Die Sicherheit kritischer Infrastrukturen wird in Deutschland durch spezielle KRITIS-Prüfungen überwacht. Diese Kontrollen stellen sicher, dass Betreiber von Stromnetzen, Wasserversorgung, Krankenhäusern und anderen systemrelevanten Einrichtungen ihre IT-Sicherheit gemäß den gesetzlichen Vorgaben organisieren.
Eine gründliche Vorbereitung auf diese Prüfungen entscheidet darüber, ob dein Unternehmen die strengen Anforderungen erfüllt und mögliche Sanktionen vermeidet. In diesem Artikel erfährst du, wie du dich systematisch auf KRITIS-Prüfungen vorbereitest und was dabei zu beachten ist.
Was sind KRITIS-Prüfungen und warum sind sie notwendig?
KRITIS-Prüfungen sind gesetzlich vorgeschriebene Kontrollen der IT-Sicherheit bei Betreibern kritischer Infrastrukturen. Sie überprüfen, ob Unternehmen die Mindestanforderungen nach der BSI-Kritisverordnung einhalten und ihre IT-Systeme ausreichend gegen Cyberangriffe schützen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt diese Prüfungen durch, um die Funktionsfähigkeit systemrelevanter Dienste zu gewährleisten. Ein Ausfall kritischer Infrastrukturen könnte erhebliche Störungen der öffentlichen Sicherheit oder Ordnung zur Folge haben. Die Prüfungen erfolgen sowohl anlassbezogen als auch in regelmäßigen Abständen.
Unternehmen, die den KRITIS-Anforderungen nicht entsprechen, müssen mit empfindlichen Bußgeldern rechnen. Die Behörden können bei schwerwiegenden Mängeln sogar Betriebsuntersagungen aussprechen.
Welche Unternehmen müssen sich KRITIS-Prüfungen unterziehen?
Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr müssen sich KRITIS-Prüfungen unterziehen. Die Einstufung erfolgt anhand festgelegter Schwellenwerte für jede Branche.
Im Energiesektor gelten beispielsweise Stromerzeuger ab 420 GWh jährlicher Erzeugung als kritische Infrastruktur. Wasserversorger fallen ab einer Versorgung von 500.000 Menschen unter die BSI-Kritisverordnung. Krankenhäuser mit mehr als 30.000 stationären Behandlungsfällen pro Jahr sind ebenfalls betroffen.
Auch Unternehmen unterhalb der Schwellenwerte können indirekt betroffen sein, wenn sie als Dienstleister für KRITIS-Betreiber tätig sind. Sie müssen dann entsprechende Sicherheitsstandards nachweisen können.
Wie läuft eine KRITIS-Prüfung konkret ab?
Eine KRITIS-Prüfung beginnt mit einer Ankündigung durch das BSI und umfasst die Bewertung der IT-Sicherheitsmaßnahmen anhand dokumentierter Prozesse, technischer Implementierungen und organisatorischer Strukturen. Die Prüfer analysieren sowohl die theoretischen Konzepte als auch deren praktische Umsetzung vor Ort.
Der Ablauf gliedert sich in mehrere Phasen: Zunächst erfolgt eine Dokumentenprüfung, bei der die eingereichten Sicherheitskonzepte und Nachweise bewertet werden. Anschließend führen die BSI-Prüfer Interviews mit Verantwortlichen und eine technische Begutachtung der IT-Infrastruktur durch.
Die Vor-Ort-Prüfung kann mehrere Tage dauern, je nach Größe und Komplexität der Infrastruktur. Dabei werden Sicherheitsrichtlinien, Notfallpläne, Zugriffskontrollen und technische Schutzmaßnahmen detailliert untersucht. Am Ende erstellen die Prüfer einen Bericht mit Bewertung und gegebenenfalls Nachbesserungsauflagen.
Welche Dokumente und Nachweise werden für KRITIS-Prüfungen benötigt?
Für KRITIS-Prüfungen benötigst du ein aktuelles IT-Sicherheitskonzept, einen Nachweis über die Implementierung angemessener technischer und organisatorischer Maßnahmen, eine Dokumentation der Risikoanalyse sowie Belege für regelmäßige Sicherheitsüberprüfungen. Alle Dokumente müssen den aktuellen Stand der Technik widerspiegeln.
Das Herzstück bildet das IT-Sicherheitskonzept nach § 8a BSIG, das alle relevanten Systeme und Schutzmaßnahmen beschreibt. Ergänzend sind Notfall- und Wiederanlaufpläne, Schulungsnachweise für Mitarbeitende und Dokumentationen zu Penetrationstests oder Vulnerability Assessments erforderlich.
Weitere wichtige Unterlagen umfassen Organisationshandbücher, Richtlinien für den Umgang mit IT-Sicherheitsvorfällen, Verträge mit externen Dienstleistern und Nachweise über die Einhaltung branchenspezifischer Standards. Die Dokumentation sollte lückenlos und aktuell sein.
Wie bereitet man das IT-Sicherheitsteam optimal auf KRITIS-Prüfungen vor?
Die optimale Vorbereitung des IT-Sicherheitsteams erfordert regelmäßige Schulungen zu aktuellen KRITIS-Anforderungen, interne Mock-Audits zur Simulation der Prüfungssituation und die klare Definition von Rollen und Verantwortlichkeiten während der Prüfung. Jedes Teammitglied sollte seine spezifischen Aufgabenbereiche souverän erläutern können.
Führe zunächst eine Bestandsaufnahme durch: Welche Teammitglieder werden bei der Prüfung anwesend sein, und welche Bereiche verantworten sie? Organisiere Workshops, in denen typische Prüferfragen durchgespielt werden. Dabei sollten sowohl technische Details als auch organisatorische Prozesse abgefragt werden.
Erstelle Checklisten mit häufigen Prüfungsthemen und sorge dafür, dass alle relevanten Ansprechpartner verfügbar sind. Das Team sollte auch unter Stress präzise und vollständige Antworten geben können. Regelmäßige interne Audits helfen dabei, Schwachstellen frühzeitig zu identifizieren.
Was passiert nach einer KRITIS-Prüfung und wie geht es weiter?
Nach einer KRITIS-Prüfung erhältst du einen detaillierten Prüfbericht mit einer Bewertung der vorgefundenen Sicherheitsmaßnahmen und gegebenenfalls Auflagen zur Nachbesserung. Bei festgestellten Mängeln musst du innerhalb festgelegter Fristen entsprechende Verbesserungen implementieren und diese dokumentiert nachweisen.
Der Prüfbericht kategorisiert Findings nach Schweregrad: Kritische Mängel erfordern sofortige Maßnahmen, während weniger schwerwiegende Punkte längere Umsetzungsfristen haben. Das BSI kann bei gravierenden Sicherheitslücken auch Zwangsmaßnahmen anordnen oder Bußgelder verhängen.
Nach Umsetzung der geforderten Maßnahmen erfolgt meist eine Nachprüfung. Dabei wird kontrolliert, ob die beanstandeten Punkte ordnungsgemäß behoben wurden. Erfolgreiche Unternehmen nutzen die Prüfungsergebnisse als Grundlage für kontinuierliche Verbesserungen ihrer IT-Sicherheit.
Wie CCVOSSEL bei KRITIS-Prüfungen hilft
Wir unterstützen dich bei der umfassenden Vorbereitung auf KRITIS-Prüfungen und begleiten dich durch den gesamten Compliance-Prozess. Mit unserer langjährigen Erfahrung in kritischen Infrastrukturen entwickeln wir maßgeschneiderte Sicherheitskonzepte und führen Vorab-Assessments durch.
Unsere Leistungen umfassen:
- Entwicklung und Überprüfung von IT-Sicherheitskonzepten nach § 8a BSIG
- Durchführung von Gap-Analysen und Penetrationstests
- Schulung deiner Mitarbeiter für die Prüfungssituation
- Begleitung während der BSI-Prüfung als externe Experten
- Unterstützung bei der Umsetzung von Nachbesserungsauflagen
Als zertifizierte Experten mit ISO-27001-Qualifikation und aktiver Mitarbeit in der TeleTrusT-Arbeitsgruppe „Stand der Technik“ kennen wir die aktuellen Anforderungen genau. Kontaktiere uns für eine unverbindliche Beratung zu deiner KRITIS-Compliance.