophen verursacht werden können. WichtigeAnsatzpunkte liegen daher in der Forschung zur Prävention und Früherkennungdurch zeitnahe und effiziente Sicherungs- und Entkoppelungsmaßnahmen sowiezum Aufbau einer wirksamen Notfallversorgung.

An den großflächigen Energieausfällen, wie etwa im Münsterland, hat sich besondersdeutlich gezeigt, dass der Bedarf an Informationsaustausch und Koordinationzwischen Energieversorgern, Ordnungs-, Sicherheits- und Rettungskräften, derPolitik sowie Bürgerinnen und Bürgern hoch ist. Entsprechend beziehen dieVerbundprojekte Behörden, Forscher, Anwender und Nutzer bereits bei derEntwicklung der Szenarien mit ein.

http://bit.ly/BMBF_Infobrief


Vorstellung der Projekte

Im Themenschwerpunkt „Schutz vor Ausfall von Versorgungsinfrastrukturen“ stelltdas Bundesministerium insgesamt 9,4 Millionen Euro in Zeiträumen von 2009 bis2013 bereit. Die Industriepartner in den Projekten investieren zusätzlich 3,4 MillionenEuro.

Die folgenden sechs Verbundvorhaben werden gefördert:

InfoStrom – Lernende Informationsinfrastrukturen für das Krisenmanagementam Beispiel der Stromversorgung

Strom ist für viele Versorgungssysteme, nicht zuletzt auch für Heizungsanlagen oderTankstellen, von zentraler Bedeutung. Stromausfälle treffen gerade hier dieBevölkerung meist unvorbereitet und können große Schäden verursachen. Um dienegativen Auswirkungen zu minimieren, ist es wichtig, den Informationsaustauschund die Zusammenarbeit zwischen den beteiligten Akteuren zur Bewältigung vonStromausfällen nachhaltig zu fördern.

Hier setzt das Forschungsprojekt InfoStrom an, das vom Institut fürWirtschaftsinformatik an der Universität Siegen koordiniert wird. InfoStrom zieltdarauf ab, eine dezentrale, IT-gestützte Sicherheitsplattform zu erarbeiten, die allerelevanten Akteure, wie Netzbetreiber, Krisenstäbe, Feuerwehr, Polizei sowieBürgerinnen und Bürger, miteinander vernetzt.

Dabei bringen die Netzbetreiber ihre Kenntnisse über den Netzzustand und dieWiederherstellung der Versorgung ein. Feuerwehr und Polizei können Informationenüber die Ursachen der Störungen sowie Verhaltenshinweise für die Bevölkerungeinspeisen und die Krisenstäbe können alle Informationen sammeln, aufbereiten undallgemeine Lagebeurteilungen ausgeben. Des Weiteren wird exploriert, wieBürgerinnen und Bürger über Internet, Radio oder Mobilfunk Informationen überlokale Schäden in die Plattform einbringen, bzw. sich selbst über die Lageinformieren können. Auf diese Weise können relevante Informationen nahezu inEchtzeit bereitgestellt, die Kommunikation der Einsatzkräfte vor Ort besserkoordiniert und die Reaktionsfähigkeit von Steuerungszentralen erhöht werden.

GRASB – Szenarienorientierte Grundlagen und innovative Methoden zurReduzierung des Ausfallrisikos der Stromversorgung unter Berücksichtigungder Auswirkungen auf die Bevölkerung

Ziel dieses Verbundprojektes ist es, aktuelle und zukünftige Ausfallrisiken für dieVersorgung der Bevölkerung mit Strom zu reduzieren und damit einen Beitrag zurVerbesserung der zivilen Sicherheit zu leisten. Dabei werden neue Gefährdungendurch Extremwettersituationen, technischen und wirtschaftlichen Wandel sowie diekomplexe Vernetzung mit anderen Infrastrukturen berücksichtigt und entsprechendeSzenarien identifiziert, um für diese zielgerichtete Lösungen zu entwickeln.

Szenarien über den Totalausfall der Stromversorgung und damit auch weitererInfrastrukturen, beginnen häufig mit Naturkatastrophen, Unfällen oder vorsätzlichenHandlungen. Kommt es bei diesen Aus fällen durch fehlerhafte technische oder


organisatorische Reaktionen zu weiteren erheblichen Störungen, können diese zuKaskadeneffekten führen und sich flächendeckend ausbreiten.

Um solche Effekte besser zu beherrschen, sollen der Verbund unter der Koordinationder TÜV Rheinland Consulting GmbH zusammen mit Betreibern von Kraftwerkenentscheidende Knotenpunkte der Stromversorgungsinfrastrukturen identifizieren undauf ihre Gefährdungen hin klassifizieren.

Auf Basis der Szenarien werden infrastrukturübergreifende Risikomanagement- undBewertungsmethoden entwickelt. Hierzu zählen unter anderem die Festlegung vonZuständigkeiten und Schutzzielen, die Abschätzung von zusätzlich benötigtenRessourcen sowie die Etablierung einer Risikokommunikation.

SES² – Intelligente Notstromversorgungskonzepte unter EinbeziehungErneuerbarer Energien (Smart Emergency Supply System)

Länger andauernde, großflächige Unterbrechungen der elektrischenEnergieversorgung bergen viele Nachteile und Risiken für Gesellschaft undWirtschaft. Im Rahmen des Vorhabens SES² sollen daher Strategien zurSicherstellung einer Minimalversorgung von Haushalten im Krisenfall erforscht unddie Umsetzung simuliert werden.

Mit dem Projekt SES², das vom Fachbereich Elektrische Energietechnik derFachhochschule Südwestfalen koordiniert wird, soll ein Konzept für dezentralorganisierte Notstromversorgungssysteme entwickelt werden. Diese Systeme sollenunter anderem aus dezentralen Stromquellen, wie etwa KWK-Kraftwerken oderregenerativen Energien, wie Photovoltaik, Windkraftanlagen oder Brennstoffzellen,gespeist werden. Die Notstromversorgungssysteme sollen auf Basis des allgemeinenNetzes und auch unabhängig davon betrieben werden können. Dafür werden neueTechnologien, wie etwa „Smart Grids“, eingesetzt. Das Projekt soll zeigen, wieHaushalte mit dezentralen Stromversorgungssystemen, etwa mit Kraft-Wärme-Kopplung oder Brennstoffzellen, im Falle eines Stromausfalls die noch zur Verfügungstehenden Kapazitäten aus dem Netz nutzen können.

Im gesellschaftswissenschaftlichen Teil des Projektes wird der Bedarf derBevölkerung an Grundversorgung mit Strom bei kurz-, mittel- und langfristigerVersorgungsunterbrechung erhoben. Dabei wird untersucht, wie hoch dieBereitschaft von Privathaushalten ist, zugunsten der Allgemeinheit eine zeitlicheUnterbrechung der eigenen Versorgung hinzunehmen und welche Investitionen zurReduzierung der Abhängigkeit von der netzgebundenen Versorgung Privathaushaltebefürworten.

SIMKAS-3D – Simulation von intersektoriellen Kaskadeneffekten bei Ausfällenvon Versorgungsinfrastrukturen unter Verwendung des virtuellen 3D-Stadtmodells Berlins

Einzelne Versorgungssysteme, wie z. B. die Gasversorgung, sind zunehmend auf dieFunktionsfähigkeit anderer Versorgungssysteme, wie etwa die Stromversorgung,angewiesen. Deshalb wirken sich Störungen in einem Bereich auch sehr schnellnegativ auf andere Versorgungssysteme aus. So kann es beispielsweise zu


gefährlichen Kaskadeneffekten kommen. Die Vorsorge zur Vermeidung dieserEffekte ist ein wichtiger Beitrag zur Ausfallsicherheit.

Im Projekt SIMKAS-3D, das vom Zentrum Technik und Gesellschaft von derTechnischen Universität Berlin koordiniert wird, werden Entscheidungs- undKoordinationsinstrumente erarbeitet, um Kaskadeneffekte beim Ausfall kritischerInfrastrukturen zu vermeiden. Das Ziel von SIMKAS-3D ist es, sowohl auf Basiseines virtuellen 3D-Stadtmodells am Beispiel von Berlin als auch durchEinsatzübungen die Abhängigkeiten zwischen den Versorgungssystemenaufzuzeigen. Anhand von Simulationen werden vorbeugende Schutzmaßnahmen,wie z. B. innovative Werkzeuge zur Lagedarstellung, und Handlungsstrategien, wieetwa Kompetenzklärungen der beteiligten sicherheitsverantwortlichen Akteure, fürden Schadensfall erarbeitet.

Dabei bezieht das Projekt neben den entsprechenden Verwaltungseinrichtungen mitSicherheitsverantwortung auch die Infrastrukturbetreiber für die Versorgung mit Gas,Wasser, Strom und Fernwärme mit ein.

Die gemeinsamen Erfahrungen die die beteiligten Betreiber durch die Simulation, diePraxistests und Trainings gewinnen, sollen einen zielgerichtetenKommunikationsprozess anstoßen, der zur Ausbildung einer gemeinsamenBegrifflichkeit und Nomenklatur in der Risiko- und Krisenkommunikation beiträgt.Auch durch diese Maßnahmen soll das Vorhaben zur Verbesserung derintersektoriellen Zusammenarbeit beitragen.

STATuS – Schutz der Trinkwasserversorgung in Hinblick auf CBRN-Bedrohungsszenarien – Phase 1

Trinkwasser in einwandfreier Qualität gehört zu den wichtigsten Produkten einer gutfunktionierenden öffentlichen Versorgungsinfrastruktur. Die zentraleTrinkwasserversorgung kann jedoch durch Extremwettersituationen, Unfälle odervorsätzliche Handlungen, wie kriminelle oder terroristische Anschläge, bei denenbiologische, chemische oder nukleare Stoffe in das Wasser gelangen, bedrohtwerden. Vorrangiges Ziel des Verbundprojektes STATuS, das durch das DVGW-Technologiezentrum Wasser (TZW) koordiniert wird, ist es, in einer ersten Phasezunächst eine umfassende Bedrohungs- und Risikoanalyse für die Verunreinigungvon Trinkwasser mit biologischen, chemischen oder nuklearen Stoffendurchzuführen.

Im Rahmen des Verbundes sollen zusammen mit Wasserversorgern potenziellgefährdete Bereiche der Wasserversorgung identifiziert und bezüglich desEinbringungsrisikos verschiedener Stoffe bewertet werden. Dabei werden allerelevanten Bereiche der Trinkwassergewinnung – von der Aufbereitung bis hin zurEndnahme beim Endverbraucher – berücksichtigt. In Phase 1 werden dabei dieVoraussetzungen, Anforderungen und Kriterien für unterschiedliche Schutzstufenund, basierend auf netztopographischen Untersuchungen, allgemeine Empfehlungenfür Wasserversorger erarbeitet.

Hierauf aufbauend können in einer späteren Phase 2 für besonders zu schützendeBereiche Lösungsansätze aufgezeigt werden. So können konkrete Schutzstrategien,


organisatorische Konzepte und technische Innovationen erarbeitet und in Form einesLeitfadens den Anwendern und Behörden zur Verfügung gestellt werden.

Begleitend zu den technischen Untersuchungen erfolgt eine sozioökonomischeAnalyse der Auswirkungen einer Verunreinigung des Trinkwassers. Hierbei wird derzu erwartende volkswirtschaftliche Gesamtschaden modellhaft nach verschiedenenSzenarien abgeschätzt und eine Kosten-Nutzen-Analyse möglicherAbwehrmaßnahmen durchgeführt. Des Weiteren wird die Akzeptanz in derBevölkerung für einen erhöhten Wasserpreis für mehr Schutz vor Terrorismus undden Folgen von Naturkatastrophen überprüft.

TankNotStrom – Energie- und Kraftstoffversorgung von Tankstellen undNotstromaggregaten bei Stromausfall

Fast alle kritischen Infrastrukturen, wie Krankenhäuser, Wasserversorger etc., sindheute von einer funktionierenden Stromversorgung abhängig. Nur wenigeInfrastrukturen verfügen über ausreichende Notstromaggregate, die zudem aufgrundder vorhandenen Treibstoffvorräte nur für 24 Stunden, partiell auch für 72 Stundenreichen. Tankstellen verfügen im Allgemeinen über keine netzunabhängigeStromversorgung, weshalb sie im Notfall vollständig ausfallen und keinen Treibstofffür Einsatzwagen und Notstromaggregate zur Verfügung stellen können. ZurVermeidung eines solchen Kaskadeneffektes soll das Projekt Lösungen erarbeiten.

Ziel des Verbundvorhabens TankNotStrom, das von der TimeKontor AG in Berlinkoordiniert wird, ist die Erstellung eines Management- und Logistiksystems, das beieinem Stromausfall in der Lage ist, sowohl die Kraftstoffversorgung fürNotstromaggregate als auch für die Fahrzeuge der Einsatz- und Rettungskräftesicher zu stellen.

Da im Fall eines Stromausfalls sämtliche Tankstellen ausfallen können, sollbeispielsweise auf die Betriebsfähigkeit ausgewählter Tankstellen und die Anbindungan vorhandene Tanklager besonderes Augenmerk gerichtet werden. So solluntersucht werden, wie Tankstellen mit Notstromaggregaten betrieben werdenkönnen und wie hierdurch die Treibstoffversorgung anderer Infrastrukturensichergestellt werden kann.

Die Erfassung der Bedarfslage aller relevanten Akteure wird unter anderem durcheine Umfrage bei Krankenhäusern, Wasserversorgern, Leitstellen,Telekommunikationsanbietern sowie Rechenzentren in Berlin und Brandenburgsichergestellt. Darüber hinaus liegt ein weiterer Schwerpunkt in der direktenEinbindung der Behörden und Organisationen mit Sicherheitsaufgaben vor Ort.

Die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung bei einem großenSchadensereignis wie einem großflächigen Stromausfall lässt sich nicht allein durchdie Implementierung eines technischen Systems und eines Logistikkonzepts zubewältigen Deswegen wird auch die kommunikative und soziale Dimension vonMenschen einbezogen, die als Akteure oder als Betroffene involviert sind.

Nähere Informationen findet man unter: http://bit.ly/BMBF_Uebersicht.

http://bit.ly/BMBF_Uebersicht


7 Schlussbetrachtung

Der Rundgang durch die Fachliteratur zeigt nach [Ref. 47], dass im Hinblick auf dieDefinition und die Auswahl kritischer Infrastrukturen (Liste mit Sektoren/Teilsektoren)international weitgehende Übereinstimmung besteht und dass Unterschiede auf denjeweiligen Kontext einer Region zurück zu führen sind. Hingegen gibt es für dieBewertung der Kritikalität von Infrastrukturen keine ausgereiften Bewertungskriterien,Modelle und Nachweismethoden. Eine fundierte Basis für eine quantitativeBewertung gibt es ebenfalls (noch) nicht.

Wie die Arbeiten von Wolthusen und die Arbeiten der ETH Zürich zeigen, solltenländerspezifische, semi-quantitative Ansätze entwickelt werden. Die Bewertung kannüber Kriterien/Indikatoren erfolgen, wobei sich dann die Frage stellt, wie man diesezusammenführt. Für die Darstellung und weitere Verwendung der Resultate sindAspekte wie Vergleichbarkeit und Transparenz zu beachten, insbesondere bei derVerwendung von Gewichtungsfaktoren im Rahmen einer nachfolgendenAggregation, , so [Ref. 47]..

Der Fokus vieler Kritikalitätsbewertungen liegt auf dem "Verlust einer Dienstleistung"und deren Konsequenzen für die Bevölkerung und Lebensgrundlagen (vorrangig dieVolkswirtschaft).

Schließlich sind neben der Entwicklung und Anwendung pragmatischer undanwendbarer Ansätze parallel Arbeiten voran zu treiben, die zu einem umfassendenkonsistenten Ansatz führen, der auf nationale Bedürfnisse und Gegebenheitenabzielt, aber den internationalen Kontext nicht aus den Augen verliert, so [Ref. 47].

Aktuell arbeiten Mitarbeiter des Bundesamtes für Bevölkerungsschutz (BABS),Schweiz, an der Methode SKI (Methode zur Erstellung des KI – Inventars) [Ref. 49],einem standardisierten Verfahren zur Identifikation von kritischen Infrastruktur-Objekten, das auf detaillierten Prozessanalysen in den einzelnen kritischenTeilsektorbereichen basiert.

Die wissenschaftliche Aufbereitung des komplexen Themas der kritischenInfrastrukturen ist die eine (notwendige) Seite, die Umsetzung von Kenntnissen inadäquates und sicheres Handeln durch Akteure vor Ort im Falle einer„Infrastrukturkrise“ ist eine ganz andere Seite. Hier fehlen z. Zt. noch flexiblemodulare Software-Tools, die einerseits die kritischen Infrastruktureigenschaftennachbilden (Wissensdatenbanken) und visualisieren, andererseits aber durchentsprechende grafische Tools sehr schnell Entscheidungshilfe (Status,Handlungsoptionen, Entscheidungsvorschläge) leisten. Das wäre dann alsSimulation kritischer Infrastrukturen eine Hilfe vor Ort.

Damit wissenschaftliches Vorgehen und pragmatische Arbeit vor Ort Nutzen bringen,ist ein gemeinsames Aufeinanderzugehen anzustreben, ein gemeinsames System-und Lageverständnis zu entwickeln – eine Herausforderung für Experten undWissenschaftler im Team.


Anhang 1

Handlungsanleitung zur Bewertung der Kritikalität vonTeilsektoren in der Schweiz [Ref. 12]

1. Ausgangslage

Mit dem ersten Bericht über den Schutz Kritischer Infrastrukturen (SKI)wurden unter anderem 10 kritische Infrastruktur-Sektoren und 31 -Teilsektorenidentifiziert. Auf eine Gewichtung dieser Sektoren und Teilsektoren anhandihrer Kritikalität wurde verzichtet.

Im Rahmen der zweiten Phase zur Erstellung einer nationalen SKI-Strategiewurde das BABS durch den Bundesrat im Juli 2007 beauftragt, diekoordinative Leitung der der SKI-Tätigkeiten weiterzuführen und u.a."Grundlagenforschung zu relevanten Themen" zu initialisieren. Bestandteildieses Prozesses ist auch die Erarbeitung von Kriterien zur Bestimmung derKritikalität.

Der SKI-Bericht definiert Kritikalität folgendermassen: "Die Kritikalität einerInfrastruktur bezeichnet ihre relative Bedeutung in Bezug auf dieAuswirkungen, die eine Störung, ein Funktionsausfall oder eine Zerstörung fürdie Bevölkerung und ihre Lebensgrundlagen hätte."

Im Rahmen der Kritikalitätsbetrachtung wird zwischen Kriterien zurPriorisierung von Teilsektoren und Kriterien zur Identifizierung von einzelnenkritischen Elementen und Objekten unterschieden. Im Folgenden wirdausschliesslich auf die Kritikalität von Teilsektoren Bezug genommen.

Es existiert kein allgemein anerkanntes und anwendbares Modell, um dieKritikalität von kritischen Infrastrukturen zu messen. Die verschiedenenAnsätze unterscheiden sich insbesondere bezüglich ihrer Zielrichtung, diemassgeblich durch die Definition des Kritikalitätsbeg riffs bestimmt wird.

Die Gewichtung der Sektoren und Teilsektoren anhand ihrer Kritikalität ist vongrosser gesellschaftlicher, politischer und wirtschaftlicher Brisanz.Insbesondere muss vermieden werden, dass die Kritikalität mit der generellenWichtigkeit eines Teilsektors verwechselt wird.

Die gewichtete Liste der 31 Teilsektoren macht deshalb keine Aussagen überdie absolute Bedeutung der Teilsektoren. Es sind alle 31 Teilsektoren alskritisch zu betrachten. Die Liste beinhaltet keine Risikoanalyse und machtkeine Aussagen über Wahrscheinlichkeiten eines Ausfalls und den darausabzuleitenden unmittelbaren Handlungsbedarf im Sinne vonSchutzmassnahmen. Diese werden anhand der identifiziertenInfrastrukturelemente und im Rahmen der Gefährdungsszenarien durchge-führt.

Die Kritikalität eines Teilsektors hat überdies keinen unmittelbaren Einfluss aufdie Kritikalität von einzelnen Infrastruktur-Elementen. Auch Elemente desTeilsektors mit der geringsten Kritikalität können als sehr kritisch eingeschätztwerden.

2. Ziel und Zweck


Die Kritikalität der Teilsektoren soll ihre relative Bedeutung untereinander inBezug auf die Folgen eines Ausfalls für die anderen Teilsektoren sowiedie betroffene Bevölkerung und die Wirtschaft angeben.

Die Kritikalitätsbewertung soll eine Grundlage zur Priorisierung der Arbeitenbei der Identifikation von einzelnen kritischen Infrastruktur-Elementenschaffen. Die Bewertung dient zudem als Grundlage für weiterePlanungsarbeiten auf strategischer Ebene. Überdies trägt sie dazu bei, imHinblick auf die Identifikation kritischer Infrastruktur-Elemente das Verständnisfür die Thematik zu fördern. Die Bewertung stellt indes keine Priorisierungoder Vorwegnahme bezüglich der Ressourcenzuteilung dar.

3. Methode zur Bewertung der Kritikalität

Die 31 Teilsektoren unterscheiden sich sowohl bezüglich ihrer Leistung alsauch bezüglich ihres Aufbaus derart stark, dass die Folgen ihres Ausfalls nichtin absoluten Zahlen miteinander verglichen werden können. Überdies fehlenvielfach Erfahrungswerte bezüglich Ausfällen von gesamten Teilsektoren.Auch sind die verschiedenen Folgeschäden und Wechselbeziehungen imFalle von Ausfällen noch nicht genügend bekannt und deshalb nichtquantifizierbar. Aus diesem Grund kann die Kritikalität der Teilsektoren nichtexakt berechnet, sondern muss abgeschätzt, respektive bewertet werden.

Die Bewertung der Kritikalität wird in Anlehnung an die Breitband-Delphi-Methode erstellt. Dabei bewertet jedes Mitglied der Kerngruppe die Kritikalitätder 31 Telsektoren anhand dreier Kriterien (Dependenz, Auswirkungen auf dieBevölkerung, Auswirkungen auf die Wirtschaft). Die Resultate werdenanschliessend diskutiert und überarbeitet. Die Bewertungen werden in derFolge erneut gesammelt, um daraus die Mittelwerte zu bestimmen.

4. Vorgehen zur Bewertung der Kritikalität

Um die Kritikalität der einzelnen Teilsektoren zu bewerten, soll jede/r Beurteilende/rabschätzen, welche Folgen ein Ausfall des zu bewertenden Teilsektors bezüglichden:

Auswirkungen auf andere Teilsektoren (Dependenz) Auswirkungen auf die Bevölkerung Auswirkungen auf die Wirtschaft

nach sich ziehen könnte. Die Auswirkungen sollen jeweils mit Werten zwischen 0und 3 eingeschätzt werden:

0: Keine Auswirkungen 1: Kleine Auswirkungen 2: Mittlere Auswirkungen


3: Grosse Auswirkungen

Um eine gewisse Objektivität innerhalb der eigenen Bewertungsskala zu garantieren,soll jedes der drei Kriterien separat beurteilt werden: Zuerst die Dependenz für alleTeilsektoren, anschliessend die Auswirkungen auf die Bevölkerung für alle Teilsekto-ren und zum Schluss die Auswirkungen auf die Wirtschaft für alle Teilsektoren.

Ein Teilsektor kann nach abgeschlossener Bewertungsrunde mit maximal 9 "Kritikali-täts-Punkten" (3 für jedes der drei Kriterien) bewertet werden. Um allfällige Schätz-Fehler abzuschwächen, sollen die Teilsektoren am Schluss anhand folgender Skalazu drei Gruppen zusammengefasst werden:

9, 8 und 7 Punkte = Sehr grosse Kritikalität 6, 5 und 4 Punkte = Grosse Kritikalität 3, 2, 1 und 0 Punkte = Reguläre Kritikalität

5. Rahmenbedingungen zur Abschätzung der Auswirkungen

Im Zentrum der Bewertung steht die Frage nach dem (Schadens-)Ausmass im Falleeines Leistungsausfalls des zu beurteilenden Teilsektors.

Damit die Kritikalität abgeschätzt werden kann, sollen die 31 Teilsektoren alsabstrakte Subsysteme betrachtet werden, die eine bestimmte Leistung für dasGesamtsystem "Schweiz" liefern. Es interessiert dabei nur die Frage nach denKonsequenzen im Fall eines Leistungsausfalls des betroffenen Teilsystems, egal wierealistisch Ausfall und Konsequenzen erscheinen mögen. Beurteilungen bezüglichWahrscheinlichkeiten von Ausfällen und Verletzlichkeiten von Teilsektoren werdenspäter gesondert betrachtet.

Der Teilsektor wird als ganzes beurteilt, ohne die unterschiedliche Kritikalität der ein-zelnen kritischen Elemente zu berücksichtigen. Diese Beurteilung erfolgt bei derIdentifikation von kritischen Infrastruktur-Elementen.

Für die Bewertung wird von folgender Annahme ausgegangen: Die Leistung des zubewertenden Teilsektors bricht ohne Vorwarnung ab. Der Teilsektor kann in derFolge seine Leistung während rund drei Wochen nicht mehr ausüben. Das vom Teil-sektor gelieferte Produkt (oder Dienstleistung) fehlt während dieser Zeit in der gan-zen Schweiz. Die Ursache für den Ausfall ist für diese Betrachtung nicht von Bedeu-tung, ebenso wird die Schweiz als geschlossenes System betrachtet. Auswirkungenaus dem und ins Ausland werden ebenso wenig berücksichtigt wie allfällige internati-onale Hilfe.

Die Beurteilung der Auswirkungen wird unter der Annahme einer "normalen" Lagevorgenommen (Kriege, grosse Terror-Anschläge oder nationale Katastrophenwerden nicht einbezogen).

In der Bewertung berücksichtigt werden:


Alternativen (wenn die Leistung des Teilsektors von einem anderen Teilsektorerbracht werden kann)

Alle direkten Auswirkungen auf andere Teilsektoren

In der Bewertung NICHT berücksichtigt werden:

Resilienzen (Redundanzen und Speichermöglichkeiten innerhalb des jeweilsbetroffenen Teilsektoren)

Kumulierte Dependenzen (keine Aufsummierung von Schäden)

6. Kriterien zur Beurteilung der Kritikalität

6.1 Dependenz

Dieser Abschnitt wurde bereits erläutert in diesem Bericht bei Kapitel 3.3.1.

6.2 Auswirkungen auf die Bevölkerung

Indikatoren zur Bewertung der Auswirkungen auf die Bevölkerung derSchweiz

o Abschätzung der Anzahl direkt und spürbar betroffenen Personen.o Abschätzung der Auswirkungen auf die direkt betroffenen Personen.

Abschätzung der Anzahl direkt und spürbar betroffenen Personen

Fragestellung: Wie viele Personen sind direkt und spürbar vom Ausfall des zubewertenden Teilsektors betroffen? Dies unter der Annahme, dass siewährend der Ausfallzeit seinen "Dienst" in Anspruch nehmen würden.

Werte: Keine (0): Es sind keine Personen direkt spürbar und direkt

betroffen. Klein (1): Wenige Prozent der Bevölkerung sind vom Ausfall des

Teilsektors spürbar und direkt betroffen. Mittel (2): Bis 50 % der Bevölkerung sind vom Ausfall des

Teilsektorsspürbar und direkt betroffen.

Gross (3): Über 50 % der Bevölkerung sind vom Ausfall desTeilsektors

direkt und spürbar betroffen.

Abschätzung der Auswirkungen auf die direkt betroffene Bevölkerung

Fragestellung: Wie gross ist das Ausmass der Betroffenheit der Personen, dievom Ausfall des zu bewertenden Teilsektors betroffen sind? Es wird nur derTeil der Bevölkerung betrachtet, welcher die "Dienste" des Teilsektors inAnspruch nehmen würde, respektive davon unmittelbar betroffen ist.

Werte:


Keine (0): Es gibt keine spürbaren Auswirkungen auf die betroffeneBevölkerung.

Klein (1): Die betroffene Bevölkerung erleidet spürbareUnannehmlichkeiten

im Alltagsleben und/oder es gibt einzelne Verletzte. Mittel (2): Es gibt einzelne Todesopfer und/oder mehrere Verletzte und

oder eine beträchtliche Einschränkung des Alltagsleben. Gross (3): Es gibt mehrere Todesopfer und / oder das Alltagsleben wird

massiv eingeschränkt.

6.3 Auswirkungen auf die Wirtschaft

Indikatoren zur Bewertung der Auswirkungen auf die Wirtschaft

o Abschätzung des finanziellen Wert des Produkts (respektive derDienstleistung). (Anm.: Nachfolgend wird zwecks Vereinfachung nurnoch von "Produkt" gesprochen, die Dienstleistung ist immer auchangesprochen.)

o Abschätzung der indirekten Auswirkungen auf die Wirtschaft.

Bei der Beurteilung der Auswirkungen auf die Wirtschaft wird bewusst auf dieFormulierung von Richtwerten verzichtet. Die Ausprägungen beziehen sichdeshalb nicht auf absolute Zahlen, sondern im relativen Verhältnis zu allen 31Teilsektoren.


Abschätzung des finanziellen Werts des Produkts

Fragestellung: Wie gross ist der finanzielle Schaden im betroffenen Teilsektorselbst? (welchen finanziellen Wert hat das vom Teilsektor hergestellteProdukt?)

Werte:

o Keine (0): Der Teilsektor stellt kein Produkt mit finanziellem Wert her.o Klein (1): Der Ausfall des Teilsektors hat kleine direkte finanzielle

Einbussen zur Folge.o Mittel (2): Der Ausfall des Teilsektors ist mit mittleren, direkten

finanziellen Einbussen verbunden.o Gross (3): Der Ausfall des Teilsektors ist mit grossen, direkten

finanziellen Einbussen verbunden.

Abschätzung der indirekten Auswirkungen auf die Wirtschaft

Fragestellung: Wie gross sind die indirekten wirtschaftlichen Auswirkungendurch en Ausfall des zu beurteilenden Teilsektors?

Hilfestellung: Es sollen sowohl direkte Schäden in anderen Teilsektoren alsauch indirekte Schäden (Reputationsschäden, SchädigungWirtschaftsstandort Schweiz, etc) mit einbezogen werden.

Werte:


o Keine (0): Der Ausfall des Teilsektors hat keine indirekten wirtschaftlichenAuswirkungen zur Folge.

o Klein (1): Ausfall des Teilsektors hat kleine indirekte wirtschaftlicheAuswirkungen zur Folge.

o Mittel (2): Ausfall des Teilsektors hat mittlere indirekte wirtschaftlicheAuswirkungen zur Folge.

o Gross (3): Ausfall des Teilsektors hat grosse indirekte wirtschaftlicheAuswirkungen zur Folge.


Anhang 2

Diagramm-Darstellung von Teil-Infrastrukturen

Abbildung 25: KI-Sektor (V): Detailstruktur Strassenverkehr


Abbildung 26: KI-Sektor (V): Detailstruktur Schienenverkehr


Abbildung 27: KI-Sektor (V): Detailstruktur Luftverkehr


Quellenverzeichnis 2

Ref. 1: F. Fischer: Simulation kritischer Infrastrukturen (SIMKRIT) - Vom Denken in Systemenzu Prototypen von Simulationsmodellen - Ein subjektiver Rundgang durch die FachliteraturKarlsruher Institut für Technologie (K.I.T.), IKET, Februar 2010

Ref. 2: F. Fischer: Visualisierung kritischer Infrastrukturen mit der GAMMA – Methode:Funktionssicherheit Stromversorgung im Krankenhaus und VersorgungssicherheitTreibstoffversorgung, Karlsruher Institut für Technologie (K.I.T.), IKET, März 2010

Ref. 3: M. John-Koch: Kritische Infrastrukturen: Gefährdungen, Verletzlichkeit,Schutzkonzepte, Zeitschrift Notfallvorsorge 3/2006, 4-7

Ref. 4: Comparative Evaluation of Modeling and Simulation Techniques for Interdependent CriticalInfrastructures, Laboratorium für Sicherheitsanalytik, ETH Zürich und Bundesamt fürBevölkerungsschutz (BABS), Juni 2008,http://bit.ly/ETH_Zuerich_0

Ref. 5: Focal Report 2: Critical Infrastructure Protection, Crisis and Risk Network (CRN)Center for Security Studies (CSS), ETH Zürich, März 2009,http://bit.ly/ETH_Zuerich_FocRep_2

Ref. 6: International CIIP Handbook 2008/2009, An inventory of 25 national and 7 internationalcritical information infrastructure protection policies, Crisis and Risk Network (CRN),Center for Security Studies (CSS), ETH Zürich, Juli 2008,http://bit.ly/ETH_Zuerich_CIIP_HB

Ref. 7: Internationale Aktivitäten zum Schutz Kritischer Infrastrukturen, Bundesamt für Sicherheit inder Informationstechnik (BSI), Deutschland, 2008,http://bit.ly/BSI_Aktivitaeten_SKI

Ref. 8: Erster Bericht an den Bundesrat zum Schutz kritischer Infrastrukturen, Bundesamt fürBevölkerungsschutz (BABS), Schweiz, Juni 2007,http://bit.ly/BABS_SKI_Bericht1

Ref. 9: Zweiter Bericht an den Bundesrat zum Schutz kritischer Infrastrukturen, Maßnahmen für denZeitraum 2009-2011, Bundesamt für Bevölkerungsschutz (BABS), Schweiz, Mai 2009,http://bit.ly/BABS_SKI_Bericht2

Ref. 10: Grundstrategie des Bundesrates zum Schutz kritischer Infrastrukturen, Bundesamt fürBevölkerungsschutz (BABS), Schweiz, Mai 2009,http://bit.ly/BABS_SKI_Grundstrategie

Ref. 11: Factsheet: Das Schweizer Programm zum Schutz kritischer Infrastrukturen, Bundesamt fürBevölkerungsschutz (BABS), Schweiz, Juni 2009,http://bit.ly/BABS_SKI_Factsheet

Ref. 12: Schlussbericht Kritikalität der Teilsektoren, Programm Schutz kritischer Infrastrukturen,Bundesamt für Bevölkerungsschutz (BABS), Schweiz, Januar 2009,http://bit.ly/BABS_SKI_Kritikalitaet

Ref. 13: KATARISK - Katastrophen und Notlagen in der Schweiz, Eine Risikobeurteilung aus der Sichtdes Bevölkerungsschutzes, Bundesamt für Bevölkerungsschutz (BABS), Schweiz,Januar 2009, http://bit.ly/BABS_KATARISK

2 Die Arbeit nutzt den Service <bit.ly> zur Erzeugung von short URLs. Die <bit.ly> URLs lassen sich wieder zuden originalen URLs expandieren mit www.getlinkinfo.com.

http://bit.ly/ETH_Zuerich_0

http://bit.ly/ETH_Zuerich_FocRep_2

http://bit.ly/ETH_Zuerich_CIIP_HB

http://bit.ly/BSI_Aktivitaeten_SKI

http://bit.ly/BABS_SKI_Bericht1

http://bit.ly/BABS_SKI_Bericht2

http://bit.ly/BABS_SKI_Grundstrategie

http://bit.ly/BABS_SKI_Factsheet

http://bit.ly/BABS_SKI_Kritikalitaet

http://bit.ly/BABS_KATARISK


Ref. 14: Link-Sammlung zum Thema KRITIS, Bundesamt für Sicherheit in der Informationstechnik(BSI), Deutschland, Mai 2010,http://bit.ly/BSI_KRITIS_Links

Ref. 15: BBK- Europäisches Programm zum Schutz Kritischer Infrastrukturen, Zusammenfassungdes Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), Deutschland,November 2005http://bit.ly/BBK_EPSKI

Ref. 16: Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen,Kommission der Europäischen Gemeinschaften, KOM(2005) 576 endgültig, November 2005,http://bit.ly/Gruenbuch_EU_EPSKI

Ref. 17:Richtlinie des Rates über die Ermittlung und Ausweisung kritischer europäischerInfrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern,Kommission der Europäischen Gemeinschaften, KOM(2006) 787 endgültig, Dezember 2006,http://bit.ly/Richtlinie_EU_SKI

Ref. 18: ESRIF Final Report, Dezember 2009, http://bit.ly/ESRIF_Report

Ref. 19: DIESIS Projektbeschreibung, 2009, http://bit.ly/DIESIS_Projekt

Ref. 20: S. Lenz: Vulnerabilität kritischer Infrastrukturen, Forschung im Bevölkerungsschutz, Band 4,Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Deutschland, 2009,http://bit.ly/BBK_Lenz_Vulnerabilitaet

Ref. 21: Kritische Infrastrukturen, Verwundbarkeiten und Schutz, CSS – Analysen zur Sicherheits-politik, Center for Security Studies (CSS), ETH Zürich, Nr. 16, Juni 2007,http://bit.ly/ETH_Zuerich_CSS_KI

Ref. 22: Resilienz: Konzept zur Krisen- und Katastrophenbewältigung, CSS – Analysen zurSicherheitspolitik, Center for Security Studies (CSS), ETH Zürich, Nr. 60, September 2009,http://bit.ly/ETH_Zuerich_CSS_Resilienz

Ref. 23: Zukunftsforum öffentlicher Sicherheit: Risiken und Herausforderungen für die öffentlicheSicherheit in Deutschland, Szenarien und Leitfragen, September 2008,

http://bit.ly/Zukunftsforum_oeff_Sich

Ref. 24: Schutz kritischer Infrastrukturen – Basisschutzkonzept, Empfehlungen für Unternehmen,

Deutschland, August 2005,http://bit.ly/BBK_SKI_Basisschutzkonzept

Ref. 25: Schutz kritischer Infrastrukturen – Risiko- und Krisenmanagement, Leitfaden fürUnternehmen und Behörden, Bundesministerium des Inneren (BMI), Deutschland,Januar 2008,http://bit.ly/BMI_SKI_Leitfaden

Ref. 26: Schutz Kritischer Infrastruktur: Risikomanagement im Krankenhaus, Bundesamt fürBevölkerungsschutz und Katastrophenhilfe (BBK), November 2008,http://bit.ly/BBK_SKI_Management_KKH

Ref. 27: Schutz Kritischer Infrastruktur: Risikomanagement im Krankenhaus, Leitfaden zurIdentifikation und Reduzierung von Ausfallrisiken in Kritischen Infrastrukturen desGesundheitswesens, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK),November 2008http://bit.ly/BBK_SKI_KKH_Leitfaden

Ref. 28: Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie),

http://bit.ly/BSI_KRITIS_Links

http://bit.ly/BBK_EPSKI

http://bit.ly/Gruenbuch_EU_EPSKI

http://bit.ly/Richtlinie_EU_SKI

http://bit.ly/ESRIF_Report

http://bit.ly/DIESIS_Projekt

http://bit.ly/BBK_Lenz_Vulnerabilitaet

http://bit.ly/ETH_Zuerich_CSS_KI

http://bit.ly/ETH_Zuerich_CSS_Resilienz

http://bit.ly/Zukunftsforum_oeff_Sich

http://bit.ly/BBK_SKI_Basisschutzkonzept

http://bit.ly/BMI_SKI_Leitfaden

http://bit.ly/BBK_SKI_Management_KKH

http://bit.ly/BBK_SKI_KKH_Leitfaden


Bundesministerium des Inneren (BMI), Deutschland, Juni 2009,http://bit.ly/BMI_KRITIS_NatStrategie

Ref. 29: Analyse kritischer Infrastrukturen, Die Methode AKIS, Bundesamt für Sicherheit inder Informationstechnik (BSI), Deutschland, 2008,http://bit.ly/BSI_Methode_AKIS

Ref. 30: Management von kritischen Infrastrukturen, Bundesverband deutscher Banken,Mai 2004,http://bit.ly/Bankenverband_Management_KI

Ref. 31: Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI),Bundesministerium des Inneren (BMI), Deutschland, 2005,http://bit.ly/BMI_NPSI

Ref. 32:Umsetzungsplan KRITIS des nationalen Plans zum Schutz der Informationsinfrastrukturen,Bundesministerium des Innern (BMI), Januar 2008,http://bit.ly/BMI_KRITIS_Umsetzungsplan

Ref. 33:Projektskizze Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel einesgroßräumigen Ausfalls der Stromversorgung, Büro für Technikfolgenabschätzung beimdeutschen Bundestag, Projektstart: 2008,http://bit.ly/TAB_Bundestag_Projektskizze

Ref. 34:Tätigkeitsbericht 2008: Gefährdung und Verletzbarkeit moderner Gesellschaften – amBeispiel eines großräumigen Ausfalls der Stromversorgung, Büro für Technikfolgen-

abschätzung beim deutschen Bundestag, Juni 2009, 35-36http://bit.ly/TAB_Bundestag_Arbeitsbericht

Ref. 35: S.D. Wolthusen: Schutz kritischer Infrastrukturen und Informationssicherheit –Bewertungsmodelle, Vorlesung WS 2005/2006, Ruhr-Universität Bochum,http://bit.ly/Wolthusen_SKI_Bewertungsmodelle

Ref. 36: IRRIIS – An Overview, 2008,http://bit.ly/IRRIIS__Overview

Ref. 37: J. Kuhn: Der Schutz kritischer Infrastrukturen unter besonderer Berücksichtigung vonkritischen Informationsinfrastrukturen, Interdisziplinäre Forschungsgruppe Abrüstung undRüstungskontrolle (IFAR), Universität Hamburg, IFAR Working Paper 5, Juni 2005,http://bit.ly/IFAR_SKI

Ref. 38:R. Hutter: “Cyber-Terror” – Risiken im Infromationszeitalter,Zeitschrift: "Das Parlament", 08. März 2002; Beilage: "Aus Politik und Zeitgeschichte",http://bit.ly/Hutter_Cyber_Terror

Ref. 39: GAMMA Software , Version 4.2, Oktober 2007, TATA Interactive Systems GmbH,Tübingen

Ref. 40: Sascha Schäfers: „Umgang mit Komplexität“, FÖV Speyer, Dezember 2009http://bit.ly/S_Schaefers_Komplexitaet

Ref. 41: Ganzheitliches vernetztes Denken und Handeln mit GAMMA, Schramm -Unternehmensberatung GmbH,http://bit.ly/GAMMA_Schramm

Ref. 42:Hanns Hub: „Praxisbeispiele zum ganzheitlich - vernetzten Denken“, Verlag der DeutschenManagement-Gesellschaft (DMG-Verlag), Bonn/Nürtingen, 2007

Ref. 43:GAMMA – Tutorial Version 4

http://bit.ly/BMI_KRITIS_NatStrategie

http://bit.ly/BSI_Methode_AKIS

http://bit.ly/Bankenverband_Management_KI

http://bit.ly/BMI_NPSI

http://bit.ly/BMI_KRITIS_Umsetzungsplan

http://bit.ly/TAB_Bundestag_Projektskizze

http://bit.ly/TAB_Bundestag_Arbeitsbericht

http://bit.ly/Wolthusen_SKI_Bewertungsmodelle

http://bit.ly/IRRIIS__Overview

http://bit.ly/IFAR_SKI

http://bit.ly/Hutter_Cyber_Terror

http://bit.ly/S_Schaefers_Komplexitaet

http://bit.ly/GAMMA_Schramm


http://bit.ly/GAMMA_Tutorial

Ref. 44: BSI: Sektoren Kritischer Infrastrukturen in Deutschland, Erläuterungen zu denkritischen Infrastrukturen,http://bit.ly/BSI_Sektoren_KI_D

Ref. 45: Managing and reducing social vulnerabilities from coupled critical infrastructures (WhitePaper 3), International Risk Governance Council (IRGC), October 2006http://bit.ly/IRGC_Vulnerability_WP3

Ref. 46: E. Zio: Reliablity Engineering - Old problems, new challenges, Reliability Engineering andSystem Safety 94 (2009) 125– 141http://bit.ly/Zio_Reliablity_Engineering

Ref. 47:Fokusbericht Kritikalitätskriterien, Labor für Sicherheitsanalytik, ETH Zürich, im Auftrag desBundesamtes für Bevölkerungsschutz (BABS), Schweiz, August 2008

Ref. 48:J. Birchmeier: Systematic assessment of the degree of criticality of infrastructures,Proceedings of the European Safety and Reliability Conference (ESREL 2007),Stavanger, Norway, Vol. 1, 25–27 June 2007, 859–864

Ref. 49: Methode zur Erstellung des SKI – Inventars, Bundesamt für Bevölkerungsschutz (BABS),Schweiz, April 2010

http://bit.ly/GAMMA_Tutorial

http://bit.ly/BSI_Sektoren_KI_D

http://bit.ly/IRGC_Vulnerability_WP3

http://bit.ly/Zio_Reliablity_Engineering


Abbildungsverzeichnis

Abbildung 1: Liste der acht deutschen KI-Sektoren nach [Ref. 3]................................ 12Abbildung 2: Vernetzung von Kritis-Sektoren und Branchen [ ....................................... 20Abbildung 3: Element Mineralölversorgung aus dem Sektor KI-Energie [ ................... 23Abbildung 4: Dreistufige Kritikalitätsmatrix bei dreistufigen Indikatoren ....................... 25Abbildung 5: Risikomanagement-Kreislauf in der Schweiz [Ref. 8] .............................. 27Abbildung 6: Risikomanagement aus der Perspektive des KI - Schutzes [Ref. 8] .... 28Abbildung 7: Matrix zum durchschnittlichen Ausmass der Dependenz [Ref. 12]........ 34Abbildung 8: KI-Teilsektoren Schweiz gruppiert nach Kritikalität [Ref. 12] .................. 37Abbildung 9: Vernetzung der Sektoren kritischer Infrastrukturen in Deutschland ...... 41Abbildung 10: Darstellung der KI-Sektoren in Organigrammform ................................. 49Abbildung 11: Grafisch geordnete Liste der KI-Sektoren (unvernetzt) ......................... 51Abbildung 12: Netzdarstellung des Wirkungsnetzes der KI-Komponenten ................. 52Abbildung 13: Netzdarstellung (kompakt) der acht KI-Sektoren.................................... 53Abbildung 14: Einflussanalyse Funktionssicherheit der KI-Sektoren und -elemente . 59Abbildung 15: Wirkungsaufnahme des Infrastrukturelements <Ärzte, KKH V4> ........ 62Abbildung 16: Wirkungsausbreitung des Infrastrukturelements <Elektrizität E1> ...... 63Abbildung 17: Netzdarstellung (kompakt) der acht KI-Sektoren.................................... 67Abbildung 18: Einflussanalyse Funktionssicherheit der acht KI-Hauptsektoren ......... 69Abbildung 19: W.Ausbreitung des Energie - Sektors im kompakten KI – Netz ........... 71Abbildung 20: W.Aufnahme des Energie - Sektors im kompakten KI – Netz .............. 71Abbildung 21: W.Aufnahme des Finanz – Sektors im kompakten KI - Netz................ 72Abbildung 22: Modell von sieben vernetzten Infrastruktursektoren [Ref. 35] .............. 73Abbildung 23: Wirkungsaufnahme des KI – Sektors „Energie“ [Ref. 35]...................... 75Abbildung 24: Wirkungsaufnahme des KI – Sektors „Finanzen“ [Ref. 35] ................... 75Abbildung 25: KI-Sektor (V): Detailstruktur Strassenverkehr ........................................ 92Abbildung 26: KI-Sektor (V): Detailstruktur Schienenverkehr ....................................... 93Abbildung 27: KI-Sektor (V): Detailstruktur Luftverkehr ................................................. 94

___________________________________________________________________________Friedmar Fischer;100Kritische Infrastrukturen: Denkweisen, Zusammenhänge, Visualisierungen

Tabellenverzeichnis

Tabelle 1: Vergleich der KI-Sektoren in ausgewählten Ländern [Ref. 8]........................ 6Tabelle 2: Liste von Sektoren mit kritischen Infrastrukturen [Ref. 17]........................... 10Tabelle 3: Kritische Infrastruktursektoren und Teilsektoren in der Schweiz [Ref. 8] .. 29Tabelle 4: Erfassungsblatt zur Ermittlung der Kritikalität [Ref. 12] ................................ 31Tabelle 5: Erfassung des Dependenz (KI – Sektoren Schweiz) [Ref. 12].................... 35Tabelle 6: Liste der 38 Komponenten von KI_Sektoren in Deutschland ...................... 45Tabelle 7: Elementliste der 38 KI-Sektoren in Deutschland ........................................... 50Tabelle 8: Element-Matrix der Funktionssicherheit der KI-Sektoren und -elemente .. 58Tabelle 9: Erfassung der Dependenz (KI-Sektoren und -elemente Deutschland)...... 64Tabelle 10: Elementliste der acht KI-Haupt-Sektoren in Deutschland.......................... 67Tabelle 11: Umsetzungsschritte von KI-Element-Matrix (groß auf kompakt) .............. 68Tabelle 12: Element-Matrix der Funktionssicherheit der acht KI-Haupt-Sektoren...... 69Tabelle 13: Interdependenzen im Normalbetrieb nach Wolthusen [Ref. 35] ............... 74Tabelle 14: Interdependenzen im Krisenfall nach Wolthusen [Ref. 35]........................ 74Tabelle 15: Bewertungsmatrix für Prozesse des Energie-Sektors [Ref. 35]................ 76Tabelle 16: Bewertungsmatrix für Prozesse des Finanz-Sektors [Ref. 35].................. 76Tabelle 17: Bewertungsmatrix für Prozesse des Transport-Sektors [Ref. 35] ............ 77Tabelle 18: Bewertungsmatrix für Prozesse des IT/TK-Sektors [Ref. 35].................... 77Tabelle 19: Bewertungsmatrix für Prozesse des Behörden - Sektors [Ref. 35] .......... 78

Date post:	23-Jun-2015
Category:	Documents
Upload:	momo0701
View:	752 times
Download:	6 times

KIT Report Kritische Infrastrukturen

Documents