IT-Krise am BER

Das ist nicht schön, was ich da lesen muss.

Die Morgenpost: Kernproblem kann noch Tage andauern – Cyberangriff auf BER: Auch am Wochenende drohen Flugausfälle

Der Hauptstadtflughafen BER wird voraussichtlich noch mehrere Tage an den Folgen eines Cyberangriffs auf ein IT-System arbeiten müssen. Das „eigentliche Kernproblem“ werde noch Tage andauern, sagte ein Sprecher des Flughafens. Auch am Wochenende seien daher Verspätungen und vereinzelte Ausfälle möglich. Wann das Problem behoben sei, könne er aktuell nicht sagen.

Die haben keinen Disaster-Recover-Prozess und können nicht sagen, wie lang es dauert, den Kram wieder aufzusetzen?

Das lahmgelegte System für die Passagier- und Gepäckabfertigung funktioniert aktuell noch nicht.

Immer noch nicht?vgwort next

Inzwischen stabilisiere sich die Lage allerdings, weil sich eine gewisse Routine bei den Beschäftigten eingespielt habe, so der Sprecher. Die Airlines und die Unternehmen für die Bodenabfertigung bringen nach seinen Angaben nach und nach mehr Personal und zum Teil auch eigene Systeme und eigene Laptops an den Start, um die Situation zu verbessern.

Zum Teil auch eigene Systeme und Laptops an den Start. Ich hatte ja schon gefragt, warum sie das nicht machen.

12 Mitarbeiter sind vom Cyberangriff betroffenen IT-Dienstleisters Collins Aerospace am Flughafen Berlin-Brandenburg. Vor Ort versuchten sie etwa, infizierte Rechner neu aufzusetzen. Sie seien mit Hochdruck dabei, das System wieder zum Laufen zu bringen, betonte der Sprecher.

Wie, bitte!?

Sie versuchen, Rechner neu aufzusetzen?

Was für ein Schrott ist das?

Was sind das für Leute, was ist das für ein Unternehmen, wenn die da 12 Leute haben, die das „versuchen“?

Eigentlich sollte so etwas automatisch gehen und ein Mitarbeiter pro Gebäude reichen, um die Dinger neu zu starten und den Installationsprozess anzuwerfen.

Grundschutzhandbuch? ISO 27001? ISMS?

Dass Collins Aerospace ein Saftladen ist, scheint evident.

Aber wie konnte denn so ein Laden den Serviceauftrag am BER bekommen? Das ist doch kritische Infrastruktur und nicht Blumenladen.

Wenn man damals Anbieter für De-Mail werden wollte, oder ähnliche Dinge anbietet, dann musste man sich vom BSI zertifizieren lassen und dazu gehörten auch die Verfahren zum Wiederaufsetzen der Systeme in definierter Zeit. Anscheinend hat man das beim BER aber nicht getan, und da jeden Mist zugelassen.

Wie konnte man den BER in Betrieb nehmen, ohne dass die Einhaltung solcher Elementaranforderungen geprüft wurde?

Damit kommt man auf die KRITIS-Verordnung, und das KRITIS-Dachgesetz, das man jetzt gerade erst beschließt oder beschlossen hat. Airliners.de schreiben:

Flughäfen und andere Betreiber kritischer Infrastruktur müssen künftig strengere Sicherheitsvorgaben erfüllen. Das Bundeskabinett hat ein entsprechendes Gesetz beschlossen. Wer die Auflagen ignoriert, muss mit Bußgeldern rechnen.

Strenge Vorgaben für Energieunternehmen, Flughäfen und andere große Infrastruktur-Einrichtungen sollen Deutschland künftig besser vor Sabotage, Terroranschlägen und den Folgen von Naturkatastrophen schützen. Das Bundeskabinett hat den Entwurf für ein “Kritis-Dachgesetz” beschlossenen. Dieser sieht einheitliche Regeln zum Schutz der sogenannten kritischen Infrastruktur vor.

Die Betreiber kritischer Anlagen sind demnach unter anderem verpflichtet “einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten”. Außerdem müssen sie Vorfälle abwehren und deren negative Auswirkungen begrenzen.

Wie diese Auswirkungen im konkreten Fall aussehen können, hat etwa der großflächige Stromausfall im Süden Berlins nach einem Brandanschlag diese Woche gezeigt.

“Mit dem Kritis-Dachgesetz machen wir Deutschland widerstandsfähiger gegen Krisen und Angriffe”, sagt Bundesinnenminister Alexander Dobrindt (CSU). Mit einheitlichen Mindeststandards, Risikoanalysen und einem Störungsmonitoring würden die Abwehrfähigkeit und Resilienz der Einrichtungen der kritischen Infrastruktur erhöht.

Toll. Das Bundeskabinett hat beschlossen. Ist also noch kein Gesetz.

Man hat es wohl einfach ausgeschrieben und den billigsten Anbieter genommen.