weitere Beiträge
Kritische Infrastrukturen sind einer der bedeutendsten Stützpfeiler der deutschen Wirtschaft und Gesellschaft, weshalb deren problemloser Betrieb zu jeder Zeit gewährleistet sein muss. Fallen sie zum Beispiel wegen Internetangriffen, Havarien oder etwa technischem Versagen aus, verzeichnet das verheerende Folgen für die Sicherheit und Versorgungslage des Landes. Aus diesem Grund haben die Politiker rechtliche Anforderungen sowie Regelungen erlassen, um solch gefährlichen Szenarien präventiv aus dem Weg zu gehen. Was für welche das sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Institutionen der kritischen Infrastruktur gegenüberstehen, erfahren Sie in unserem nachfolgenden Blogartikel.
Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungswirtschaft und Industriewirtschaft zeichnen sich durch einen beachtlichen Grad an Digitalisierung, Wendigkeit, Wettbewerbsfähigkeit und intensiver Teilnahme an der Globalisierung aus. Angesichts dessen sind heutige Firmen in immer höherem Maße von einer hochleistungsfähigen, funktionsfähigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.
Aber was sind kritische Infrastrukturen genau?
Gemäß der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, knapp BSI, wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe, kurz BBK, dreht es sich bei problematischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Ist ein Unternehmen eine kritische Infrastruktur?
Demzufolge sind private sowie staatliche Betriebe der kritischen Infrastruktur für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit sowie des ökonomischen oder auch sozialen Wohlseins der Einwohner unerlässlich – und somit äußerst zu schützen.
Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, kurz BMI, verabschiedet wurde, formuliert neun Bereiche der kritischen Infrastrukturen, in welchen die IT-Systeme besonderen Schutz brauchen. Hierzu zählen
- Staat sowie Verwaltung
- Stromerzeugung
- Informationstechnik und auch Telekommunikation
- Transport sowie Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Medien plus Kultur
Mit der Gesetzesänderung des BSIG im Jahr 2021 kam ein neuer Sektor dazu: „Siedlungsabfallentsorgung“. Jedoch steht die Bundesebene – übergreifende Abstimmung bislang aus.
Inwiefern ein Betrieb als kritische Infrastruktur gewertet wird, kann nur eine individuelle Prüfung mit Gewissheit beantworten. Es existieren allerdings drei bekannte Ansatzpunkte, anhand derer eine vorläufige Kategorisierung realisierbar ist.
- Kritische Dienstleistung
Eine Serviceleistung ist demzufolge kritisch, wenn diese in einem kontrollierten Sektor erbracht wird und die Menge den Grenzwert überschreitet. Bei Krankenhäusern ist es beispielsweise einfach: Der Schwellenwert wird auf Grundlage der „vollstationären Fälle“ begutachtet und ist dadurch deutlich bestimmt. Aber in manchen Bereichen ist es hingegen nicht so einfach wie zum Beispiel in der Logistik. Hier muss ein Berater sehr genau die Kritisverordnung verstehen und auslegen können. - Schwellenwert
Das BSI hat für jeden Bereich spezifische Grenzwerte festgelegt, welche in der KRITIS-Verordnung 2021(https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html), die mit dem IT-Sicherheitsgesetz 2.0 geändert wurde, aufgelistet sind und bestimmen ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist.
Hinweis: Eine überschaubare Auflistung bekommen Sie auf der Webseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html - IT-Netzwerk
Die IT-Unabhängigkeit der jeweiligen Betriebe ist ebenso ein bedeutungsvoller Aspekt. Wenn ein Betrieb viele Standorte besitzt, welche alle eine individuelle IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Betrieb der kritischen Infrastruktur – irrelevant, wie riesig es in der Gesamtheit ist. Leitet ein Unternehmen die IT jedoch zentral als „gemeinsame Anlage“, ist das was anderes.
Aktuelle Herausforderungen kritischer Infrastrukturen!
Grundsätzlich sind kritische Infrastrukturen gut beschützt. Dessen ungeachtet stellen sie aufgrund deren Wichtigkeit sowie Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber auch feindliche gesetzliche Darsteller dar.
So verwundert es absolut nicht, dass in den Medien immer wieder von IT-Ausfällen oder Defekten kritischer Infrastrukturen zu erfahren ist.
So sorgte beispielsweise im Mai 2021 ein Ransomware-Zugriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der kompletten Ostküste.
Das wäre kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Gleichzeitig zeigen die Erkenntnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die vor allem auf Problematiken im Bereich Netztrennung, Notfallmanagement sowie physische Sicherheit zurückzuführen sind.
Neben Internetangriffen laufen auch Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teilweise schwerwiegenden Folgen auf die Sicherheit und das Wohlergehen der Bevölkerung einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin/Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte.
Verpflichtungen und Maßnahmen!
Um derartige Worst-Case-Szenarien zu umgehen, gilt es für Unternehmen der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu erkennen und abzuwehren.
Die gesetzmäßigen Anforderungen und Regulierungen sind dazu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, knapp BSIG und der BSI-KRITIS-Verordnung, kurz BSI-KritisV verankert.
Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet
- eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
- die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und passende organisatorische und technische IT-Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen einzubinden, vor allem ein ISO 27001 konformes Informationssicherheitsmanagementsystem (lesen Sie dazu unseren Blogartikel zum Themenbereich Datenschutz und Informationssicherheit. Klicken Sie an dieser Stelle) und so die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
- IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Störfall leiten, zu melden
- und die beschlossenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mithilfe eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen.
Stabile Netzwerke sind ein Muss!
Kritische Infrastrukturen sind für das ungehinderte Gelingen unserer Gesellschaft und Wirtschaft unerlässlich. Selbst wenn sie in der alltäglichen Perzeption nicht unbedingt immer präsent sind, ist der Schaden bei einem Ausfall umso beträchtlicher. Der problemlose Betrieb ist folglich unerlässlich.
Ferner hat das Bundesamt für Sicherheit in der EDV am 23. März 2020 die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Mit dem Anforderungskatalog stellt das Bundesamt für Sicherheit in der Informationstechnik allen Unternehmen der kritischen Infrastruktur sowie ihren Prüfern einen konkreten Bereich zur Auswahl, Durchführung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Dabei deckt der Anforderungskatalog die aufgeführten Themenbereiche ab:
- Informationsmanagementsystem
- Asset Management
- Risikoanalysemethode
- Continuity Management
- Technische Informationssicherheit
- Personelle sowie organisatorische Sicherheit
- Bauliche/ physische Sicherheit
- Vorfallserkennung und Bearbeitung
- Überprüfung im laufenden Betrieb
- Externe Informationsversorgung und Unterstützung
- Lieferanten, Dienstleistungsunternehmen und Dritte
- Meldewesen
Sind Sie ein Unternehmen der kritischen Infrastruktur noch dazu auf der Suche nach effektiven und innovativen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur durchdacht vor möglichen Bedrohungen zu beschützen? Oder haben Sie noch weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung oder kritische Infrastrukturen? Sprechen Sie uns gerne an!