Unternehmen

Kritische Infrastrukturen/ KRITIS: Die Lebensadern moderner Industrienationen!

11.04.2022 - Moderne Industrienationen zeichnen sich durch einen hohen Grad an Digitalisierung, Agilität, Wettbewerbsfähigkeit und intensiver Teilnahme an der Globalisierung aus. Dadurch sind heutige Unternehmen in immer höherem Maße auf eine hochleistungsfähige, funktionstüchtige und ausfallsichere IT-Infrastruktur angewiesen. Das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur. Erfahren Sie in unserem folgenden Blogbeitrag, wann eine Infrastruktur als „kritisch“ gilt, welche speziellen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur gegenüberstehen und welche gesetzlichen Anforderungen sie im Hinblick auf ihre IT-Sicherheit erfüllen müssen.

Sehr geehrte Leserinnen und Leser,

Kritische Infrastrukturen sind mitunter einer der wichtigsten Stützpfeiler der deutschen Wirtschaft wie auch Gesellschaft, weswegen deren problemloser Betrieb zu jeder Zeit sichergestellt sein muss. Fallen Sie beispielsweise wegen Internetangriffen, Havarien oder etwa technischem Versagen aus, verzeichnet dies schlimme Auswirkungen für den Schutz und Versorgungslage von Deutschland. Aus diesem Grund haben die Politiker juristische Anforderungen sowie Regelungen erlassen, mit dem Ziel, solch gefährlichen Szenarien vorbeugend aus dem Weg zu gehen.

Moderne Gesellschaften mit hoch entwickelter Dienstleistungswirtschaft sowie Industriewirtschaft machen sich durch einen hohen Rang an Digitalisierung, Agilität, Wettbewerbsfähigkeit sowie intensiver Beteiligung an der Liberalisierung des Welthandels aus. In Anbetracht dieser Tatsache sind heutige Unternehmen in immer höherem Maße von einer hochleistungsfähigen, funktionsfähigen sowie ausfallsicheren IT-Infrastruktur bestimmt – dies gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Doch was sind kritische Infrastrukturen genau?

Gemäß der offiziellen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, knapp BSI, wie auch des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei kritischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Wer zählt zu den KRITIS-Betreibern?

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Zuverlässigkeit sowie des wirtschaftlichen oder auch sozialen Wohlergehens der Bevölkerung elementar - und somit äußerst schützenswert.

Die Nationale Vorgehensweise zum Schutz kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, knapp BMI, beschlossen wurde, formuliert neun Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme besonderen Schutz benötigen. Hierzu gehören:

1. Staat und Verwaltung
2. Stromerzeugung
3. EDV und auch Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährungsweise
8. Finanz- und Versicherungswesen
9. Medien und Kultur

Mit der Gesetzesänderung des BSIG in 2021 kam ein weiterer Bereich dazu: „Siedlungsabfallentsorgung“. Jedoch steht dessen Bundesebene - übergreifende Abstimmung noch aus.

Ob ein Unternehmen als kritische Infrastruktur gewertet wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es gibt jedoch drei bekannte Ansatzpunkte, mithilfe derer eine erste Kategorisierung möglich ist:

1. Kritische Dienstleistung
Eine Dienstleistung ist demzufolge kritisch, wenn diese in einem regulierten Sektor erbracht wird und die Fülle den Grenzwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Schwellenwert wird auf Grundlage der „vollstationären Fälle“ begutachtet und ist dadurch deutlich definiert. Aber in einigen Branchen ist es hingegen nicht so einfach, wie zum Beispiel in der Warenwirtschaft. In diesem Fall muss ein Konsulent äußerst genau die Kritisverordnung kennen und interpretieren können.

2. Schwellenwert
Das BSI hat für jeglichen Sektor spezifische Schwellenwerte festgesetzt, die in der KRITIS-Richtlinie 2021, welche mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgelistet sind und definieren ab welchem Zeitpunkt ein Unternehmen der kritischen Infrastruktur zuzuordnen ist.
Hinweis: Eine überschaubare Auflistung bekommen Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html

3. IT-Netzwerk
Die IT-Unabhängigkeit der jeweiligen Unternehmen ist ebenfalls ein aussagekräftiger Aspekt. Sobald ein Betrieb viele Standorte besitzt, die alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Unternehmen der kritischen Infrastruktur – irrelevant, wie groß es insgesamt ist. Leitet ein Unternehmen die IT hingegen zentral als „gemeinsame Anlage“, ist das was anderes.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen gut geschützt. Nichtsdestotrotz stellen sie aufgrund ihrer Bedeutsamkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein lukratives Ziel für Internetkriminelle, Terroristen oder aber auch gemeine staatliche Darsteller dar.

So verwundert es absolut nicht, dass in den Medien immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu erfahren ist.

Auf diese Weise sorgte zum Beispiel im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Unternehmens Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe auf die Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen und Wasser und Energie in den letzten Jahren merklich zugenommen. Zeitgleich belegen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den genannten Gebieten summa summarum 1.805 Sicherheitsmängel ermittelt wurden, welche vor allem auf Probleme im Fachbereich Netztrennung, Notfallmanagement sowie physische Sicherheit zu begründen sind.
Nebst Internetangriffen laufen zudem Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teils schweren Folgen auf die Sicherheit und das Wohlergehen der Bevölkerung einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin/Köpenick Ende Februar 2019 beachtlich zeigte.

KRITIS-Gesetzgebung!

Um solche Worst-Case-Szenarien zu umgehen, gilt es für Unternehmen der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu erkennen und abzuwehren.
Die gesetzlichen Bedingungen und Regelungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, knapp BSIG sowie der BSI-KRITIS-Verordnung, kurz BSI-KritisV festgemacht.

Somit sind Betriebe der kritischen Infrastruktur dazu verordnet:

  • eine Kontaktstelle für die funktionierende kritische Infrastruktur zu formulieren,
  • die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Problemen einzubinden, vor allem ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie dazu unseren Blogartikel zum Themenbereich Datenschutz und Informationssicherheit. Klicken Sie an dieser Stelle) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
  • IT-Sicherheitsvorfälle und erhebliche IT-Störungen, die zu einem IT-Störfall leiten, bekannt zugeben
  • und die beschlossenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen.

Stabile Netzwerke sind ein Muss!

Kritische Infrastrukturen sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Auch im Falle, dass sie in der täglichen Wahrnehmung nicht zwangsläufig immer zugegen sind, ist der Schadensfall bei einem Störfall umso signifikanter. Der problemlose Mechanismus ist daher unerlässlich.

Zudem hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ bekannt gegeben. Mit diesem Anforderungskatalog bietet das Bundesamt für Sicherheit in der EDV, die im Kontext der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle folgenden Bereiche ab:

  • Informationsmanagementsystem
  • Asset Management
  • Risikoanalysemethode
  • Continuity Management
  • Technische Informationssicherheit
  • Personelle sowie organisatorische Sicherheit
  • Bauliche/ physische Absicherung
  • Vorfallerkennung sowie Bearbeitung
  • Überprüfung im aktiven Betrieb
  • Externe Informationsversorgung und Betreuung
  • Lieferanten, Dienstleister und Dritte
  • Meldewesen

Sind Sie ein Betrieb der kritischen Infrastruktur und auf der Recherche nach wirksamen und innovativen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur intelligent vor möglichen Bedrohungen zu schützen? Oder haben Sie noch mehr Anliegen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung oder kritische Infrastrukturen? Rufen Sie uns gerne an!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-9814100 Montag bis Freitag von 08:00 bis 17:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen