Kritische Infrastrukturen/KRITIS: Das wirtschaftliche Rückgrat moderner Gesellschaften!

Kritische Infrastrukturen sind mitunter einer der wichtigsten Balken der deutschen Ökonomie und Gesellschaft, weswegen ihr problemloser Betrieb zu jeder Zeit gewährleistet sein sollte. Setzen sie beispielsweise infolge von Internetangriffen, Havarien oder etwa technischem Versagen aus, verzeichnet das verheerende Folgen für die Sicherheit und Versorgungslage des Landes. Aus diesem Grund haben die Gesetzgeber juristische Anforderungen sowie Regelungen festgelegt, um solch gefährlichen Szenarien vorbeugend entgegenzuwirken. Was für welche dies sind, wann eine Infrastruktur als “kritisch” gilt und welchen spezifischen Herausforderungen systemrelevante Firmen der kritischen Infrastruktur gegenüberstehen, lesen Sie in unserem folgenden Blogbeitrag.

Moderne Gesellschaften mit hochentwickelter Dienstleistungswirtschaft und Industriewirtschaft zeichnen sich durch einen hohen Grad an Digitalisierung, Agilität, Wettbewerbsfähigkeit sowie intensiver Teilnahme an der Globalisierung aus. Angesichts dessen sind heutige Unternehmen immer mehr von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt vor allem für systemrelevante Firmen der kritischen Infrastruktur.

Doch was sind kritische Infrastrukturen präzise?

Gemäß der offiziellen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, sowie des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe, kurz BBK, handelt es sich bei kritischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.”

Wer zählt zu den kritischen Infrastrukturen?

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Aufrechterhaltung bedeutender gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit sowie des wirtschaftlichen oder sozialen Wohlergehens der Einwohner elementar – und somit äußerst zu schützen.

Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, kurz BMI, verabschiedet wurde, formuliert neun Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme besonderen Schutz brauchen. Hierzu gehören

1. Staat und Verwaltung
2. Energieversorgung
3. Informationstechnik und auch Telekommunikation
4. Transport und Verkehr
5. Gesundheit
6. Wasser
7. Ernährungsweise
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Gesetzesänderung des BSIG in 2021 kam ein weiterer Sektor dazu: „Siedlungsabfallentsorgung“. Allerdings steht dessen Bundesebene – allgemeingültige Abstimmung noch offen.

Ob ein Betrieb als problematische Infrastruktur gewertet wird, kann bloß eine individuelle Prüfung mit Gewissheit klären. Es existieren allerdings drei typische Ansatzpunkte, anhand derer eine erste Kategorisierung möglich sei.

1. Kritische Dienstleistung
   Eine Serviceleistung ist demzufolge kritisch, wenn diese in einem regulierten Bereich erbracht wird und die Fülle den Schwellenwert überschreitet. Bei Krankenhäusern ist es beispielsweise simpel: Der Grenzwert wird auf Basis der „vollstationären Fälle“ geprüft und ist damit deutlich bestimmt. Aber in manchen Bereichen ist es hingegen nicht so einfach wie zum Beispiel in der Logistik. Hier muss ein Berater sehr genau die Kritisverordnung kennen und interpretieren können.
2. Schwellenwert
   Das BSI hat für jeden Bereich spezielle Schwellenwerte festgelegt, die in der KRITIS-Verordnung 2021, welche mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgelistet sind und bestimmen ab welchem Zeitpunkt ein Betrieb der kritischen Infrastruktur zuzuschreiben ist.
   Hinweis: Eine überschaubare Aufzählung bekommen Sie auf der Webseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
3. IT-Netzwerk
   Die IT-Independenz der jeweiligen Unternehmen ist ebenfalls ein bedeutungsvoller Aspekt. Sobald ein Unternehmen viele Standorte hat, welche alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen möglicherweise nicht als Unternehmen der kritischen Infrastruktur – egal, wie riesig es in der Gesamtheit ist. Betreibt ein Unternehmen die IT hingegen zentral als „gemeinsame Anlage“, ist das etwas anderes.

Aktuelle Herausforderungen kritischer Infrastrukturen!

Im Allgemeinen sind kritische Infrastrukturen vorteilhaft beschützt. Dessen ungeachtet stellen sie wegen ihrer Wichtigkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein lukratives Ziel für Internetkriminelle, Terroristen oder aber sogar gemeine staatliche Darsteller dar.

Somit verwundert es nicht, dass in den Medien ständig wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu erfahren ist.

Auf diese Weise sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Unternehmens Colonial Pipeline in den USA temporär für Treibstoffengpässe an der kompletten Ostküste.

Dies ist absolut kein Einzelfall: Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren merklich zugenommen. Zeitgleich zeigen die Erkenntnisse des momentanen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Gebieten insgesamt 1.805 Sicherheitsmängel ermittelt wurden, die insbesondere auf Probleme im Bereich Netztrennung, Notfallmanagement und physische Garantie zu begründen sind.
Neben Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schweren Auswirkungen auf die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin/Köpenick Ende Februar 2019 beachtlich zeigte.

KRITIS-Gesetzgebung!

Mit dem Ziel, solche Worst-Case-Szenarien zu umgehen, heißt es für Betriebe der kritischen Infrastruktur Gefahren und Risiken sehr früh zu erkennen und abzuwehren.
Die gesetzlichen Anforderungen und Regelungen sind dazu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, knapp BSIG sowie der BSI-KRITIS-Verordnung, knapp BSI-KritisV festgemacht.

Demnach sind Unternehmen der kritischen Infrastruktur dazu verpflichtet

o eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
o die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Erkennung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Problemen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie dazu unseren Blogartikel zum Themenbereich Datenschutz und Informationssicherheit. Klicken Sie an dieser Stelle) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität sowie Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.
o IT-Sicherheitsvorfälle und erhebliche IT-Störungen, die zu einem IT-Störfall führen, zu melden
o und die beschlossenen IT-Sicherheitsvorkehrungen nach § 8a Absatz 3 BSIG mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke sind ein Muss!

Kritische Infrastrukturen sind für das reibungslose Gelingen unserer Gesellschaft und Wirtschaft unerlässlich. Selbst im Falle, dass sie in der alltäglichen Perzeption nicht unbedingt ständig präsent sind, ist der Schaden bei einem Ausfall umso signifikanter. Der problemlose Mechanismus ist folglich unerlässlich.

Ferner hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Mit diesem Anforderungskatalog bietet das Bundesamt für Sicherheit in der EDV jeglichen Unternehmen der kritischen Infrastruktur sowie ihren Gutachtern einen konkreten Bereich zur Auswahl, Durchführung und Auswertung sämtlicher IT-Sicherheitsmaßnahmen, die im Rahmen der IT-Sicherheit umzusetzen sind. Dabei deckt der Anforderungskatalog alle folgenden Bereiche ab:

o Informationsmanagementsystem
o Asset Management
o Risikoanalysemethode
o Continuity Management
o Technische Informationssicherheit
o Personelle und organisatorische Sicherheit
o Bauliche/ physische Absicherung
o Vorfallserkennung sowie Bearbeitung
o Überprüfung im laufenden Betrieb
o Externe Informationsversorgung und Unterstützung
o Lieferanten, Dienstleister und Dritte
o Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur noch dazu auf der Recherche nach wirksamen und innovativen IT-Sicherheitslösungen, um Ihre IT-Infrastruktur durchdacht vor möglichen Bedrohungen zu beschützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung und kritische Infrastrukturen? Rufen Sie uns gerne an!