Kritische Infrastrukturen (KRITIS) in Deutschland: Definition, Bedeutung, und Schutz

In Zeiten von immer weiter steigenden Cyber-Angriffen auf kritische Infrastrukturen, wird die Bedeutung dieser Systeme immer deutlicher. Doch was genau sind kritische Infrastrukturen? Welche Funktionen haben sie in unserer Gesellschaft? Und welche Schutzmaßnahmen gibt es? Antworten auf diese Fragen gibt der folgende Artikel.

Deutschland ist ein Land, das für seine starke Wirtschaft und zuverlässige Infrastruktur bekannt ist. Kritische Infrastruktur, auch Schlüsselinfrastruktur genannt, ist für das Funktionieren einer Nation unerlässlich. Diese Art von Infrastruktur ist für die Öffentlichkeit lebenswichtig und muss vor Naturkatastrophen, Terroranschlägen und anderen Bedrohungen geschützt werden. In diesem Artikel werden wir kritische Infrastrukturen definieren, ihre Bedeutung für die Gesellschaft untersuchen und Möglichkeiten diskutieren, sie vor Schaden zu schützen.

Was sind kritische Infrastrukturen in Deutschland und welche Bedeutung haben sie für die Gesellschaft?

Kritische Infrastrukturen sind Systeme und Anlagen ab einer gewissen Größe, die für die Funktionsfähigkeit einer Gesellschaft oder eines Staates von entscheidender Bedeutung sind. Dazu gehören zum Beispiel die Strom- und Wasserversorgung, die Telekommunikation oder auch das Gesundheitswesen.

Die kritischen Infrastrukturen in Deutschland werden durch das Gesetz über die Sicherheit der Informationstechnik (IT-Sicherheitsgesetz) geschützt. Dieses Gesetz regelt, wie Unternehmen und Organisationen mit kritischen Infrastrukturen ihre IT-Systeme sichern müssen.

Ein wichtiger Bestandteil des Schutzes von kritischen Infrastrukturen ist die sogenannte Cyber-Resilienz. Das bedeutet, dass die Systeme so aufgebaut und betrieben werden, dass sie auch bei einem Cyber-Angriff weiterhin funktionieren können. Cyber-Resilienz ist ein wichtiger Bestandteil des Schutzes von kritischen Infrastrukturen, da sich die Zahl der Angriffe auf solche Systeme in den letzten Jahren stark erhöht hat.

Die Bundesregierung hat daher die Nationale Strategie zum Schutz der Kritischen Infrastrukturen (NKSI) entwickelt, in der Maßnahmen und Handlungsempfehlungen für den Schutz kritischer Infrastrukturen in Deutschland festgelegt sind. Ziel der NKSI ist es, die kritischen Infrastrukturen in Deutschland vor Cyber-Angriffen zu schützen und die Cyber-Resilienz zu erhöhen. Dazu werden verschiedene Maßnahmen ergriffen, zum Beispiel durch die Stärkung der Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen und den Sicherheitsbehörden.

Auch die Aufklärung der Bevölkerung über Cyber-Sicherheit spielt eine wichtige Rolle, da jeder Einzelne dazu beitragen kann, die Cyber-Resilienz zu erhöhen. Dazu gehört zum Beispiel der verantwortungsvolle Umgang mit den eigenen Daten im Internet oder auch die Wahl sicherer Passwörter.

Definition von Kritischen Infrastrukturen nach dem BSI

Kritische Infrastrukturen (KRITIS) sind “zentrale Einrichtungen und Anlagen, deren Ausfall oder Beeinträchtigung die Versorgung der Bevölkerung mit wesentlichen Gütern und Dienstleistungen, die Sicherheit der Bürgerinnen und Bürger sowie die Funktionsfähigkeit von Staat und Wirtschaft gefährdet”.

In Deutschland werden KRITIS in folgende Bereiche eingeteilt:

  • Energieversorgung
  • Informations- und Kommunikationstechnik
  • Banken und Finanzdienstleister
  • Transport und Verkehr
  • Wasserversorgung
  • Ernährungswirtschaft
  • Gesundheit

Für die Bereiche Energieversorgung, Informations- und Kommunikationstechnik, Banken und Finanzdienstleister, Transport und Verkehr gelten zusätzliche Schutzbedarfsfeststellungen.

Wie werden kritische Infrastrukturen geschützt und was ist bei einem Angriff zu beachten?

Cyberangriff auf KRITIS Unternehmen

Die KRITIS-Verordnung des Bundesinnenministeriums (BMVI) vom 23. Dezember 2015 regelt die Schutzbedarfsfeststellung für kritische Infrastrukturen nach dem KRITIS-Begriff des BSI. Ziel der Verordnung ist es, die zuständigen Behörden bei der Umsetzung des Schutzes kritischer Infrastrukturen nach dem KRITIS-Begriff des BSI zu unterstützen.

Die Verordnung basiert auf folgenden Grundlagen:

  • KRITIS-Verordnung (KRITISV) des BMVI vom 23. Dezember 2015
  • Schutzbedarfsfeststellungsverfahren für kritische Infrastrukturen nach dem KRITIS-Begriff des BSI – Anwendungsleitfaden (Version 0.91)
  • Schutzbedarfsfeststellungsverfahren für kritische Infrastrukturen nach dem KRITIS-Begriff des BSI – Arbeitshilfe (Version 0.91)
  • Cybersecurity Strategie der Bundesregierung
  • Nationale Cybersecurity Strategie der Bundesrepublik Deutschland
  • Zwischenbericht zur Lage der Informationstechnik in Deutschland 2018 (BITKOM)

Die KRITISV setzt die Cybersecurity-Strategien der Bundesregierung sowie die Zwischenberichte zur Lage der Informationstechnik in Deutschland des BITKOM um.

Die Verordnung enthält folgende Regelungen:

  • Festlegung der zu schützenden kritischen Infrastrukturen nach dem KRITIS-Begriff des BSI
  • Schutzbedarfsfeststellung für kritische Infrastrukturen
  • Schutzmaßnahmen für kritische Infrastrukturen
  • Umsetzung der Schutzmaßnahmen
  • Verfahren zur Durchführung der Schutzbedarfsfeststellung
  • Koordinierungsstelle für die Schutzbedarfsfeststellung
  • Informationsaustausch zwischen den zuständigen Behörden
  • Rechte und Pflichten der Betreiber kritischer Infrastrukturen

Zusammenarbeit zwischen öffentlicher und privater Hand bei der Sicherheit von kritischen Infrastrukturen

Die Sicherheit von kritischen Infrastrukturen ist eine gemeinsame Aufgabe von Staat und Wirtschaft. Nur durch die Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen und den Sicherheitsbehörden kann ein wirksamer Schutz erreicht werden.

Die Betreiber kritischer Infrastrukturen haben eine besondere Verantwortung für die Sicherheit ihrer Anlagen und Systeme. Diese Verantwortung umfasst die Prävention, Erkennung und Abwehr von Gefährdungen sowie die Beseitigung von Schadensfolgen.

Die Sicherheitsbehörden sind für die Sicherheit der Bevölkerung verantwortlich. Sie unterstützen die Betreiber kritischer Infrastrukturen bei der Wahrnehmung ihrer Sicherheitsverantwortung.

Welche Maßnahmen werden getroffen, um einen Ausfall von kritischen Infrastrukturen zu verhindern oder zumindest zu reduzieren?

Schutzmaßnahmen KRITIS

Die Betreiber kritischer Infrastrukturen müssen die Schutzbedarfe ihrer Anlagen und Systeme ermitteln und passende Schutzmaßnahmen treffen. Dabei ist es wichtig, dass die Schutzmaßnahmen aufeinander abgestimmt sind und möglichst wenig Schwachstellen aufweisen.

Zusätzlich zu den Schutzmaßnahmen der Betreiber kritischer Infrastrukturen, gibt es verschiedene Stufen des behördlichen Schutzes. Dazu gehören zum Beispiel die Stufen I bis III des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder die Stufen A bis C des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Die Schutzmaßnahmen müssen regelmäßig überprüft und, falls nötig, angepasst werden. Denn die Bedrohungslage ändert sich ständig. Neue Sicherheitslücken werden entdeckt und neue Angriffsmöglichkeiten entwickelt.

Umso wichtiger ist es, dass die Sicherheitsbehörden und Betreiber kritischer Infrastrukturen ständig auf dem neuesten Stand sind.

Die Umsetzung der Schutzmaßnahmen ist eine gemeinsame Aufgabe von Staat und Wirtschaft. Nur durch die Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen und den Sicherheitsbehörden kann ein wirksamer Schutz erreicht werden.

Welche Konsequenzen hätte ein Ausfall von kritischen Infrastrukturen für die Gesellschaft in Deutschland?

Ein Ausfall von kritischen Infrastrukturen hätte schwerwiegende Folgen für die Gesellschaft in Deutschland.

Zum Beispiel könnte ein Ausfall des Stromnetzes zu einem Zusammenbruch des Finanzsystems führen, da die Börsen nicht mehr funktionieren würden. Auch die Versorgung der Bevölkerung mit Lebensmitteln, Wasser und Medikamenten wäre beeinträchtigt. In einem solchen Fall käme es zu massiven Störungen des sozialen Zusammenhalts. Die Folgen von Cyber-Angriffen auf kritische Infrastrukturen können also sehr weitreichend sein. Daher ist es wichtig, diese Systeme zu schützen.

Ein Schutz der kritischen Infrastrukturen ist jedoch nur möglich, wenn sie zuvor identifiziert wurden.

Welche Pflichten haben KRITIS Betreiber?

Die Betreiber kritischer Infrastrukturen haben eine besondere Verantwortung für die Sicherheit ihrer Anlagen und Systeme. Diese Verantwortung umfasst die Prävention, Erkennung und Abwehr von Gefährdungen sowie die Beseitigung von Schadensfolgen.

Die Betreiber kritischer Infrastrukturen müssen die Schutzbedarfe ihrer Anlagen und Systeme ermitteln und passende Schutzmaßnahmen treffen. Dabei ist es wichtig, die Schutzbedarfe regelmäßig zu überprüfen und gegebenenfalls anzupassen. Die Betreiber kritischer Infrastrukturen sind verpflichtet, ihren Notfallplan zu überarbeiten und regelmäßig zu überprüfen. Bei Bedarf ist der Notfallplan auch an die jeweils aktuellen Gegebenheiten anzupassen.

Darüberhinaus müssen die Betreiber kritischer Infrastrukturen die notwendigen organisatorischen und technischen Maßnahmen ergreifen, um die Sicherheit ihrer Anlagen und Systeme sicherzustellen. Dazu gehören unter anderem:

  • Die Einrichtung eines Sicherheitsmanagementsystems;
  • Die Einhaltung von Sicherheitsstandards;
  • Die Durchführung von Risikoanalysen;
  • Die Umsetzung von Schutzmaßnahmen.

Die Betreiber kritischer Infrastrukturen sind verpflichtet, ihre Mitarbeiter/innen und externen Dienstleister/innen in Sicherheitsfragen zu schulen. Weiterhin sind sie dazu verpflichtet die notwendigen finanziellen Mittel für die Sicherheit ihrer Anlagen und Systeme bereitzustellen.

Darüberhinaus müssen die Betreiber kritischer Infrastrukturen sicherstellen, dass die notwendigen technischen und organisatorischen Maßnahmen zur Sicherheit ihrer Anlagen und Systeme auch tatsächlich umgesetzt werden. Gerne unterstützen wir Sie bei der Ausarbeitung und Umsetzung der gesetzlichen KRITIS Vorgaben. Kontaktieren Sie uns jetzt.

Zusammenfassung

Die Bedeutung der Sicherheit von kritischen Infrastrukturen nimmt in Zeiten zunehmender Cyber-Angriffe stetig zu. Kritische Infrastrukturen sind jedoch nur dann wirksam geschützt, wenn sie vorher identifiziert wurden. Die Betreiber kritischer Infrastrukturen haben eine besondere Verantwortung für die Sicherheit ihrer Anlagen und Systeme. Diese Verantwortung umfasst die Prävention, Erkennung und Abwehr von Gefährdungen sowie die Beseitigung von Schadensfolgen.

Die Betreiber kritischer Infrastrukturen müssen die Schutzbedarfe ihrer Anlagen und Systeme ermitteln und passende Schutzmaßnahmen treffen. Dabei ist es wichtig, die Schutzbedarfe regelmäßig zu überprüfen und gegebenenfalls anzupassen. Zusammenfassend lässt sich sagen, dass ein wirksamer Schutz kritischer Infrastrukturen nur möglich ist, wenn diese vorher identifiziert wurden und die Betreiber eine besondere Verantwortung für deren Sicherheit übernehmen.

Sie sind ein KRITIS Betreiber und benötigen Unterstützung bei der Umsetzung der Anforderungen? Dann kontaktieren Sie uns jetzt. Unsere KRITIS-Experten beraten Sie gerne.

Blog-Artikel teilen

COGWHEEL

Individuelles Sicherheitskonzept für Ihr Unternehmen

Gerne entwickeln wir ein individuelles Sicherheitskonzept passend zu Ihrem Unternehmen und Ihrem Bedarf an Cybersicherheit.

Inhaltsverzeichnis

Sie interessieren sich für Sicherheits­konzepte?

Gerne beraten unsere Experten Sie zu unseren Produkten und passenden Lösungen für den Ausbau Ihrer Unternehmenssicherheit.

Dr. Michael Gorski
Kennen Sie schon unseren YouTube Kanal?