Kritische Infrastrukturen bilden das Rückgrat unserer modernen Gesellschaft. Von der Stromversorgung bis zur Wasserversorgung – diese Systeme müssen rund um die Uhr funktionieren. Doch was passiert, wenn Cyberangriffe diese wichtigen Bereiche bedrohen?
Die KRITIS-Verordnung schreibt spezielle Sicherheitsmaßnahmen vor, um genau das zu verhindern. Diese Anforderungen mögen auf den ersten Blick komplex wirken, aber sie sind der Schlüssel zum Schutz unserer digitalen Infrastruktur. Lass uns gemeinsam einen Blick darauf werfen, was du wissen musst.
Was bedeutet KRITIS und welche Sektoren sind betroffen?
KRITIS steht für „Kritische Infrastrukturen“ und bezeichnet Anlagen, Systeme oder Teile davon, die für das Funktionieren des Gemeinwesens von großer Bedeutung sind. Ein Ausfall oder eine Beeinträchtigung würde zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen.
Das BSI-Gesetz definiert neun KRITIS-Sektoren: Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Jeder Sektor hat spezifische Schwellenwerte – überschreitet ein Unternehmen diese, gilt es automatisch als KRITIS-Betreiber.
Die Einstufung erfolgt anhand verschiedener Kriterien wie der Anzahl versorgter Personen oder dem Marktanteil. Ein Krankenhaus mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr fällt beispielsweise unter die KRITIS-Verordnung, ebenso wie Stromnetzbetreiber mit mehr als 500.000 angeschlossenen Letztverbrauchern.
Welche gesetzlichen Anforderungen gelten für KRITIS-Betreiber?
KRITIS-Betreiber müssen ein IT-Sicherheitskonzept nach dem Stand der Technik implementieren und alle zwei Jahre einen Nachweis darüber erbringen. Zusätzlich sind sie verpflichtet, erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI zu melden.
Die rechtliche Grundlage bildet das IT-Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat und 2021 wesentlich verschärft wurde. Zentrale Verpflichtungen umfassen die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme.
Verstöße gegen diese Pflichten können empfindliche Bußgelder zur Folge haben. Das BSI kann Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Diese Sanktionen unterstreichen die Ernsthaftigkeit der gesetzlichen Anforderungen.
Wie implementiert man ein KRITIS-konformes IT-Sicherheitskonzept?
Ein KRITIS-konformes IT-Sicherheitskonzept basiert auf einer systematischen Risikoanalyse und der Umsetzung des IT-Grundschutz-Kompendiums des BSI. Der erste Schritt besteht darin, alle kritischen Prozesse und IT-Systeme zu identifizieren und zu bewerten.
Die Implementierung erfolgt in mehreren Phasen: Zunächst erstellst du eine Bestandsaufnahme aller IT-Assets und definierst Schutzziele. Anschließend führst du eine Gefährdungsanalyse durch und entwickelst entsprechende Schutzmaßnahmen. Dabei orientierst du dich am BSI-IT-Grundschutz-Kompendium, das branchenspezifische Bausteine für verschiedene KRITIS-Sektoren bereitstellt.
Besonders wichtig ist die Dokumentation aller Maßnahmen und Prozesse. Du musst nachweisen können, dass dein Sicherheitskonzept dem Stand der Technik entspricht. Dazu gehören auch regelmäßige Überprüfungen und Anpassungen des Konzepts an neue Bedrohungen und technologische Entwicklungen.
Welche technischen Sicherheitsmaßnahmen sind für KRITIS unverzichtbar?
Zu den wichtigsten technischen KRITIS-Sicherheitsmaßnahmen gehören Netzwerksegmentierung, kontinuierliche Überwachung, redundante Systeme und regelmäßige Sicherheitsupdates. Diese Maßnahmen bilden das technische Fundament für den Schutz kritischer Infrastrukturen.
Die Netzwerksegmentierung trennt kritische Systeme von weniger wichtigen Bereichen und verhindert die laterale Ausbreitung von Angriffen. Firewalls und Intrusion-Detection-Systeme überwachen den Datenverkehr und erkennen verdächtige Aktivitäten. Backup-Systeme und Redundanzen sorgen dafür, dass bei einem Ausfall schnell auf alternative Systeme umgeschaltet werden kann.
Weitere wichtige Maßnahmen umfassen:
- Endpoint Detection and Response (EDR)-Systeme zur Überwachung von Arbeitsplätzen
- Privileged Access Management zur Kontrolle administrativer Zugriffe
- Verschlüsselung sensibler Daten sowohl bei der Übertragung als auch bei der Speicherung
- Regelmäßige Penetrationstests zur Identifikation von Schwachstellen
- Security Information and Event Management (SIEM) zur zentralen Auswertung von Sicherheitsereignissen
Wie erkennt und meldet man Sicherheitsvorfälle nach KRITIS-Verordnung?
KRITIS-Betreiber müssen erhebliche IT-Sicherheitsvorfälle unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung an das BSI melden. Als erheblich gelten Vorfälle, die zu Ausfällen oder Beeinträchtigungen der kritischen Dienstleistung führen können.
Die Erkennung erfolgt durch kontinuierliche Überwachung aller kritischen Systeme. Automatisierte Monitoring-Tools analysieren Logdateien, Netzwerkverkehr und Systemverhalten auf Anomalien. Dabei kommen verschiedene Technologien zum Einsatz: SIEM-Systeme korrelieren Ereignisse aus unterschiedlichen Quellen, während Intrusion-Detection-Systeme verdächtige Netzwerkaktivitäten identifizieren.
Die Meldung an das BSI erfolgt über das IT-Sicherheitsportal des BSI und muss folgende Informationen enthalten: Art und Umfang des Vorfalls, betroffene Systeme, mögliche Auswirkungen auf die kritische Dienstleistung sowie bereits eingeleitete Maßnahmen. Bei besonders schwerwiegenden Vorfällen kann das BSI zusätzliche Informationen anfordern oder Vor-Ort-Untersuchungen durchführen.
Wie CCVOSSEL bei KRITIS-Anforderungen hilft
Wir unterstützen KRITIS-Betreiber dabei, alle gesetzlichen Anforderungen zu erfüllen und ihre kritischen Infrastrukturen optimal zu schützen. Mit unserer fast 30-jährigen Erfahrung und als zertifizierte Experten für kritische Infrastrukturen bieten wir:
- Entwicklung maßgeschneiderter Sicherheitskonzepte nach BSI-IT-Grundschutz
- 24/7 Security Monitoring und Incident Response
- Regelmäßige Penetrationstests und Vulnerability Assessments
- Unterstützung bei der BSI-Meldepflicht und Compliance-Dokumentation
- Schulungen für deine Mitarbeiter zu KRITIS-spezifischen Sicherheitsanforderungen
Als Mitautor der TeleTrusT-Arbeitsgruppe „Stand der Technik“ kennen wir die aktuellen Entwicklungen und helfen dir dabei, deine KRITIS-Infrastruktur zukunftssicher zu gestalten. Kontaktiere uns für eine unverbindliche Beratung zu deinen spezifischen KRITIS-Anforderungen.