Die Warnung der CISA basiert auf einer realistischen Einschätzung der Bedrohungslage: Gegner verfügen bereits über Zugänge zu operativen Technologiesystemen (OT), die das alltägliche Funktionieren moderner Gesellschaften gewährleisten. Sollte ein geopolitischer Konflikt eskalieren, könnten diese Systeme gezielt lahmgelegt werden – mit verheerenden Folgen für Energieversorgung, Wasser, Verkehr und Gesundheitswesen.
Die CI-Fortify-Initiative setzt auf ein hartes Realitätsprinzip: In Konfliktsituationen können Internet-Zugang, Hersteller und externe Dienstleister kompromittiert sein. Daher müssen kritische Infrastrukturen in der Lage sein, isoliert zu operieren – ohne externe Abhängigkeiten, aber mit voller Funktionsfähigkeit. Das erste Standbein ist die Isolation: Betreiber sollen bewusst externe Verbindungen trennen, um zu verhindern, dass Angreifer von Geschäftssystemen zu operativen Technologien vordringen. Das Ziel ist beeindruckend ambitioniert – wochenlange oder monatelange autonome Funktionsfähigkeit im Notfallebetrieb.
Das zweite Standbein ist die Wiederherstellung: Isolation allein reicht nicht aus. Betreiber müssen ihre Systeme dokumentieren, aktuelle Backups vorhalten und regelmäßig Wiederherstellungsszenarien durchspielen – sowohl automatisiert als auch manuell. Dies erfordert konzeptionelle Planung, technische Vorbereitung und organisatorische Disziplin.
Duncan Greatwood, CEO von Xage Security, weist auf eine kritische Lücke hin: Isolation funktioniert nur, wenn Organisationen die Kontrolle über ihre Umgebung haben. Angreifer bewegen sich oft über vertrauenswürdige Verbindungen, Drittanbieter oder kompromittierte Zugangsdaten – lange bevor eine Krisenbewältigung startet. Segmentierung und die Fähigkeit, auch im degradierten Zustand zu operieren, sind daher fundamentale Anforderungen.
Für Deutschland hat diese Warnung unmittelbare Implikationen: Das BSI hat wiederholt vor russischen und chinesischen Spionage- und Sabotageakteuren gewarnt. Deutsche Energieversorger, Wasserbetriebe und Telekommunikationsunternehmen müssen die CISA-Empfehlungen ernst nehmen. Betreiber kritischer Infrastrukturen sind bereits durch die IT-Sicherheitsverordnung (ITS-V) zur Prävention verpflichtet; die neuen CISA-Standards bieten konkrete Handlungsanleitungen.
DING Betreiber sollten sofort handeln: Netzwerk-Segmentierung prüfen, Backup-Strategien validieren und Notfallszenarien trainieren. Die Bedrohung durch staatliche Akteure ist nicht akademisch – sie ist präsent.