globales Netzwerk der kritischen Infrastrukturen

IT-Sicherheit in Kritischen Infrastrukturen (KRITIS)

Systemrelevante Unternehmen und Kritische Infrastrukturen – zuletzt waren diese Begriffe oft in der Presse zu lesen. Doch nicht nur in Krisenzeiten müssen die betroffenen Unternehmen besondere Herausforderungen meistern, denn sie stehen zunehmend im Visier von Cyberangriffen. Für Betreiber Kritischer Infrastrukturen und deren Dienstleister gelten daher besondere Sicherheitsanforderungen.



Kritische Infrastrukturen sind zunehmend vernetzt

Nahezu jeder Bereich unseres Alltags wird inzwischen von moderner Technik unterstützt und die Globalisierung und Digitalisierung sorgen für eine zunehmende Vernetzung. Dies betrifft auch die sogenannten „Kritischen Infrastrukturen“ (kurz: KRITIS) – Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Zum Beispiel Energieversorger sind immer mehr vernetzt und setzen auf Digitalisierung, um ihre Effizienz zu steigern und die Kosten zu senken.

Der Lagebericht zur IT-Sicherheit in Deutschland 2019 des BSI (Bundesamt für Sicherheit in der Informationstechnik) zeigt, dass KRITIS-Betreiber zunehmend auf eine einwandfrei funktionierende Informationstechnik angewiesen sind. Ausfälle von Hard- oder Software können schnell Beeinträchtigungen der kritischen Dienstleistungen verursachen, was schwerwiegende Folgen haben kann. 

Wenn es zum Beispiel in der Energie- oder Wasserversorgung zu Engpässen oder gar Ausfällen kommt, hat das weitreichende Folgen auf die Gesellschaft und die öffentliche Sicherheit. Der Roman „Blackout“ von Marc Elsberg von 2013 hat beispielsweise erstmals das Szenario eines länger andauernden europaweiten Stromausfalls durch einen Cyberangriff erzählerisch durchgespielt.



Cyberangriffe auf Kritische Infrastrukturen nehmen zu

Dass dies nicht nur ein Szenario für einen Roman ist, zeigen die von der Telekom veröffentlichten Zahlen zur Cybersicherheit. Im April 2019 zählte der Konzern im Schnitt 31 Millionen tägliche Angriffe auf seine Honeypots (Systeme zum gezielten Anlocken und Analysieren von Cyberangriffen). Im Jahr zuvor waren es noch 12 Millionen und im April 2017 4 Millionen. Die Zahl der Angriffe ist exponentiell gestiegen – Tendenz weiterhin steigend.

Ganz aktuell kommen zu dieser grundsätzlichen Bedrohung durch Cyberkriminelle die Auswirkungen der Coronakrise hinzu. Cyberkriminelle machen sich das erhöhte Informationsbedürfnis in solchen Krisenzeiten zunutze, um mit infizierten Links und E-Mail-Anhängen Schadsoftware zu verbreiten. Auch die schnelle Umstellung vieler Unternehmen aufs Homeoffice im März und April hat die mögliche Angriffsfläche für Cyberkriminelle vielerorts vergrößert.

Insbesondere Cyberangriffe auf Kritische Infrastrukturen können erhebliche Schäden für Personen, Unternehmen und staatliche Organisationen zur Folge haben. Dieses erhöhte Risiko erfordert besonderen Schutz und auch eine entsprechende Nachweispflicht der betroffenen Unternehmen.



Systemrelevante Unternehmen und Kritische Infrastrukturen

Doch wer zählt zu systemrelevanten Unternehmen und Kritischen Infrastrukturen? In der Berichterstattung der letzten Zeit wurde häufig der Begriff „Systemrelevante Unternehmen“ geprägt. Hierbei handelt es sich jedoch eher um eine umgangssprachliche Verwendung, denn eine offizielle Definition von „systemrelevanten Unternehmen“ gibt es bislang nicht.

Das Thema „Kritische Infrastrukturen“ wird hingegen bereits seit Anfang der 2000er Jahre auf Bundesebene diskutiert, um fortwährend aktuelle Richtlinien zu deren Sicherung zu entwickeln. Die jüngste Thematik der Schließungen von Kindertageseinrichtungen und Grundschulen im März diesen Jahres zur Eindämmung der Ausbreitung des Coronavirus‘ hat zu einer neuen Leitlinie in Bezug auf die Definition „Kritischer Infrastrukturen“ geführt.

Für diesen Anwendungszweck (Bestimmung des Personals kritischer Infrastrukturen, um für deren Kinder eine Notfallbetreuung zu gewährleisten) hat beispielsweise das Land NRW am 15. März 2020 eine neue Leitlinie herausgegeben. Diese gründet sich auf die gesetzliche Verordnung zur Bestimmung Kritischer Infrastrukturen, festgehalten im BSI-Gesetz (Bundesamt für Sicherheit und Informationstechnik) und wird stetig weiterentwickelt.



Wer zählt zu Kritischen Infrastrukturen?

Nach der Leitlinie des Landes NRW werden folgende zehn Sektoren zu den Kritischen Infrastrukturen gezählt:

  1. Sektor Energie (z.B. Strom, Gas, Kraftstoffversorgung)
  2. Sektor Wasser, Entsorgung
  3. Sektor Ernährung, Hygiene (z.B. Lebensmittelversorgung inkl. Produktion, Zulieferung, Groß- und Einzelhandel)
  4. Sektor Informationstechnik und Telekommunikation
  5. Sektor Gesundheit (z.B. Krankenhäuser, Rettungsdienst, Pflege, Medizinproduktehersteller, Arzneimittelhersteller, Apotheken, Labore)
  6. Sektor Finanz- und Wirtschaftswesen (z.B. Bargeldversorgung, Banken, Versicherungen, Finanzdienstleister)
  7. Sektor Transport und Verkehr (z.B. Luftfahrt, Schifffahrt, Bahn, Nahverkehr)
  8. Sektor Medien (z.B. Nachrichten- und Informationswesen sowie Risiko- und Krisenkommunikation)
  9. Sektor staatliche Verwaltung auf Bundes-, Landes- und Kommunenebene (z.B. Polizei, Feuerwehr, Katastrophenschutz, Justizvollzug, Verfassungsschutz, Gesetzgebung/Parlament)
  10. Sektor Schulen, Kinder- und Jugendhilfe, Behindertenhilfe



IT-Sicherheit in Kritischen Infrastrukturen ist gesetzlich geregelt

Die Betreiber dieser Kritischen Infrastrukturen, unabhängig davon, ob privatwirtschaftlich oder öffentlich-rechtlich organisiert, müssen einige Pflichten erfüllen, um ihren Verantwortungsbereich angemessen zu sichern. Offiziell geregelt sind diese Pflichten im IT-Sicherheitsgesetz (IT-SiG) und der BSI-Kritis-Verordnung (BSI-KritisV). Die zentrale Norm für Betreiber Kritischer Infrastrukturen ist § 8a BSIG.

Nach dieser Norm stehen KRITIS-Betreiber in der Pflicht, angemessene organisatorische und technische Vorkehrungen zur Sicherheit ihrer IT umzusetzen und diese stetig zu aktualisieren. Auch der Umgang mit Sicherheitsmängeln, deren Behebung und die Nachweispflicht darüber sowie die Meldung von IT-Sicherheitsvorfällen ist dort geregelt. Die Einhaltung dieser Pflichten ist regelmäßig (d.h. alle zwei Jahre) durch Sicherheitsaudits, Zertifizierungen oder Prüfungen nachzuweisen.

Zur Unterstützung bei dieser Aufgabe empfehlen wir Ihnen unser Webinar „Spezielle Prüfverfahrenskompetenz für § 8a BSIG“. Mit diesem Expertenseminar erhalten Betreiber Kritischer Infrastrukturen alle Informationen, die sie zur Vorbereitung auf eine Prüfung nach dieser Norm benötigen. Für den nächsten Termin vom 14. bis 15. Juli 2020 sind noch Plätze frei! Melden Sie sich jetzt an und bereiten sich auf die nächste Prüfung nach § 8a BSIG vor. Wir freuen uns auf Sie!




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security