Kritische Infrastrukturen/KRITIS: Alles was Sie wissen müssen im Überblick!
Kritische Infrastrukturen sind einer der wichtigsten Stützpfeiler der deutschen Ökonomie wie auch Gesellschaft, weshalb ihr problemloser Betrieb zu jeder Zeit sicher gestellt sein muss. Setzen sie beispielsweise infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat dies schlimme Auswirkungen für den Schutz und Versorgungslage von Deutschland. Deshalb haben die Gesetzgeber rechtliche Anforderungen und Regulierungen erlassen, mit dem Ziel, solch gefährlichen Szenarien präventiv aus dem Weg zu gehen. Welche das sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen speziellen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem nachfolgenden Blogbeitrag.
Moderne Gesellschaften mit fortschrittlicher Dienstleistungswirtschaft und Industriewirtschaft machen sich durch einen beachtlichen Rang an Digitalisierung, Agilität, Konkurrenzfähigkeit und intensiver Beteiligung an der Liberalisierung des Welthandels aus. Angesichts dessen sind zeitgemäße Unternehmen immer mehr von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur bestimmt – dies gilt insbesondere für systemrelevante Firmen der kritischen Infrastruktur.
Doch was sind kritische Infrastrukturen genau?
Gemäß der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe, kurz BBK, dreht es sich bei kritischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Wer zählt zu den kritischen Infrastrukturen?
In diesem Sinne sind private und staatliche Unternehmen der kritischen Infrastruktur für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit sowie des wirtschaftlichen oder sozialen Wohlseins der Einwohner elementar – und somit besonders zu schützen.
Die Nationale Vorgehensweise zum Schutz kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, kurz BMI, verabschiedet wurde, definiert 9 Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme besonderen Schutz benötigen. Hierzu gehören
- Staat und Verwaltung
- Stromerzeugung
- EDV und auch Telekommunikation
- Beförderung sowie Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Medien plus Kultur
Mit der Novellierung des BSIG in 2021 kam ein weiterer Bereich dazu: „Siedlungsabfallentsorgung“. Jedoch steht dessen Bundesebene – übergreifende Absprache noch aus.
Ob ein Unternehmen als kritische Infrastruktur eingestuft wird, kann bloß eine individuelle Prüfung mit Gewissheit beantworten. Es existieren allerdings drei typische Anhaltspunkte, anhand derer eine vorläufige Kategorisierung möglich ist.
- Kritische Dienstleistung
Eine Dienstleistung ist dann elementar, wenn diese in einem kontrollierten Bereich erbracht wird und die Menge den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel einfach: Der Schwellenwert wird auf Basis der „vollstationären Fälle“ begutachtet und ist dadurch deutlich bestimmt. Aber in einigen Bereichen ist es jedoch nicht so einfach wie zum Beispiel in der Warenwirtschaft. In diesem Fall muss ein Konsulent sehr gründlich die Kritisverordnung kennen und interpretieren können. - Schwellenwert
Das BSI hat für jeglichen Bereich spezifische Schwellenwerte festgesetzt, die in der KRITIS-Richtlinie 2021, die mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgelistet sind und definieren ab wann ein Unternehmen der kritischen Infrastruktur zuzuordnen ist.
Verweis: Eine überschaubare Aufzählung bekommen Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html - IT-Netzwerk
Die IT-Independenz der jeweiligen Unternehmen ist ebenso ein aussagekräftiger Faktor. Wenn ein Unternehmen viele Standorte besitzt, welche alle eine individuelle IT-Infrastruktur verwalten, gilt der Betrieb möglicherweise nicht als Betrieb der kritischen Infrastruktur – egal, wie groß es insgesamt ist. Betreibt ein Betrieb die IT jedoch zentral als „gemeinsame Anlage“, ist das etwas anderes.
Die Sicherheitslage hat sich verschärft!
Grundsätzlich sind kritische Infrastrukturen gut beschützt. Nichtsdestotrotz stellen sie wegen ihrer Wichtigkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen oder aber sogar feindliche staatliche Darsteller dar.
Somit verwundert es absolut nicht, dass in den Medien ständig wieder von IT-Ausfällen sowie Störungen kritischer Infrastrukturen zu lesen ist.
So sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der kompletten Ostküste.
Das ist absolut kein Ausnahmefall: Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren merklich zugenommen. Gleichzeitig belegen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den genannten Gebieten insgesamt 1.805 Sicherheitsmängel festgestellt wurden, welche insbesondere auf Problematiken im Bereich Netztrennung, Notfallmanagement und physische Garantie zurückzuführen sind.
Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teils schwerwiegenden Folgen auf die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin/Köpenick Ende Februar 2019 beachtlich veranschaulichte.
Gesetze zum Schutz kritischer Infrastrukturen!
Um solche Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Risiken frühzeitig zu erkennen und abzuwehren.
Die gesetzmäßigen Bedingungen und Regelungen sind dazu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz , kurz BSIG sowie der BSI-KRITIS-Verordnung, knapp BSI-KritisV verankert.
Demnach sind Betriebe der kritischen Infrastruktur dazu verpflichtet
o eine Kontaktstelle für die betriebene kritische Infrastruktur zu formulieren,
o die IT-Sicherheit auf den „Stand der Technik“ anzupassen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung sowie Problembehebungen von IT-Sicherheitsvorfällen oder IT-Problemen einzubinden, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem und so die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.
o IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Ausfall führen, zu melden
o und die getroffenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der EDV zu belegen.
Kritische Infrastrukturen aufrechterhalten!
Kritische Infrastrukturen sind für das ungehinderte Funktionieren unserer Gesellschaft und Ökonomie unabkömmlich. Auch im Falle, dass sie in der alltäglichen Wahrnehmung nicht unbedingt immer präsent sind, ist der Schadensfall bei einem Ausfall umso beträchtlicher. Der problemlose Mechanismus ist folglich unerlässlich.
Ferner hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ bekannt gegeben. Mit dem Anforderungskatalog bietet das Bundesamt für Sicherheit in der Informationstechnik jeglichen Betrieben der kritischen Infrastruktur sowie ihren Gutachtern einen konkreten Rahmen zur Wahl, Durchführung und Auswertung sämtlicher IT-Sicherheitsmaßnahmen, die im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog die folgenden Themenbereiche ab:
o Informationsmanagementsystem
o Asset Management
o Risikoanalysemethode
o Continuity Management
o Technische Informationssicherheit
o Personelle und organisatorische Sicherheit
o Bauliche/ physische Absicherung
o Vorfallserkennung sowie Bearbeitung
o Begutachtung im aktiven Betrieb
o Externe Informationsversorgung und Unterstützung
o Lieferanten, Dienstleistungsunternehmen und Dritte
o Meldewesen
Sind Sie ein Unternehmen der kritischen Infrastruktur noch dazu auf der Recherche nach effektiven und fortschrittlichen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur durchdacht vor potenziellen Bedrohungen zu beschützen? Oder haben Sie noch mehr Anliegen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung oder kritische Infrastrukturen? Sprechen Sie uns gerne an!
