Sigma-IT GmbH_Kritis

Kritische Infrastrukturen / KRITIS: Kritische Infrastrukturen verstehen und schützen!

4. April 2022 | geschrieben von: Tobias Jörke

Kritische Infrastrukturen sind einer der wichtigsten Säulen der deutschen Ökonomie und Gesellschaft, weswegen ihr problemloser Betrieb zu jeder Zeit sicher gestellt sein sollte. Fallen sie beispielsweise wegen Internetangriffen, Havarien oder etwa technischem Versagen aus, hat dies schlimme Folgen für den Schutz und Versorgungslage von Deutschland. Aus diesem Grund haben die Politiker rechtliche Anforderungen und Regelungen festgelegt, mit dem Ziel, solchen kritischen Szenarien präventiv aus dem Weg zu gehen. Was für welche dies sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Institutionen der kritischen Infrastruktur gegenüberstehen, erfahren Sie in unserem folgenden Blogartikel.

Zeitgenössische Gesellschaften mit fortschrittlicher Dienstleistungswirtschaft sowie Industriewirtschaft machen sich über einen beachtlichen Rang an Digitalisierung, Wendigkeit, Wettbewerbsfähigkeit sowie starker Teilnahme an der Liberalisierung des Welthandels aus. Angesichts dieser Tatsache sind heutige Firmen immer mehr von einer hochleistungsfähigen, funktionsfähigen sowie ausfallsicheren IT-Infrastruktur abhängig – dies gilt insbesondere für systemrelevante Firmen der kritischen Infrastruktur.

Aber was sind kritische Infrastrukturen präzise?

Laut der offiziellen Definition des Bundesamtes für Sicherheit und Informationstechnologie, knapp BSI, sowie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei problematischen Infrastrukturen um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Ist ein Unternehmen eine kritische Infrastruktur?

Demzufolge sind private und staatliche Unternehmen der kritischen Infrastruktur für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Zuverlässigkeit sowie des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung unerlässlich – und somit äußerst schützenswert.

Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, knapp BMI, beschlossen wurde, definiert 9 Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme starken Schutz benötigen. Dazu gehören

  1. Staat sowie Verwaltung
  2. Stromerzeugung
  3. EDV und auch Telekommunikation
  4. Transport sowie Verkehr
  5. Gesundheitszustand
  6. Wasser
  7. Ernährungsweise
  8. Finanz- und Versicherungswesen
  9. Medien und Kultur

Mit der Gesetzesänderung des BSIG in 2021 kam ein neuer Bereich hinzu: „Siedlungsabfallentsorgung“. Allerdings steht die Bundesebene – allgemeingültige Absprache bislang offen.

Ob ein Unternehmen als kritische Infrastruktur gewertet wird, kann nur eine Einzelfallprüfung mit Sicherheit klären. Es existieren jedoch drei bekannte Ansatzpunkte, mithilfe derer eine vorläufige Einordnung realisierbar sei.

  1. Kritische Dienstleistung
    Eine Dienstleistung ist demzufolge elementar, wenn sie in einem kontrollierten Bereich erbracht wird und die Fülle den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Grenzwert wird auf Grundlage der „vollstationären Fälle“ geprüft und ist damit eindeutig bestimmt. Aber in manchen Branchen ist es hingegen nicht so einfach wie zum Beispiel in der Logistik. In diesem Fall muss ein Konsulent sehr genau die Kritisverordnung verstehen und auslegen können.
  1. Schwellenwert
    Das BSI hat für jeden Bereich spezifische Schwellenwerte festgesetzt, die in der KRITIS-Verordnung 2021, welche mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgelistet sind und definieren ab welchem Zeitpunkt ein Betrieb der kritischen Infrastruktur zuzuschreiben ist.
    Verweis: Eine überschaubare Auflistung bekommen Sie auf der Webseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
  1. IT-Netzwerk
    Die IT-Unabhängigkeit der einzelnen Unternehmen ist ebenso ein bedeutungsvoller Faktor. Sobald ein Betrieb mehrere Standorte besitzt, welche alle eine individuelle IT-Infrastruktur führen, gilt der Betrieb möglicherweise nicht als Unternehmen der kritischen Infrastruktur – irrelevant, wie riesig es insgesamt ist. Betreibt ein Betrieb die IT hingegen zentral als „gemeinsame Anlage“, ist das was anderes.

Die Sicherheitslage hat sich verschärft!

Im Allgemeinen sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie wegen ihrer Wichtigkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein lukratives Ziel für Internetkriminelle, Terroristen oder aber auch feindliche staatliche Akteure dar.

Somit überrascht es absolut nicht, dass in den Medien ständig wieder von IT-Ausfällen sowie Defekten kritischer Infrastrukturen zu erfahren ist.

So sorgte zum Beispiel im Mai 2021 ein Ransomware-Angriff (https://www.heise.de/news/Betrieb-wichtiger-Benzin-Pipeline-nach-Cyberangriff-in-USA-gestoppt-6041854.html) auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA vorübergehend für Treibstoffengpässe an der gesamten Ostküste.

Dies wäre kein Ausnahmefall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Bereiche Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren deutlich zugenommen. Gleichzeitig belegen die Erkenntnisse des momentanen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den genannten Gebieten summa summarum 1.805 Sicherheitsmängel ermittelt wurden, die vor allem auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen zudem Naturgewalten, Havarien, menschliches Versagen oder technische Fehler mit teils schweren Folgen auf die Sicherheit und das Wohlsein der Menschen einher, wie der 31-stündige Stromausfall in Berlin/Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte.

Gesetze zum Schutz kritischer Infrastrukturen!

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, heißt es für Betriebe der kritischen Infrastruktur Gefahren sowie Risiken sehr früh zu erkennen und abzuwehren.
Die gesetzlichen Anforderungen sowie Regulierungen sind hierzu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSI-KritisV verankert.

Somit sind Betriebe der kritischen Infrastruktur dazu verordnet

– eine Kontaktstelle für die betriebene kritische Infrastruktur zu formulieren,
– die IT-Sicherheit auf den „Stand der Technik“ anzupassen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Erkennung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Problemen zu implementieren, vor allem ein ISO 27001 konformes Informationssicherheitsmanagementsystem und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität sowie Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
– IT-Sicherheitsvorfälle und erhebliche IT-Störungen, die zu einem IT-Störfall leiten, bekanntzugeben
– und die beschlossenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG () mittels eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der EDV nachzuweisen.

Stabile Netzwerke sind ein Muss!

Kritische Infrastrukturen sind für das ungehinderte Gelingen der Gesellschaft und Wirtschaft unabkömmlich. Auch wenn sie in der alltäglichen Perzeption nicht unbedingt ständig zugegen sind, ist der Schaden bei einem Ausfall umso beträchtlicher. Der störungsfreie Betrieb ist folglich unerlässlich.

Ferner hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ bekannt gegeben. Mit dem Anforderungskatalog stellt das Bundesamt für Sicherheit in der EDV jeglichen Betrieben der kritischen Infrastruktur sowie ihren Prüfern einen genauen Rahmen zur Auswahl, Durchführung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Kontext der IT-Sicherheit durchzuführen sind. Dabei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

– Informationsmanagementsystem
– Asset Management
– Risikoanalysemethode
– Continuity Management
– Technische Informationssicherheit
– Personelle sowie organisatorische Sicherheit
– Bauliche/ physische Absicherung
– Vorfallserkennung sowie Bearbeitung
– Begutachtung im laufenden Betrieb
– Außerbetriebliche Informationsversorgung sowie Betreuung Lieferanten, Dienstleistungsunternehmen und Dritte
– Meldewesen

Sind Sie ein Betrieb der kritischen Infrastruktur und auf der Recherche nach effektiven und fortschrittlichen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur durchdacht vor möglichen Bedrohungen zu schützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen? Rufen Sie uns gerne an!

KONTAKTIEREN SIE UNS

Die Digitale Zukunft
Ist jetzt.
Kontakt aufnehmen
scroll down