KRITIS – Kritische Infrastrukturen

6

In einer digital vernetzten Welt ist eine sichere IT-Infrastruktur wichtiger denn je. Insbesondere Unternehmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen, gelten als besonders schützenswert und müssen diesbezüglich hohen Anforderungen im Bereich der IT-Sicherheit nachkommen und Störungen ihrer IT-Systeme direkt dem BSI melden.

Wer zählt zu den KRITIS-Betreibern?

Unternehmen mit kritischen Infrastrukturen haben eine große Bedeutung für das staatliche Gemeinwesen. Kommt es zu einem Ausfall eines KRITIS-Unternehmens, können nachhaltige Versorgungsengpässe entstehen und auch die öffentliche Sicherheit kann nur schwer gewährleistet werden.

KRITIS-Betreiber gelten somit als besonders schützenswert. Bis vor kurzen gehörten in Deutschland neun verschiedene Sektoren der KRITIS an. Dazu zählen beispielsweise die Branchen Energie, Wasser, Ernährung, Telekommunikation oder das Gesundheits- und Finanzwesen. Im Rahmen des IT-Sicherheitsgesetzes 2.0 (IT-Sig 2.0) ist nun der Sektor der Siedlungsabfallentsorgung neu hinzugekommen.

In der BSI-Kritisverordnung (BSI-KritisV) ist aufgeführt, ab welchem Schwellenwert zum Beispiel hinsichtlich der Strom-Nennleistung in Megawatt ein Unternehmen von den Auflagen betroffen ist. Diese Schwellenwerte sollten von Unternehmen im Grenzbereich in regelmäßigen Abständen auf Aktualisierungen geprüft werden.

Wie hat der Nachweis nach dem BSI-Gesetz auszusehen?

Unternehmen, die zu den KRITIS-Betreibern gehören, müssen nicht nur ihre Unternehmensziele, sondern auch ihre Endnutzer im Auge behalten. Im Fall einer Störung des Unternehmens sind eine Vielzahl an Endnutzern betroffen, sodass die Anforderungen des BSI-Gesetzesstrenger als die bekannten Normen sind.

Konkret bedeutet dies, eine Anfertigung eines speziellen Prüfberichtes. Auf diesem Wege bestätigen KRITIS-Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dass ihre IT-Sicherheit auf dem neuesten Stand der Technik ist. Diesen Prüfbericht stellen beispielsweise die DEKRA oder der TÜV aus. Die KRITIS-Betreiber müssen den Prüfbericht alle zwei Jahre dem BSI vorgelegen.

KRITIS

Übersicht der KRITIS-Sektoren

Der Nachweis über den neusten Stand der Technik kann beispielsweise durch die Zertifizierung nach ISO 27001 erfolgen. Aber auch sogenannte „branchenspezifische Sicherheitsstandards“, kurz B3S zeigen, wie ein derartiger Nachweis aussehen kann. Diese B3S können von Unternehmen der einzelnen KRITIS-Sektoren gemeinsam entwickelt werden. So haben KRITIS-Unternehmen die Möglichkeit, auf der Basis ihrer eigenen Expertise Vorgaben zum Stand der Technik selbst zu formulieren.

KRITIS-Unternehmen verfügen über eine geprüfte, sichere IT-Infrastruktur und haben dank des BSI eine Übersicht über Informationen, die aktuelle Sicherheitslage und neue Cybergefahren, sodass sie zielgerichtet reagieren können.

Weitere Informationen zum KRITIS-Zertifizierungsprozess der DEKRA finden Sie in unserem Beitrag: Know-How ISO 27001

Implementierung eines ISMS

Die Implementierung eines Information Security Management System, kurz ISMS, ist für Betreiber kritischer Infrastrukturen verpflichtend, um die neuen Sicherheitsstandards umsetzen zu können. Da der Staat allein keinen vollständigen Schutz aller Infrastrukturen gewährleisten kann, sind die KRITIS-Betreiber aufgefordert sich für ihre eigene IT-Sicherheit einzusetzen.

Eine ISMS bezieht sich nicht nur auf die IT-Sicherheit des Unternehmens, sondern trägt ebenfalls zur Optimierung der Unternehmensprozesse und -strukturen bei, um Störungen und Risiken hinsichtlich des Informationssicherheitsmanagements zu reduzieren.

Webinar: IT-SiG 2.0 umsetzen im SAP

IT-Sicherheitsgesetz Webinar

In diesem ca. 1-stündigen Webinar erfahren Sie, wie Sie Anforderungen des IT-SiG 2.0 und KRITIS als Unternehmen im SAP umsetzen können und was Sie bei den Auflagen beachten sollten. 

KRITIS-Anforderungen

Das BSI verpflichtet KRITIS-Betreiber zur Implementierung verschiedener Maßnahmen:

1. Benennung einer Kontaktstelle

KRITIS-Betreiber müssen eine Kontaktstelle benennen. Dies können sie durch die Einrichtung eines Funktionspostfaches machen, sodass sie für das BSI dauerhaft erreichbar sind. Das BSI hat so beispielsweise die Möglichkeit, IT-Sicherheitsinformationen an das Funktionspostfach des KTITIS-Betreibers zu senden.

 2. Meldung von IT-Störungen und Sicherheitsvorfällen

Kommt es zu einer außergewöhnlichen Störung und anderen Risikoquellen im Rahmen der IT-Infrastruktur eines KRITIS-Unternehmens, müssen diese dem BSI mithilfe des Funktionspostfaches derartige Störungen und Risiken mitteilen.

 3. Umsetzung des Stands der Technik

Sind die IT-Systeme der KRITIS-Betreiber auf dem Stand der Technik, so wird das Störungsrisiko minimiert. Das BSI schlägt hierfür eine Gründung von Arbeitskreisen vor, die den Stand der Technik näher definieren und zur Festlegung branchenspezifischer Sicherheitsstandards beitragen.

4. Ausarbeitung von Präventionsmaßnahmen und Reaktionsplänen

Um bei einer massiven Versorgungsstörung angemessen reagieren zu können, müssen die Betreiber kritischer Infrastrukturen geeignete Maßnahmenkataloge ausarbeiten, um den Schaden eines solchen Vorfalles zu minimieren. Weiterhin soll der gesellschaftliche Nutzen des Unternehmens schnellstmöglich wiederhergestellt sowie das Instandsetzen der Arbeitsfähigkeit gewährleistet werden. Darüber hinaus erweist sich auch eine Einrichtung von Systemen zur Angriffserkennung als sinnvoll.

 5. Prüfung der Absicherung

In Form von Sicherheitsaudits müssen KRITIS-Betreiber alle zwei Jahre dem BSI die Umsetzung angemessener Maßnahmen und die Einhaltung der Technikstandards nachweisen, so § 8a III BSIG.

Übersicht der KRITIS-Anforderungen
Quelle: TÜV Nord Akademie

FAQ

Was bedeutet KRITIS?

Die Abkürzung „KRITIS“ steht für Unternehmen kritischer Infrastrukturen. Dazu zählen beispielsweise das Finanz- und Gesundheitssystem. Ihre IT-Infrastrukturen sind besonders schützenswert, da sie sensible Daten verarbeiten und eine bedeutsame Rolle für das staatliche Gemeinwesen spielen. Folglich kann es im Fall einer Störung zu Versorgungsengpässen kommen und die öffentliche Sicherheit kann nur schwer gewährleistet werden.

Welche Anforderungen stellt das BSI an KRITIS-Betreiber?

  • Benennung einer Kontaktstelle
  • Meldung von IT-Störungen und Sicherheitsvorfällen
  • Umsetzung des neuesten Stands der Technik
  • Ausarbeitung von Präventionsmaßnahmen und Reaktionsplänen
  • Prüfung der Absicherung

Wie kann der Stand der Technik nachgewiesen werden?

KRITIS-Betreiber können beispielsweise durch die Zertifizierung nach ISO 27001 oder mithilfe sogenannte „branchenspezifische Sicherheitsstandards“, kurz B3S den Stand der Technik nachweisen. Diese B3S können von Unternehmen der einzelnen KRITIS-Sektoren gemeinsam entwickelt werden, sodass auf der Basis ihrer eigenen Expertise Vorgaben zum Stand der Technik selbst formuliert werden können.

 Weiterführende Informationen

 


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support