Veröffentlicht

Kritische Infrastrukturen

Authors

KRITIS: Kritische Infrastrukturen verstehen und schützen

Kritische Infrastrukturen sind einer der bedeutendsten Stützpfeiler der deutschen Wirtschaft wie auch Gesellschaft, weshalb deren problemloser Betrieb zu jeder Zeit gewährleistet sein sollte. Fallen sie beispielsweise infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat dies verheerende Auswirkungen für den Schutz und Versorgungslage des Landes. Aus diesem Grund haben die Politiker rechtliche Vorgaben und Regelungen erlassen, um solchen gefährlichen Szenarien präventiv entgegenzuwirken. Was für welche dies sind, wann eine Infrastruktur als „kritisch“ gilt und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogbeitrag.

Moderne Gesellschaften mit hochentwickelter Dienstleistungswirtschaft sowie Industriewirtschaft machen sich über einen hohen Rang an Digitalisierung, Agilität, Konkurrenzfähigkeit sowie intensiver Teilnahme an der Globalisierung aus. In Anbetracht dieser Tatsache sind zeitgemäße Unternehmen immer mehr von einer hochleistungsfähigen, funktionstüchtigen sowie ausfallsicheren IT-Infrastruktur bestimmt – das gilt insbesondere für systemrelevante Firmen der kritischen Infrastruktur.

Aber was sind kritische Infrastrukturen genau?

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, sowie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei problematischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Wer zählt zu den KRITIS-Betreibern?

Demzufolge sind private sowie staatliche Betriebe der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlergehens der Bevölkerung elementar – und daher besonders schützenswert.

Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern und Heimat, kurz BMI, beschlossen wurde, definiert 9 Bereiche der kritischen Infrastrukturen, in welchen die IT-Systeme besonderen Schutz brauchen. Hierzu zählen

  1. Staat und Verwaltung
  2. Energieversorgung
  3. EDV und Telekommunikation
  4. Beförderung und Verkehr
  5. Gesundheit
  6. Wasser
  7. Ernährung
  8. Finanz- und Versicherungswesen
  9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam ein weiterer Bereich hinzu: „Siedlungsabfallentsorgung“. Jedoch steht die Bundesebene – übergreifende Absprache bislang aus.

Ob ein Unternehmen als problematische Infrastruktur eingestuft wird, kann bloß eine individuelle Prüfung mit Sicherheit beantworten. Es gibt allerdings drei typische Ansatzpunkte, mithilfe derer eine vorläufige Kategorisierung möglich sei.

  1. Kritische Dienstleistung
    Eine Serviceleistung ist dann elementar, wenn diese in einem kontrollierten Sektor geleistet wird und die Fülle den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Grenzwert wird auf Basis der „vollstationären Fälle“ begutachtet und ist damit deutlich definiert. Aber in einigen Bereichen ist es jedoch nicht so einfach wie zum Beispiel in der Logistik. In diesem Fall muss ein Konsulent äußerst gründlich die Kritisverordnung kennen und interpretieren können.
  2. Schwellenwert
    Das BSI hat für jeglichen Sektor spezifische Grenzwerte festgelegt, die in der KRITIS-Richtlinie 2021, die mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgelistet sind und bestimmen ab welchem Zeitpunkt ein Unternehmen der kritischen Infrastruktur zuzuordnen ist.
    Hinweis: Eine übersichtliche Auflistung finden Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
  3. IT-Netzwerk
    Die IT-Independenz der jeweiligen Betriebe ist ebenso ein bedeutungsvoller Aspekt. Wenn ein Betrieb mehrere Standorte besitzt, welche alle eine eigenständige IT-Infrastruktur verwalten, gilt der Betrieb eventuell nicht als Unternehmen der kritischen Infrastruktur – irrelevant, wie riesig es insgesamt ist. Leitet ein Betrieb die IT jedoch zentral als „gemeinsame Anlage“, ist das was anderes.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen.

Grundsätzlich sind kritische Infrastrukturen gut beschützt. Dessen ungeachtet stellen sie wegen deren Bedeutsamkeit sowie Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber auch gemeine gesetzliche Akteure dar.

Somit verwundert es nicht, dass in den Medien ständig wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist.

Auf diese Weise sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der kompletten Ostküste.

Dies ist kein Ausnahmefall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Bereiche Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren deutlich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den genannten Gebieten insgesamt 1.805 Sicherheitsmängel ermittelt wurden, welche vor allem auf Problematiken im Bereich Netztrennung, Notfallmanagement sowie physische Garantie zurückzuführen sind.
Nebst Internetangriffen laufen zudem Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teils schwerwiegenden Folgen auf die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin / Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, solche Worst-Case-Szenarien zu verhindern, gilt es für Unternehmen der kritischen Infrastruktur Gefahren und Risiken sehr früh zu ermitteln und abzuwehren.
Die gesetzlichen Bedingungen und Regelungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSIG und der BSI-KRITIS-Verordnung, knapp BSI-KritisV verankert.

Somit sind Unternehmen der kritischen Infrastruktur dazu verordnet

  • eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
  • die IT-Sicherheit auf den „Stand der Technik“ anzupassen und angemessene organisatorische und technische IT-Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Problembehebungen von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie hierzu den Blogartikel zum Thema Datenschutz und Informationssicherheit. Klicken Sie hier) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
  • IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Ausfall leiten, bekanntzugeben
  • und die beschlossenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der EDV nachzuweisen.

Kritische Infrastrukturen aufrechterhalten

Kritische Infrastrukturen sind für das reibungslose Gelingen der Gesellschaft und Wirtschaft unerlässlich. Selbst wenn sie in der alltäglichen Wahrnehmung nicht unbedingt immer präsent sind, ist der Schadensfall bei einem Ausfall umso beträchtlicher. Der störungsfreie Mechanismus ist daher notwendig.

Zudem hat das Bundesamt für Sicherheit in der EDV am 23. März 2020 die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Mit dem Anforderungskatalog bietet das Bundesamt für Sicherheit in der EDV jeglichen Unternehmen der kritischen Infrastruktur und ihren Gutachtern einen genauen Rahmen zur Wahl, Umsetzung und Auswertung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog die aufgeführten Themenbereiche ab:

  • Informationsmanagementsystem
  • Asset Management
  • Risikoanalysemethode
  • Continuity Management
  • Technische Informationssicherheit
  • Personelle sowie organisatorische Sicherheit
  • Bauliche/ physische Absicherung
  • Vorfallserkennung sowie Bearbeitung
  • Begutachtung im aktiven Betrieb
  • Außerbetriebliche Informationsversorgung sowie Unterstützung
  • Lieferanten, Dienstleistungsunternehmen und Dritte
  • Meldewesen

Sind Sie ein Betrieb der kritischen Infrastruktur und auf der Suche nach wirksamen und fortschrittlichen IT-Sicherheitslösungen, um Ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu schützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen? Rufen Sie uns gerne an!