Ausfall Informations

Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Ausfall Informations- und Kommunikationstechnologien (IKT)
Definition
Von einem Ausfall der Informations- und Kommunikationstechnologien (IKT)
wird dann gesprochen, wenn technische Mittel zur Verarbeitung oder Weiterleitung von Informationen temporär nicht mehr verfügbar sind. Wegen der verbreiteten Anwendung von IKT kann ein solcher Ausfall gravierende Konsequenzen haben. Das Schadensausmass ist abhängig von der Dauer, von der Art der
betroffenen Technologien, der Anzahl und der Bedeutung der betroffenen
Dienste und Nutzer sowie Beschädigung von Daten. Auch Ausfälle von spezifischen Systemen können zu grossen Schäden führen, wenn etwa die IKTbasierten Kontrollsysteme von kritischen Infrastrukturen (Kraftwerke, Transportsysteme etc.) betroffen sind. Ein Ausfall von IKT kann deshalb zu verschiedenen weiteren Gefährdungen führen, weil viele Infrastrukturen von einer funktionierenden IKT abhängen und durch diese Technologien miteinander vernetzt
sind.
Ein Ausfall der IKT kann durch verschiedene Ereignisse ausgelöst werden. Beispiele dafür sind Störungen oder Ausfälle von Komponenten, menschliche Fehlhandlungen, Naturereignisse (z. B. Erdbeben), kriminelle Handlungen (Cybercrime, Cyberterror) oder technische Pannen (Stromausfall). Im vorliegenden
Dossier steht eine Störung im Vordergrund.
30. Juni 2015
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Ereignisbeispiele
30. Oktober 2013
USA
Ausfall Microsoft Azure Storage
Cloud
Beim Versuch, ein abgelaufenes SSL-Zertifikat zu aktualisieren, das für die verschlüsselte Datenübertragung notwendig ist, kommt es zu einem Unterbruch
der Microsoft Azure Storage Cloud (Microsoft Cloud Computing Plattform). Die
Folgen sind weltweit spürbar.
Der Unterbruch dauert von Freitag bis Samstag rund 20 Stunden. Während
dieser Zeit ist kein verschlüsselter Datenaustausch zwischen Kunden und der
Plattform möglich. Der normale http-Verkehr ist nicht betroffen. Die meisten
Kunden sind während rund 12 Stunden betroffen, einige sogar während 24
Stunden. 52 Microsoft-Dienste verzeichnen Probleme und Ausfälle, darunter
Xbox Live. Die betroffenen Kunden werden entschädigt bzw. erhalten Gutschriften.
21. Oktober 2013
Schweiz
Ausfall Swisscom Internet Zugang
Schweizweit fällt der Internet-Zugang für Swisscom-Kunden wegen einer unbekannten Störung aus. Der Internet-Zugang ist entweder sehr langsam oder
steht gar nicht zur Verfügung. Betroffen sind alle Privat- und KMU-Kunden der
Swisscom. Nach einem halben Tag Unterbruch kann das Problem behoben
werden.
26. Dezember 2006
Taiwan
Unterbrochenes Unterseekabel
Am 26. Dezember 2006 beschädigt ein Erdbeben vor Taiwan Unterseekabel,
über die die Telefon- und Internetverbindungen abgewickelt werden. Mehrere
Millionen Internet-Nutzer in Ostasien haben nur noch eingeschränkten Zugang
zum Internet und internationale Telefongespräche sind zeitweise unmöglich.
Die Banken beklagen teils massive Störungen ihres Geschäfts.
2/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Einflussfaktoren
Diese Faktoren können Einfluss auf die Entstehung, Entwicklung und die Auswirkungen der Gefährdung haben.
Gefahrenquelle
Ausfall von Infrastrukturen (z. B. durch Naturgefahren, Sabotage)
Technische Defekte (Materialversagen, Schadhafte Software usw.)
Bedienungsfehler im Betrieb oder Unterhalt
Andere Fehlfunktionen
Bedeutung der Systeme:
- Bedeutung der von den betroffenen Systemen abhängigen Dienste
- Anzahl Nutzer der betroffenen Systeme
Proprietäre Systeme: keine alternativen Systeme/Plattformen zur Verfügung
Zeitpunkt
Geschäftszeiten oder nachts
Arbeitstage oder Wochenende, Feiertage, Ferienzeit, Jahreszeit
Ort / Ausdehnung
Grad der Verbreitung betroffener Systeme
Grad der Vernetzung betroffenen Systeme (Kaskadeneffekte)
Betroffene Dienste/Services
Betroffene Nutzer/Kunden
Betroffene Sektoren
Grad des Datenverlustes
Ereignisablauf
Vorwarnzeit des Ausfalls
Umfang des Ausfalls
Verfügbarkeit alternativer Systeme
Dauer des Ausfalls
Verhalten der betroffenen Organisationen
Reaktion der Kunden und Nutzer
3/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Abhängigkeiten
Mögliche Auslöser
Dargestellt sind Ereignisse und Entwicklungen aus dem «Katalog möglicher Gefährdungen» des Bundesamts für
Bevölkerungsschutz (BABS), die Auslöser oder Folge eines Ausfalls der IKT Infrastruktur sein können.
Hydrologische/meteorologische
Naturgefahren
Hochwasser
Sturm
Unwetter / Gewitter
Starker Schneefall
Ausfälle von Versorgungs-, Verkehrsund Informationsinfrastrukturen
Ausfall Stromversorgung
Schadensereignis bei Bauwerken
Brand
Kriminalität / Terrorismus
Konventioneller Anschlag
Cybercrime
Cyber-Angriff
Gravitative Naturgefahren
Rutschung
Seismische Naturgefahren
Erdbeben
Mögliche Folgen
Ausfälle von Versorgungs-, Verkehrsund Informationsinfrastrukturen
Ausfall Informations- und
Kommunikationinfrastruktur
Ausfälle von Versorgungs-, Verkehrsund Informationsinfrastrukturen
Ausfall Logistikzentrum
Ausfall Informations- und
Kommunikationsinfrastruktur
Ausfall Stromversorgung
Ausfall Verteilinfrastruktur Erdölprodukte
Ausfall Verteilinfrastruktur Gas
Ausfall Verteilinfrastruktur Wasser
Ausfall von GPS-Systemen
Ausfall Fluginfrastruktur
Ausfall Bahninfrastruktur
Versorgungsengpässe
Versorgungsengpass Nahrungsmittel
Kriminalität/Terrorismus
Wirtschaftskriminalität und -spionage
Cybercrime
Cyber-Angriff
4/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Szenario
Intensität
In Abhängigkeit der Einflussfaktoren können sich verschiedene Ereignisse mit
verschiedenen Intensitäten entwickeln. Die unten aufgeführten Szenarien stellen eine Auswahl von vielen möglichen Abläufen dar und sind keine Vorhersage. Mit diesen Szenarien werden mögliche Auswirkungen antizipiert, um sich
auf die Gefährdung vorzubereiten.
1 – erheblich
Ausfälle bei einzelnen Providern
Auswirkungen beschränken sich auf IKT-Sektor
Keine kritischen Dienste betroffen
Bekanntes Ereignis, Massnahmen ebenfalls bekannt
Kurze Dauer (weniger als 1 Tag)
2 - gross
Ausfälle bei mehreren Providern
Auswirkungen auf weitere kritische Sektoren
Unbekanntes Ereignis, Massnahmen aber aus Erfahrungen anwendbar
Kritische Dienste betroffen
Mittlere Dauer (zwei bis drei Tage)
3 - extrem
Ausfälle bei praktisch allen Providern
Auswirkungen auf kritische Infrastrukturen in den Sektoren Energie,
Telekommunikation und Verkehr
Schäden bei Verkehrs- und Energiesteuerungssystemen, massive Störung bei
Telekom-Dienstleistungen
Kritische Dienste betroffen (z. B. korrumpierte Authentifizierung)
Gegenmassnahmen sind nicht vorhanden, die Entwicklung dauert Wochen
Die Öffentlichkeit ist von den Angriffen indirekt, aber im Alltag spürbar
betroffen
Lange Dauer (mehr als 1 Woche)
Wahl des Szenarios
Für dieses Beispiel ist das Szenario «gross» gewählt worden. Dieses Szenario ist
in der Schweiz grundsätzlich vorstellbar, aber doch selten zu erwarten.
5/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Ereignis
Ausgangslage / Vorphase
Ein Betreiber von Daten Centren verfügt an verschiedenen, geografisch getrennten Standorten über Cloud-Rechenzentren, die redundant betrieben werden. Um die Last des Datenverkehrs unter den Rechenzentren besser zu regeln,
will der Betreiber den Betrieb auf eine neue Steuerungssoftware migrieren.
Ereignisphase
Wegen eines Konfigurationsfehlers kommt es bei der Migration zur neuen
Software zum kompletten Ausfall eines der Rechenzentren, da der Datenverkehr nicht regelmässig verteilt wird, sondern das betroffene Rechenzentrum
überlastet wird. Der Betreiber versucht erfolglos, den Fehler durch eine veränderte Konfiguration zu beheben. In der Folge trennt der Betreiber das betroffene Rechenzentrum vom Netz und macht die Migration rückgängig.
Da die Daten des ausgefallenen Rechenzentrums als Redundanz auch an den
anderen Standorten gespeichert sind, übernehmen diese vorübergehend den
Datenaustausch mit den Kunden. Bei der Wiederinbetriebnahme des betroffenen Rechenzentrums beginnt das automatische Rückspielen der Daten aus den
anderen Rechenzentren auf das ausgefallene Rechenzentrum. Da dieser Fall
zum ersten Mal auftritt, wird erst jetzt offensichtlich, dass der generierte Datentransfer enorm viel Bandbreite beansprucht, dass das Rechenzentrum extrem viele Daten verarbeiten muss und dass der Restore-Prozess deshalb deutlich länger dauert als erwartet. Zum einen entstehen beim Restore korrupte
Dateien, die später eigens wieder hergestellt werden müssen, zum anderen
kann der Betreiber der Cloud-Rechenzentren keinen Einfluss auf den Restore
des ausgefallenen Rechenzentrums nehmen, da die Steuerungssoftware keinen
Abbruch des Prozesses zulässt.
Während Stunden entsteht ein sehr grosser Netzwerkverkehr, der sich markant
auf die mit dem Betreiber arbeitenden Dienste bemerkbar macht. Praktisch alle
dieser internetbasierten Dienstleistungen unterliegen massiven Einschränkungen bzw. sie fallen vollständig aus. Als Erste spürbar betroffen und eingeschränkt sind Dienste, die auf eine tiefe Latenz angewiesen sind, wie etwa
Dienste, die abhängig sind von der Synchronisation grosser Datenbanken sowie
Streamingdienste wie z. B. Multimedia-Anbieter. Aber auch Webzugriffe, E-Mail,
Remote Access und Zugriffe von mobilen Geräten sowie und Teile der Telefonie
sind betroffen. Notfalldienste funktionieren.
20 000 KMU, zwei der zehn grössten Online-Shops der Schweiz, ein grosses
Logistik-Unternehmen, Teile einer städtischen Verwaltung sowie zahlreiche
kleine Hostinganbieter sind als Kunden des Betreibers direkt vom Ereignis
betroffen. Sie haben während zwei Tagen nur erschwert Zugriff auf ihre virtualisierte Umgebung und sind von korrupten Datenbeständen betroffen.
Durch den fehlerhaften Restore-Prozess und fehlende Backups erleiden viele
Kunden einen Datenverlust. Ein Spital mit 500 Betten und 2000 KMU erleiden
einen partiellen Datenverlust, 500 KMU gar einen kompletten Datenverlust.
Auch die Steuerverwaltung einer Stadt erleidet einen partiellen Datenverlust.
6/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Nicht oder nur wenig betroffen sind Nutzer mit dedizierten Verbindungen,
eigenen Netzwerken oder Ausweichsystemen wie z. B. Funk, Satellitenkommunikation sowie Provider mit eigenen Verbindungen.
Nach gut zwei Tagen stellt sich wieder eine normale Netzwerkbelastung ein.
Wo Kunden des Betreibers nicht ausreichend auf ein solches Ereignis vorbereitet waren, weil etwa Backups der Daten und Konfigurationen fehlen, dauern die
Massnahmen zur Behebung der Schäden deutlich länger an. Dazu gehören das
Wiederherstellen konsistenter Datenbestände, das Nacherfassen von Transaktionen und ähnliches.
Zeitlicher Verlauf
Das Ereigniss beginnt spontan, die Einschränkungen treten sofort auf und dauern rund zwei Tage.
Auswirkungen
Regenerationsphase
Dauer
Vorphase:
keine
Räumliche Ausdehnung
Ereignisphase:
2 Tage
Regenerationsphase:
5 Tage
Keine klare Abgrenzung möglich. Am stärksten betroffen ist eine Region, die
Engpässe sind aber in der ganzen Schweiz und in Europa spürbar.
Auswirkungen
Personen
Durch den Verlust von Patientendaten im betroffenen Spital und in einzelnen
Arztpraxen kommt es zu Nicht- oder Falschbehandlungen, die bei mehreren
Patienten zu gesundheitlichen Schäden oder gar zum Tod führen. Vereinzelt
begehen Personen, die ihre gesamte wirtschaftliche Grundlage verloren haben,
Suizid.
Durch die eingeschränkten Kommunikationsmöglichkeiten kann es bei hilfeoder pflegebedürftigen Personen zu Verzögerungen bei Unterstützungsleistungen kommen.
Insgesamt erleiden über 100 Personen gesundheitliche Schäden oder werden
7/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
verletzt. Indirekt kommen 12 Personen ums Leben.
Umwelt
Das Ereignis hat keine Umweltschäden zur Folge.
Sollte das Ereignis auch Auswirkungen auf Steuerungen von Anlagen und Systemen haben, die potentielle Umweltrisiken bergen, können Umweltschäden
auftreten z. B. durch unkontrollierte Freisetzung gefährlicher Stoffe in Boden,
Wasser, Luft.
Wirtschaft
Die direkt betroffenen Kunden des Data-Center Betreibers sowie die Kunden
der Reseller betreiben einen personellen und technischen Mehraufwand zur
Aufrechterhaltung ihrer Dienstleistungen bzw. stellen die Arbeit in betroffenen
Bereichen ein. Dies betrifft allein schon rund 20 000 KMU.
Die beiden direkt betroffenen Online-Shops erleiden in den zwei Tagen markante Umsatzeinbussen. Das betroffene Logistik-Unternehmen muss zur Disposition seiner Dienstleistungen einen grossen Mehraufwand betreiben. Die ausgelagerten Bereiche der städtischen Verwaltung sind während zweier Tage nur
schlecht online oder telefonisch erreichbar.
Wo Kunden von Resellern direkt betroffen sind oder Online-Dienstleistungen
durch den hohen Netzverkehr stark eingeschränkt sind, kommt es während
zwei Tagen ebenfalls zu Ausfällen in der Geschäftstätigkeit.
2000 KMU, die Steuerbehörde und das Personenmeldeamt einer mittelgrossen
Stadt erleiden partiellen Datenverlust. Dabei gehen auch wichtige Daten wie
Steuerdaten und Einwohnerdaten verloren.
500 KMU erleiden sogar einen vollständigen Verlust der beim Betreiber gespeicherten Daten mit entsprechenden Folgen.
Die Vermögensschäden und Bewältigungskosten belaufen sich auf rund eine
Milliarde CHF. Das Ereignis verringert in der Folge die wirtschaftliche Leistungsfähigkeit um ca. 350 Mio. CHF.
Gesellschaft
Es sind keine lebensnotwendigen oder sehr wichtigen Dienstleistungen vom
Ereignis betroffen. Infolge des IKT-Ausfalls kommt es zu Versorgungsengpässen und -unterbrüchen wegen Ausfällen in der Logistik der Grossverteiler.
Betroffene Nutzerkreise haben schlechten oder keinen Webzugriff (Wegfall
internetbasierter Dienstleistungen wie E-Mail, Social Media, online einkaufen,
Streamingdienste etc.).
Der Datenaustausch zwischen z. B. Spitex, Spitälern, Personenmeldeämtern etc.
ist eingeschränkt.
Im Nachgang des Ausfalls kommt es während einiger Tage zu einer kritischen
Berichterstattung über den Data Center Betreiber, der «nicht in der Lage ist,
einen zuverlässigen Service zu bieten und dessen Probleme die halbe Schweiz
lahmlegen» sowie über die generelle Abhängigkeit der Wirtschaft und der Bevölkerung von der IKT.
8/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Auswirkungsdiagramm
Dargestellt ist das erwartete Ausmass pro Schadensindikator im beschriebenen
Szenario. Pro Ausmassklasse nimmt der Schaden um den Faktor 3 zu.
Risikodiagramm
Dargestellt ist das Risiko des beschriebenen Szenarios zusammen mit den anderen Gefährdungsszenarien, die analysiert wurden. Je weiter rechts und oben
ein Szenario liegt, desto grösser ist dessen Risiko. Mutwillig herbeigeführte
Ereignisse sind den Plausibilitätsklassen zugeordnet, die anderen den Häufigkeitsklassen. Die Schäden sind aggregiert und monetarisiert dargestellt.
9/10
Nationale Gefährdungsanalyse – Gefährdungsdossier Ausfall Informations- und Kommunikationstechnologien (IKT)
Grundlagen und Referenzen
Verfassung
Artikel 13, Schutz der Privatsphäre
Artikel 92, Post- und Fernmeldewesen
Artikel 173, Weitere Aufgaben und Befugnisse
Gesetz
Datenschutzgesetz (DSG) vom 19. Juni 1992; SR 235.1.
Landesversorgungsgesetz (LVG) vom 8. Oktober 1982; SR 531.
Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs
(BÜPF) vom 6. Oktober 2000; SR 780.1.
Bundesgesetz über Massnahmen zur Wahrung der Inneren Sicherheit (BWIS)
vom 21. März 1997; SR 120
Verordnung
Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni
1993; SR 235.11.
Weitere Grundlagen und Quellen
Bundesrat, 2012: Nationale Strategie zum Schutz Kritischer Infrastrukturen.
Schweizer Bundesrat, 27. Juni 2012.
Bundesrat, 2012: Nationale Strategie zum Schutz der Schweiz vor CyberRisiken. Schweizer Bundesrat, 27. Juni 2012.
MELANI: Halbjahresberichte. Melde- und Analysestelle
Informationssicherung (MELANI).
Swiss Internet Exchange (SwissIX): www.swissix.net
Bildquelle
Keystone
10/10

Download Report