Kritische Infrastrukturen
Kritische Infrastrukturen sind einer der bedeutendsten Balken der deutschen Ökonomie und Gesellschaft, weshalb deren problemloser Betrieb allzeit gewährleistet sein sollte. Setzen sie zum Beispiel infolge von Internetangriffen, Havarien oder etwa technischem Versagen aus, hat dies verheerende Auswirkungen für die Sicherheit und Versorgungslage des Landes. Deshalb haben die Politiker juristische Anforderungen sowie Regulierungen erlassen, um solch gefährlichen Szenarien vorbeugend aus dem Weg zu gehen.
Welche das sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Firmen der kritischen Infrastruktur gegenüberstehen, lesen Sie in unserem folgenden Blogbeitrag.
Moderne Gesellschaften mit hochentwickelter Dienstleistungswirtschaft sowie Industriewirtschaft machen sich über einen hohen Rang an Digitalisierung, Wendigkeit, Wettbewerbsfähigkeit sowie starker Beteiligung an der Liberalisierung des Welthandels aus. In Anbetracht dieser Tatsache sind zeitgemäße Firmen immer mehr von einer hochleistungsfähigen, funktionsfähigen und ausfallsicheren IT-Infrastruktur bestimmt – das gilt vor allem für systemrelevante Firmen der kritischen Infrastruktur.
Doch was sind kritische Infrastrukturen präzise?
Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, wie auch des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, kurz BBK, handelt es sich bei kritischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Die neun Sektoren der kritischen Infrastruktur!
In diesem Sinne sind private sowie staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Sicherheit und des ökonomischen oder auch sozialen Wohlergehens der Einwohner elementar –
und daher äußerst schützenswert.
Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat, knapp BMI, beschlossen wurde, formuliert 9 Sektoren der kritischen Infrastrukturen, in denen die IT-Systeme besonderen Schutz brauchen.
Dazu gehören
1. Staat und Verwaltung
2. Energieversorgung
3. Informationstechnik und auch Telekommunikation
4. Beförderung sowie Verkehr
5. Gesundheit
6. Wasser
7. Ernährungsweise
8. Finanz- und Versicherungswesen
9. Medien plus Kultur
Mit der Gesetzesänderung des BSIG im Jahr 2021 kam ein neuer Sektor hinzu: „Siedlungsabfallentsorgung“. Jedoch steht die Bundesebene – übergreifende Absprache noch aus.
Ob ein Betrieb als kritische Infrastruktur gewertet wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch drei typische Ansatzpunkte, anhand derer eine erste Kategorisierung realisierbar sei.
1. Kritische Dienstleistung
Eine Dienstleistung ist dann kritisch, wenn diese in einem regulierten Sektor geleistet wird und die Menge den Grenzwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Schwellenwert wird auf Grundlage der „vollstationären Fälle“ geprüft und ist dadurch deutlich bestimmt. Aber in einigen Branchen ist es hingegen nicht so trivial wie zum Beispiel in der Logistik. In diesem Fall muss ein Berater äußerst gründlich die Kritisverordnung kennen und interpretieren können.
2. Schwellenwert
Das BSI hat für jeglichen Bereich spezifische Schwellenwerte festgelegt, die in der KRITIS-Verordnung 2021, welche mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgeführt sind und bestimmen ab welchem Zeitpunkt ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist.
Verweis: Eine überschaubare Aufzählung finden Sie auf der Webseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html
3. IT-Netzwerk
Die IT-Unabhängigkeit der einzelnen Unternehmen ist ebenso ein aussagekräftiger Faktor. Wenn ein Betrieb mehrere Standorte besitzt, welche alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Unternehmen der kritischen Infrastruktur – egal, wie groß es insgesamt ist. Betreibt ein Betrieb die IT jedoch zentral als „gemeinsame Anlage“, ist das was anderes.
Aktuelle Herausforderungen kritischer Infrastrukturen!
Grundsätzlich sind kritische Infrastrukturen gut beschützt. Nichtsdestotrotz stellen sie aufgrund ihrer Wichtigkeit sowie Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Geschäft für Internetkriminelle, Terroristen oder aber sogar feindliche gesetzliche Darsteller dar.
Somit verwundert es absolut nicht, dass in der Presse immer mehr von IT-Ausfällen oder Defekten kritischer Infrastrukturen zu lesen ist.
So sorgte zum Beispiel im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Unternehmens Colonial Pipeline in den USA temporär für Treibstoffengpässe an der kompletten Ostküste.
Das ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren deutlich zugenommen. Zeitgleich zeigen die Ergebnisse des momentanen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den genannten Gebieten summa summarum 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Garantie zurückzuführen sind.
Nebst Internetangriffen laufen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Defekte mit teilweise schwerwiegenden Auswirkungen auf die Sicherheit und das Wohlergehen der Bevölkerung einher, wie der 31-stündige Versorgungsausfall vom Strom in Berlin/Köpenick Ende Februar 2019 beachtlich zeigte.
Verpflichtungen und Maßnahmen!
Um solche Worst-Case-Szenarien zu umgehen, heißt es für Betriebe der kritischen Infrastruktur Gefahren und Risiken sehr früh zu ermitteln und abzuwehren.
Die gesetzmäßigen Anforderungen sowie Regulierungen sind dazu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSIG sowie der BSI-KRITIS-Verordnung, kurz BSI-KritisV festgemacht.
Demnach sind Unternehmen der kritischen Infrastruktur dazu verpflichtet
- eine Kontaktstelle für die funktionierende kritische Infrastruktur zu benennen,
- die IT-Sicherheit auf den „Stand der Technik“ anzupassen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Erkennung und Problem Behebungen von IT-Sicherheitsvorfällen oder IT-Problemen einzubinden, vor allem ein ISO 27001 konformes Informationssicherheitsmanagementsystem und so die Verfügbarkeit, Vertraulichkeit, Integrität sowie Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.
- IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Ausfall führen, zu melden
- und die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mithilfe eines Prüfberichts gegenüber dem Bundesamt für Sicherheit in der EDV zu belegen.
Kritische Infrastrukturen aufrechterhalten!
Kritische Infrastrukturen sind für das reibungslose Funktionieren der Gesellschaft und Ökonomie unabkömmlich. Selbst im Falle, dass sie in der alltäglichen Wahrnehmung nicht unbedingt immer zugegen sind, ist der Schaden bei einem Störfall umso beträchtlicher.
Der störungsfreie Betrieb ist folglich unerlässlich.
Zudem hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen veröffentlicht.
Mit dem Anforderungskatalog stellt das Bundesamt für Sicherheit in der EDV allen Unternehmen der kritischen Infrastruktur und ihren Gutachtern einen genauen Rahmen zur Wahl, Umsetzung und Auswertung aller IT-Sicherheitsmaßnahmen, die im Kontext der IT-Sicherheit umzusetzen sind. Dabei deckt der Anforderungskatalog die aufgeführten Themenbereiche ab:
- Informationsmanagementsystem
- Asset Management
- Risikoanalysemethode
- Continuity Management
- Technische Informationssicherheit
- Personelle und organisatorische Sicherheit
- Bauliche/ physische Absicherung
- Vorfalls Erkennung und Bearbeitung
- Überprüfung im aktiven Betrieb
- Externe Informationsversorgung sowie Unterstützung
- Lieferanten, Dienstleistungsunternehmen und Dritte
- Meldewesen
Sind Sie ein Betrieb der kritischen Infrastruktur und auf der Suche nach wirksamen und innovativen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur intelligent vor möglichen Bedrohungen zu beschützen?
Oder haben Sie noch weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritis Verordnung und kritische Infrastrukturen?
Nehmen Sie gerne hierzu Kontakt mit uns auf!