Bei Überlegungen zur Informationssicherheit, auch die der kritischen Infrastrukturen (KRITIS), wird der Fokus schnell auf den Schutz vor Angriffen über IT-Netzwerke, ggf. unter Einsatz von Social Engineering, gelegt. Die in den letzten Wochen gemeldeten Angriffe gegen kritische Infrastrukturen zeigen aber, dass der physische Schutz nicht vergessen werden darf. Dazu ist durchaus auch die Frage zu stellen, wer denn woher weiß, wo er „den Bolzenschneider ansetzen“ muss und wie schwierig es für den Angreifer war, Zugriff auf diese Informationen zu erhalten.
Teilweise wurden schützenswerte Informationen sehr weitreichend zugänglich gemacht, z. B.
- in einem TV-Bericht über die Sicherheitsmaßnahmen eines Unternehmens aus dessen Security-Center, samt Zugangskennungen auf Großbild-Monitoren
- durch eine Fitness-App samt Cloud-Portal für die Ablage der Laufstrecken, mit klar erkennbaren Umrissen von militärischen Einrichtungen in Krisengebieten
- von neuen Mitarbeitern eines Sicherheitsunternehmens, die stolz ihren Schreibtisch mit gut erkennbarem Mitarbeiterausweis für ihren privaten Social-Media-Auftritt ablichten
- mit der öffentlichen Ausschreibung einer Hochschule mit den Stromlaufplänen und Gebäudeschnitten der Mittelspannungsversorgung in den für jeden zugänglichen Unterlagen
Von „interessierten Kreisen“ werden solche öffentlich zugänglichen Informationen als „Open Source Intelligence (OSINT)“ zusammengetragen. OSINT ist in unserer vernetzten und stellenweise sehr mitteilsamen Welt zu einer schier unerschöpflichen Quelle an Informationen, leider auch für Personenkreise mit kriminellen Absichten, geworden. Für das Zusammentragen relevanter Informationen aus den unterschiedlichsten Datenquellen dürften die professionell organisierten und vermutlich finanziell sehr solventen Täterkreise auch über modernste KI-Technologien verfügen.
Auch im Rahmen von öffentlichen Ausschreibungen ist ein teilweise zu sorgloser Umgang mit sicherheitsrelevanten Informationen zur IT-Infrastruktur zu beobachten. Die Maßgabe der Informationssicherheit, dass nur die, die eine Information tatsächlich auch benötigen, Zugriff auf diese erhalten („need to know“), wird nicht immer beachtet, um den vermeintlichen Vorgaben des Vergaberechts gerecht zu werden.
Komplette Übersichten von Standorten, Hauseinführungen und Kabelwegen sollten gerade bei KRITIS-Unternehmen der Geheimhaltung unterliegen. Eine Preisgabe derartiger Infrastrukturinformationen in öffentlichen Vergaben stellt eine Gefährdung der Betriebssicherheit dar. Bei öffentlichen Ausschreibungen sollten diese Informationen daher nicht frei abrufbar sein, sondern nur gegen Geheimhaltungsvereinbarung an die finalen Bieter – bei besonders sensiblen Strukturen auch nur an sicherheitsüberprüftes Personal – übergeben werden.
Die Mechanismen hierfür gibt es, sie müssen nur genutzt werden.
Vergaberechtlicher Ausblick
Schaut man hierbei auf die vergaberechtlichen Vorgaben, sind folgende Punkte zu nennen:
- Nach § 41 Abs. 1 Vergabeverordnung (VgV) müssen grundsätzlich alle Vergabeunterlagen unentgeltlich, uneingeschränkt, vollständig und direkt online zur Verfügung gestellt werden.
Der § 41 Abs. 3 VgV eröffnet jedoch dem Auftraggeber die Möglichkeit, in der Auftragsbekanntmachung oder in der Aufforderung zur Interessensbestätigung anzugeben, welche Maßnahmen er zum Schutz der Vertraulichkeit von Informationen anwendet und wie auf die Vergabeunterlagen zugegriffen werden kann. - So kann gemäß § 5 Abs. 3 VgV der öffentliche Auftraggeber Unternehmen Anforderungen vorschreiben, die auf den Schutz der Vertraulichkeit der Informationen im Rahmen des Vergabeverfahrens abzielen. Hierzu zählt insbesondere die Abgabe einer Verschwiegenheitserklärung.
- Auf Bieterseite: Sollte das Angebot Betriebs- und Geschäftsgeheimnisse beinhalten, sind diese im Hinblick auf eine mögliche Einsichtnahme der Beteiligten im Rahmen eines etwaigen Nachprüfungsverfahrens entsprechend kenntlich zu machen (vgl. § 165 Abs. 2 und 3 Gesetz gegen Wettbewerbsbeschränkungen (GWB)).
- Detailinformationen, die in einer öffentlich zugänglichen Ausschreibung geliefert wurden – wie z. B. Raumlayout, Geschosspläne, Gebäudeschnitte, Übersichten über Kabelwege und Schaltanlagen – sollten im Interesse der Sicherheit der betroffenen Infrastrukturen unbedingt durch die zur Verfügung stehenden rechtlichen Möglichkeiten nur denen bekannt gemacht werden, die diese Informationen zur Planung und Umsetzung auch wirklich benötigen.
Anregungen / Empfehlungen
Weitere relevante Anregungen bzw. Empfehlungen, die dazu beitragen, die Sicherung kritischer Infrastrukturen zu gewährleisten, sind z. B. folgende Vorgehensweisen:
- Eine Veröffentlichung sicherheitsrelevanter Informationen (wie z. B. von Standortlisten mit vollständigen Adressangaben oder Netztopologien der Auftraggeber) im Rahmen von Ausschreibungen sollte vermieden werden.
- Detailinformationen sollten im weiteren Projektverlauf nur an den eigentlichen Auftragnehmer übergeben werden.
- Eine vorherige Registrierung oder noch besser die vorherige Unterzeichnung einer Verschwiegenheitserklärung verbunden mit dem Ziel, Vergabeunterlagen mit sensiblen Inhalten nur Marktteilnehmern mit berechtigtem Interesse zugänglich zu machen, wird empfohlen. Dabei ist die verstärkte Nutzung von Verschwiegenheitserklärungen ein guter Schritt in die richtige Richtung.
- Nicht offene Verfahren gemäß § 16 VgV oder – vorbehaltlich der vergaberechtlichen Zulässigkeit – Verhandlungsverfahrens mit vorgeschaltetem Teilnahmewettbewerb gemäß § 17 VgV werden im KRITIS-Umfeld als die zu bevorzugenden Verfahrensarten bewertet.
- Im Rahmen eines Teilnahmewettbewerbs sollte der Ausschreibungsgegenstand zunächst so detailliert wie möglich dargestellt werden, jedoch ohne Preisgabe der sicherheitsrelevanten und vertraulichen Informationen bezüglich der IT-Infrastruktur.
- Ein Augenmerk sollte auf Nachweise von ISO/ISO 27001-Zertifizierungen (Information Technology – Security Techniques – Information Security Management Systems – Requirements), mindestens jedoch auf DIN EN ISO 9001 (Qualitätsmanagement), gelegt werden.
- Auch ein Lieferantenmanagement zu fordern, d. h. eine entsprechende Überprüfung aller Nachunternehmer durch den AN, ist ein sinnvoller Weg, kritische Daten besser zu schützen.
- Es wird geraten, vor Projektbeginn zu prüfen, ob das Projekt eine vorherige sicherheitstechnische Einstufung ermöglicht. Durch eine solche Einstufung ist dann gewährleistet, dass das Projekt durch Auftragnehmer mit sicherheitstechnisch überprüftem Personal realisiert wird.
- Eine verstärkte Nutzung von sicherheitstechnischen Klassifizierungen von Dokumenten und Informationen ist ebenfalls eine hilfreiche Unterstützung bei der Absicherung.
- Die Begrenzung der in Vergabeunterlagen preisgegebenen kritischen Informationen auf ein für die Erarbeitung eines Angebotes zwingend erforderliches Maß sollte insgesamt betrachtet ein vorrangiges Ziel sein.
Resümee
Um Missverständnissen vorzubeugen: Es geht hier gerade nicht um „Security through Obscurity“ – in der Kryptografie wird Sicherheit durch gut dokumentierte und erforschte mathematische Verfahren erreicht. Bei physischer Sicherheit von kritischen Infrastrukturen ist eine Komponente jedoch auch schon, Lage und Beschaffenheit von Infrastruktur eben nicht öffentlich preiszugeben.
Alle mit öffentlichen Vergaben betrauten Mitarbeiter sollten dafür sensibilisiert werden, dass es die beschriebenen Möglichkeiten gibt, schützenswerte Informationen eben nicht breit zugänglich machen zu müssen. Detailinformationen über Lage und Beschaffenheit, insbesondere auch über mechanische Sicherungsmaßnahmen, gehören nicht in frei zugängliche Ausschreibungsunterlagen. Hier sind die ausschreibenden Stellen angehalten, die nach Vergaberecht vorhandenen Möglichkeiten auszunutzen, um ihren Beitrag zum Schutz unserer Infrastrukturen zu leisten.
Die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer sollte natürlich nicht durch ein Gefühl des Misstrauens erschwert werden – hier sind Augenmaß und Angemessenheit gefordert. Gegenüber „der ganzen Welt“, die potentiell auf veröffentlichte Vergabeunterlagen zugreifen kann, ist eine gesunde Portion Misstrauen hingegen angebracht. Information, die frei zugänglich verfügbar ist, kann gefunden und bei Bedarf verwertet und ausgewertet werden.
Eine Kette ist nur so stark wie ihr schwächstes Glied – eine Ausschreibung mit viel zu vielen schützenswerten Informationen ist ein schwaches Glied. Daher: die Möglichkeiten des Vergaberechts nutzen und Informationen streng nach „Need-to-know-Prinzip“ preisgeben! Wie auch die aktuell ebenfalls beschlossenen Maßnahmen zur Überprüfung und ggf. zum Ausbau von Redundanzen sowie einer verstärkten Überwachung und Kontrolle der Komponenten hilft dies, unsere kritischen Infrastrukturen zu schützen. Ein besserer Schutz dieser Infrastrukturen wird z. B. auch in den EU-Richtlinien wie NIS2 und ECI bzw. CER gefordert und in Folge auch in den nationalen Umsetzungen.