Blog
Kritische Infrastrukturen / KRITIS: Von A-Z!
- Details
- Veröffentlicht: 21. März 2022
Kritische Infrastrukturen sind mitunter einer der bedeutendsten Stützpfeiler der deutschen Wirtschaft und Gesellschaft, weshalb ihr reibungsloser Betrieb allzeit sicher gestellt sein muss. Setzen sie zum Beispiel wegen Internetangriffen, Havarien oder technischem Scheitern aus, verzeichnet das schlimme Folgen für den Schutz und Versorgungslage des Landes. Deshalb haben die Gesetzgeber juristische Anforderungen sowie Regulierungen festgelegt, mit dem Ziel, solchen gefährlichen Szenarien präventiv aus dem Weg zu gehen. Was für welche das sind, wann eine Infrastruktur als "kritisch" bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, erfahren Sie in unserem nachfolgenden Blogartikel.
Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungswirtschaft sowie Industriewirtschaft zeichnen sich durch einen hohen Grad an Digitalisierung, Wendigkeit, Wettbewerbsfähigkeit und intensiver Beteiligung an der Liberalisierung des Welthandels aus. In Anbetracht dieser Tatsache sind heutige Firmen immer mehr von einer hochleistungsfähigen, funktionsfähigen und ausfallsicheren IT-Infrastruktur bestimmt – dies gilt vor allem für systemrelevante Firmen der kritischen Infrastruktur.
Aber was sind kritische Infrastrukturen genau?
Laut der offiziellen Begriffsklärung (https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html) des Bundesamtes für Sicherheit und Informationstechnologie(https://www.bsi.bund.de), knapp BSI, sowie des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (https://www.bbk.bund.de/), kurz BBK, handelt es sich bei kritischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden."
Wer zählt zu den KRITIS-Betreibern?
In diesem Sinne sind private sowie staatliche Unternehmen der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Funktionen, der Gesundheitssituation, der Zuverlässigkeit sowie des wirtschaftlichen oder auch sozialen Wohlergehens der Einwohner unerlässlich - und daher äußerst schützenswert.
Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen (https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.pdf?__blob=publicationFile&v=3), welche am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (https://www.bmi.bund.de/DE/startseite/startseite-node.html), knapp BMI, verabschiedet wurde, definiert neun Sektoren der kritischen Infrastrukturen, in welchen die IT-Systeme starken Schutz benötigen. Hierzu zählen
1. Staat und Verwaltung
2. Stromerzeugung
3. EDV und Telekommunikation
4. Beförderung und Verkehr
5. Gesundheit
6. Wasser
7. Ernährungsweise
8. Finanz- und Versicherungswesen
9. Medien plus Kultur
Mit der Gesetzesänderung des BSIG (https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html) in 2021 kommt ein weiterer Sektor hinzu: „Siedlungsabfallentsorgung“. Allerdings steht die Bundesebene - übergreifende Abstimmung noch aus.
Inwiefern ein Unternehmen als kritische Infrastruktur gewertet wird, kann nur eine individuelle Prüfung mit Gewissheit klären. Es gibt allerdings drei bekannte Ansatzpunkte, mithilfe dieser eine vorläufige Einordnung realisierbar sei.
1. Kritische Dienstleistung
Eine Dienstleistung ist demzufolge kritisch, wenn diese in einem regulierten Bereich geleistet wird und die Fülle den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Schwellenwert wird auf Basis der „vollstationären Fälle“ geprüft und ist damit deutlich definiert. Aber in manchen Branchen ist es hingegen nicht so einfach wie beispielsweise in der Warenwirtschaft. In diesem Fall muss ein Konsulent äußerst genau die Kritisverordnung verstehen und auslegen können.
2. Schwellenwert
Das BSI hat für jeden Bereich spezifische Grenzwerte festgesetzt, die in der KRITIS-Verordnung 2021(https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html), die mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgeführt sind und bestimmen ab welchem Zeitpunkt ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist.
Verweis: Eine übersichtliche Aufzählung bekommen Sie auf der Webseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
3. IT-Netzwerk
Die IT-Unabhängigkeit der jeweiligen Unternehmen ist ebenfalls ein aussagekräftiger Aspekt. Sobald ein Betrieb viele Standorte hat, die alle eine individuelle IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Betrieb der kritischen Infrastruktur – irrelevant, wie riesig es in der Gesamtheit ist. Leitet ein Unternehmen die IT jedoch zentral als „gemeinsame Anlage“, ist das was anderes.
Aktuelle Herausforderungen kritischer Infrastrukturen!
Grundsätzlich sind kritische Infrastrukturen vorteilhaft geschützt. Dessen ungeachtet stellen sie aufgrund deren Bedeutsamkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Geschäft für Internetkriminelle, Terroristen, aber auch gemeine staatliche Akteure dar.
Somit verwundert es absolut nicht, dass in der Presse ständig mehr von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist.
Auf diese Weise sorgte zum Beispiel im Mai 2021 ein Ransomware-Angriff (https://www.heise.de/news/Betrieb-wichtiger-Benzin-Pipeline-nach-Cyberangriff-in-USA-gestoppt-6041854.html) auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der gesamten Ostküste.
Dies ist absolut kein Einzelfall: Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen und Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Erkenntnisse des momentanen Lageberichts der IT-Sicherheit https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3) des Bundesamtes für Sicherheit in der EDV, dass in den genannten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die vor allem auf Probleme im Fachbereich Netztrennung, Notfallmanagement sowie physische Garantie zurückzuführen sind.
Nebst Internetangriffen laufen auch Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teils schweren Auswirkungen auf die Sicherheit und das Wohlsein der Bevölkerung einher, wie der 31-stündige Stromausfall in Berlin/Köpenick (https://www.heise.de/newsticker/meldung/Riesiger-Stromausfall-in-Berlin-Koepenick-Reparatur-mit-Hochdruck-4313680.html) Ende Februar 2019 beachtlich veranschaulichte.
KRITIS-Gesetzgebung!
Um derartige Worst-Case-Szenarien zu verhindern, heißt es für Unternehmen der kritischen Infrastruktur Gefahren sowie Bedrohungen sehr früh zu ermitteln und abzuwehren.
Die gesetzlichen Anforderungen sowie Regulierungen sind hierzu im IT-Sicherheitsgesetz 2.0 (https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html) dem BSI-Gesetz (https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html), knapp BSIG sowie der BSI-KRITIS-Verordnung (https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html), knapp BSI-KritisV verankert.
Somit sind Unternehmen der kritischen Infrastruktur dazu verpflichtet
o eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
o die IT-Sicherheit auf den „Stand der Technik“ anzupassen und passende organisatorische und technische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung sowie Problembehebungen von IT-Sicherheitsvorfällen oder IT-Problemen einzubinden, vor allem ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie hierzu den Blogartikel zum Thema Datenschutz und Informationssicherheit. Klicken Sie an dieser Stelle) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
o IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Ausfall leiten, zu melden
o und die getroffenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG (https://www.gesetze-im-internet.de/bsig_2009/__8a.html) mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.
Kritische Infrastrukturen aufrechterhalten!
Kritische Infrastrukturen sind für das ungehinderte Gelingen der Gesellschaft und Wirtschaft unabkömmlich. Auch wenn sie in der täglichen Wahrnehmung nicht zwangsläufig immer zugegen sind, ist der Schadensfall bei einem Ausfall umso signifikanter. Der problemlose Mechanismus ist folglich unerlässlich.
Zudem hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG ((https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/Konkretisierung_Anforderungen_
Massnahmen_KRITIS.pdf;jsessionid=CFA5F1962F52D55EF2D5A15C43F57127.internet471?__blob=publicationFile&v=3) umzusetzenden Maßnahmen“ veröffentlicht. Mit dem Anforderungskatalog stellt das Bundesamt für Sicherheit in der Informationstechnik jeglichen Unternehmen der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Auswahl, Durchführung und Auswertung sämtlicher IT-Sicherheitsmaßnahmen, die im Rahmen der IT-Sicherheit umzusetzen sind. Dabei deckt der Anforderungskatalog die folgenden Bereiche ab:
o Informationsmanagementsystem
o Asset Management
o Risikoanalysemethode
o Continuity Management
o Technische Informationssicherheit
o Personelle sowie organisatorische Sicherheit
o Bauliche/ physische Absicherung
o Vorfallserkennung und Bearbeitung
o Überprüfung im laufenden Betrieb
o Außerbetriebliche Informationsversorgung sowie Betreuung
o Lieferanten, Dienstleister und Dritte
o Meldewesen
Sind Sie ein Betrieb der kritischen Infrastruktur - noch dazu auf der Recherche nach wirksamen und fortschrittlichen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur intelligent vor möglichen Bedrohungen zu beschützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung oder kritische Infrastrukturen?
Nehmen Sie mit uns Kontakt auf, rufen Sie uns unter 0661 679289-0 an oder schreiben Sie
KRAFT SYSTEMS unter info@KRAFT-SYSTEMS.de eine Nachricht.
Als IT Systemhaus mit 30 jähriger Erfahrung im Raum Fulda sind wir Ihr Ansprechpartner in Sachen IT.