Kritische Infrastrukturen/KRITIS: Alles was Sie wissen müssen im Überblick!

Kritische Infrastrukturen sind mitunter einer der bedeutendsten Stützpfeiler der deutschen Ökonomie wie auch Gesellschaft, weshalb ihr problemloser Betrieb zu jeder Zeit sicher gestellt sein sollte. Setzen sie zum Beispiel infolge von Internetangriffen, Havarien oder technischem Scheitern aus, verzeichnet dies verheerende Folgen für die Sicherheit und Versorgungslage von Deutschland. Deshalb haben die Politiker rechtliche Anforderungen sowie Regulierungen festgelegt, mit dem Ziel, solchen kritischen Szenarien vorbeugend aus dem Weg zu gehen. Welche das sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Firmen der kritischen Infrastruktur begegnen, erfahren Sie in unserem nachfolgenden Blogartikel.

Moderne Gesellschaften mit hochentwickelter Dienstleistungswirtschaft sowie Industriewirtschaft zeichnen sich über einen beachtlichen Rang an Digitalisierung, Agilität, Konkurrenzfähigkeit und intensiver Teilnahme an der Liberalisierung des Welthandels aus. Angesichts dieser Tatsache sind heutige Unternehmen in immer höherem Maße von einer hochleistungsfähigen, funktionsfähigen sowie ausfallsicheren IT-Infrastruktur abhängig – dies gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Aber was sind kritische Infrastrukturen genau?

Laut der offiziellen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, knapp BSI, wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe, kurz BBK, dreht es sich bei kritischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Wer zählt zu den KRITIS-Betreibern?

Demzufolge sind private sowie staatliche Unternehmen der kritischen Infrastruktur für die Instandhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheit, der Sicherheit und des ökonomischen oder sozialen Wohlergehens der Einwohner unerlässlich – und somit besonders schützenswert.

Die Nationale Vorgehensweise zum Schutz kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern und Heimat, knapp BMI, verabschiedet wurde, formuliert 9 Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme starken Schutz benötigen. Hierzu zählen

  1. Staat sowie Verwaltung
  2. Stromerzeugung
  3. Informationstechnik und auch Telekommunikation
  4. Beförderung und Verkehr
  5. Gesundheitszustand
  6. Wasser
  7. Ernährungsweise
  8. Finanz- und Versicherungswesen
  9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kommt ein neuer Bereich dazu: „Siedlungsabfallentsorgung“. Jedoch steht dessen Bundesebene – übergreifende Abstimmung noch aus.

Ob ein Betrieb als kritische Infrastruktur gewertet wird, kann nur eine Einzelfallprüfung mit Gewissheit klären. Es gibt jedoch drei bekannte Anhaltspunkte, anhand dieser eine erste Einordnung realisierbar sei.

  1. Kritische Dienstleistung
    Eine Serviceleistung ist dann elementar, wenn sie in einem kontrollierten Sektor erbracht wird und die Menge den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Schwellenwert wird auf Basis der „vollstationären Fälle“ geprüft und ist damit eindeutig definiert. Aber in manchen Branchen ist es hingegen nicht so einfach wie zum Beispiel in der Logistik. Hier muss ein Berater äußerst genau die Kritisverordnung verstehen und auslegen können.
  2. Schwellenwert
    Das BSI hat für jeden Bereich spezifische Schwellenwerte festgesetzt, welche in der KRITIS-Verordnung 2021, welche mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgelistet sind und definieren ab wann ein Betrieb der kritischen Infrastruktur zuzuordnen ist.
    Verweis: Eine überschaubare Auflistung finden Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
  3. IT-Netzwerk
    Die IT-Unabhängigkeit der einzelnen Betriebe ist ebenfalls ein bedeutungsvoller Aspekt. Wenn ein Betrieb viele Standorte hat, die alle eine eigenständige IT-Infrastruktur führen, gilt das Unternehmen eventuell nicht als Unternehmen der kritischen Infrastruktur – egal, wie groß es in der Gesamtheit ist. Leitet ein Betrieb die IT hingegen zentral als „gemeinsame Anlage“, ist das was anderes.

Aktuelle Herausforderungen kritischer Infrastrukturen!

Grundsätzlich sind kritische Infrastrukturen gut beschützt. Dessen ungeachtet stellen sie aufgrund ihrer Wichtigkeit sowie Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber sogar gemeine staatliche Akteure dar.

Somit überrascht es absolut nicht, dass in den Medien immer mehr von IT-Ausfällen sowie Störungen kritischer Infrastrukturen zu lesen ist.

So sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Unternehmens Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der gesamten Ostküste.

Dies wäre kein Ausnahmefall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren deutlich zugenommen. Gleichzeitig belegen die Erkenntnisse des momentanen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den genannten Branchen insgesamt 1.805 Sicherheitsmängel ermittelt wurden, die vor allem auf Probleme im Fachbereich Netztrennung, Notfallmanagement sowie physische Sicherheit zu begründen sind.
Neben Internetangriffen laufen zudem Naturgewalten, Havarien, menschliches Scheitern oder technische Defekte mit teils schwerwiegenden Auswirkungen auf die Sicherheit und das Wohlsein der Bevölkerung einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin/Köpenick Ende Februar 2019 beachtlich zeigte.

Gesetze zum Schutz kritischer Infrastrukturen!

Um derartige Worst-Case-Szenarien zu verhindern, gilt es für Unternehmen der kritischen Infrastruktur Gefahren sowie Risiken frühzeitig zu ermitteln und abzuwehren.
Die gesetzlichen Anforderungen und Regulierungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSIG und der BSI-KRITIS-Verordnung, kurz BSI-KritisV festgemacht.

Demnach sind Unternehmen der kritischen Infrastruktur dazu verpflichtet

o eine Kontaktstelle für die funktionierende kritische Infrastruktur zu benennen,
o die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und angemessene organisatorische und technische IT-Sicherheitsmaßnahmen zur Prävention, Erkennung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem und so die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
o IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, welche zu einem IT-Ausfall leiten, bekanntzugeben
o und die beschlossenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der EDV nachzuweisen.

Stabile Netzwerke sind ein Muss!

Kritische Infrastrukturen sind für das reibungslose Gelingen der Gesellschaft und Wirtschaft unerlässlich. Auch im Falle, dass sie in der täglichen Wahrnehmung nicht unbedingt immer präsent sind, ist der Schadensfall bei einem Störfall umso beträchtlicher. Der störungsfreie Mechanismus ist folglich unerlässlich.

Ferner hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ bekannt gegeben. Mit diesem Anforderungskatalog bietet das Bundesamt für Sicherheit in der EDV allen Unternehmen der kritischen Infrastruktur sowie ihren Gutachtern einen genauen Rahmen zur Auswahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, die im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle folgenden Themenbereiche ab:

o Informationsmanagementsystem
o Asset Management
o Risikoanalysemethode
o Continuity Management
o Technische Informationssicherheit
o Personelle und organisatorische Sicherheit
o Bauliche/ physische Sicherheit
o Vorfallserkennung sowie Bearbeitung
o Überprüfung im aktiven Betrieb
o Außerbetriebliche Informationsversorgung und Unterstützung
o Lieferanten, Dienstleistungsunternehmen und Dritte
o Meldewesen

Sie sind Endkunde: Sind Sie ein Unternehmen der kritischen Infrastruktur und noch dazu auf der Suche nach wirksamen und fortschrittlichen IT-Sicherheitslösungen, um Ihre IT-Infrastruktur durchdacht vor möglichen Bedrohungen zu beschützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen? Sprechen Sie uns gerne an! ingo.luecker@itleague.de

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de