Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‚kritisch‘ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‚Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.‘

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‚Stand der Technik‘ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‚Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‚ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels