Kritische Infrastrukturen/KRITIS:

Mrz 15, 2022Blog, Sicherheit

Alles was Sie wissen müssen!

Kritische Infrastrukturen sind mitunter einer der bedeutendsten Balken der deutschen Ökonomie wie auch Gesellschaft, weshalb ihr problemloser Betrieb zu jeder Zeit sicher gestellt sein muss. Fallen sie beispielsweise wegen Internetangriffen, Havarien oder technischem Scheitern aus, verzeichnet dies schlimme Auswirkungen für die Sicherheit und Versorgungslage des Landes. Aus diesem Grund haben die Politiker juristische Anforderungen und Regelungen festgelegt, mit dem Ziel, solchen kritischen Szenarien vorbeugend aus dem Weg zu gehen. Was für welche dies sind, wann eine Infrastruktur als „kritisch“ gilt und welchen speziellen Herausforderungen systemrelevante Institutionen der kritischen Infrastruktur gegenüberstehen, erfahren Sie in unserem nachfolgenden Blogbeitrag.

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungswirtschaft und Industriewirtschaft machen sich durch einen hohen Rang an Digitalisierung, Agilität, Wettbewerbsfähigkeit sowie intensiver Teilnahme an der Liberalisierung des Welthandels aus. In Anbetracht dessen sind zeitgemäße Firmen immer mehr von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur bestimmt – dies gilt insbesondere für systemrelevante Firmen der kritischen Infrastruktur.

Doch was sind kritische Infrastrukturen genau?

Gemäß der offiziellen Definition des Bundesamtes für Sicherheit und Informationstechnologie, knapp BSI, wie auch des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei problematischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Roboterhand tippt auf Virtuellen Bildschirm

Welche kritischen Infrastrukturen gibt es?

Demzufolge sind private sowie staatliche Unternehmen der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Sicherheit sowie des ökonomischen oder sozialen Wohlergehens der Bevölkerung unerlässlich – und daher besonders zu schützen. 

Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, kurz BMI, verabschiedet wurde, definiert 9 Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme starken Schutz benötigen.

Hierzu zählen:

  1. Staat sowie Verwaltung
  2. Energieversorgung
  3. EDV und Telekommunikation
  4. Transport sowie Verkehr
  5. Gesundheit
  6. Wasser
  7. Ernährung
  8. Finanz- und Versicherungswesen
  9. Medien plus Kultur

Mit der Gesetzesänderung des BSIG im Jahr 2021 kam ein weiterer Bereich hinzu: „Siedlungsabfallentsorgung“. Allerdings steht die Bundesebene – allgemeingültige Abstimmung noch aus.

Ob ein Betrieb als problematische Infrastruktur gewertet wird, kann bloß eine individuelle Prüfung mit Gewissheit klären. Es gibt jedoch drei typische Anhaltspunkte, anhand dieser eine erste Einordnung möglich sei.

1.    Kritische Dienstleistung

Eine Serviceleistung ist demzufolge kritisch, wenn diese in einem regulierten Bereich erbracht wird und die Menge den Grenzwert überschreitet. Bei Krankenhäusern ist es beispielsweise einfach: Der Schwellenwert wird auf Grundlage der „vollstationären Fälle“ begutachtet und ist dadurch deutlich bestimmt. Aber in manchen Branchen ist es jedoch nicht so trivial wie beispielsweise in der Logistik. In diesem Fall muss ein Berater äußerst gründlich die Kritisverordnung verstehen und interpretieren können.

2.    Schwellenwert 

Das BSI hat für jeden Bereich spezifische Schwellenwerte festgelegt, welche in der KRITIS-Verordnung, welche mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgeführt sind und bestimmen ab wann ein Unternehmen der kritischen Infrastruktur zuzuordnen ist. 

Verweis: Eine übersichtliche Auflistung finden Sie auf der Webseite: OPENKRITIS

3.    IT-Netzwerk 

Die IT-Unabhängigkeit der jeweiligen Unternehmen ist ebenso ein bedeutungsvoller Aspekt. Wenn ein Unternehmen viele Standorte besitzt, die alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Betrieb der kritischen Infrastruktur – irrelevant, wie riesig es insgesamt ist. Leitet ein Betrieb die IT hingegen zentral als „gemeinsame Anlage“, ist das etwas anderes.

Skyline im Hintergrund Diagramme und Zahlen im Vordergrund

Die Sicherheitslage hat sich verschärft!

Im Allgemeinen sind kritische Infrastrukturen gut geschützt. Nichtsdestotrotz stellen sie wegen ihrer Wichtigkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber sogar gemeine staatliche Akteure dar.

Somit überrascht es nicht, dass in den Medien immer mehr von IT-Ausfällen oder Defekten kritischer Infrastrukturen zu lesen ist.

So sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der kompletten Ostküste.

Dies ist absolut kein Ausnahmefall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe auf die Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen und Wasser und Energie in den vergangenen Jahren merklich zugenommen. Gleichzeitig belegen die Erkenntnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Gebieten insgesamt 1.805 Sicherheitsmängel ermittelt wurden, welche insbesondere auf Problematiken im Bereich Netztrennung, Notfallmanagement sowie physische Sicherheit zurückzuführen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teils schwerwiegenden Auswirkungen auf die Sicherheit und das Wohlergehen der Bevölkerung einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin/Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte. 

Person an Laptop Organigramm Handy

Wichtige Regelungen kritischer Infrastrukturen!

Mit dem Ziel, solche Worst-Case-Szenarien zu verhindern, gilt es für Unternehmen der kritischen Infrastruktur Gefahren sowie Risiken frühzeitig zu ermitteln und abzuwehren. 

Die gesetzmäßigen Bedingungen und Regulierungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, knapp BSIG und der BSI-KRITIS-Verordnung, knapp BSI-KritisV verankert.

Demnach sind Unternehmen der kritischen Infrastruktur dazu verordnet

  • eine Kontaktstelle für die betriebene kritische Infrastruktur zu formulieren,
  • die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und angemessene organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Vorbeugung, Ausmachung sowie Problembehebungen von IT-Sicherheitsvorfällen oder IT-Problemen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie dazu den Blogartikel zum Thema Datenschutz und Informationssicherheit.) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
  • IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall leiten, zu melden
  • und die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der EDV nachzuweisen.
Skyline im Hintergrund Im Vordergrund Virtuelle Zahlen und Diagramme

Kritische Infrastrukturen aufrechterhalten!

Kritische Infrastrukturen sind für das reibungslose Gelingen unserer Gesellschaft und Ökonomie unerlässlich. Selbst im Falle, dass sie in der täglichen Wahrnehmung nicht unbedingt immer zugegen sind, ist der Schadensfall bei einem Ausfall umso beträchtlicher. Der problemlose Mechanismus ist daher notwendig.

Zudem hat das Bundesamt für Sicherheit in der EDV am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Mit diesem Anforderungskatalog bietet das Bundesamt für Sicherheit in der Informationstechnik allen Unternehmen der kritischen Infrastruktur sowie ihren Gutachtern einen konkreten Bereich zur Auswahl, Umsetzung und Prüfung sämtlicher IT-Sicherheitsmaßnahmen, welche im Kontext der IT-Sicherheit durchzuführen sind. Dabei deckt der Anforderungskatalog die aufgeführten Themenbereiche ab:

  • Informationsmanagementsystem
  • Asset Management
  • Risikoanalysemethode
  • Continuity Management
  • Technische Informationssicherheit
  • Personelle und organisatorische Sicherheit
  • Bauliche/ physische Sicherheit
  • Vorfallserkennung sowie Bearbeitung
  • Begutachtung im aktiven Betrieb
  • Außerbetriebliche Informationsversorgung sowie Unterstützung 
  • Lieferanten, Dienstleistungsunternehmen und Dritte
  • Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur noch dazu auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen, um Ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen?

Oder haben Sie noch weitere Anliegen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen?

Sprechen Sie uns gerne an!

Das könnte Ihnen auch gefallen…