Kritische Infrastruktur (KRITIS): Bedeutung und Systeme in Deutschland

In diesem Text schauen wir uns an, was KRITIS ist und welche Sektoren der deutschen Wirtschaft dazu gehören.

Was ist KRITIS: Definition und Bedeutung

Offizielle Definition nach BSI-Gesetz

Definition von kritischen Infrastruktur ist ganz leicht: Nach dem BSI-Gesetz sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Solche Bereiche können Medizin, Produktion, Elektrizität usw. sein. Und Sie haben sicher schon von den großen Unternehmen gehört, die solche Dienstleistungen anbieten: RheinEnergie, E.ON, BioNTech, Deutsche Telekom und die 112-Notrufsysteme. Das sind nur einige Kritische-Infrastruktur-Beispiele zu nennen.

KRITIS Bedeutung für Deutschland

Kritische Infrastrukturen gewährleisten die Stabilität von Schlüsselsektoren der Wirtschaft und staatliche Strukturen. Jeder Angriff, jedes technische Versagen oder jede Katastrophe in diesen Sektoren kann Millionen von Bürgern betreffen und schwere wirtschaftliche Schäden verursachen. Laut dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ ist die IT-Sicherheitslage in Deutschland weiterhin alarmierend. Deshalb hat die Bundesregierung im Dezember 2024 einen Gesetzentwurf, das sogenannte „Kritis-Dachgesetz“, vorgelegt. Es zielt darauf ab, die Widerstandsfähigkeit kritischer Einrichtungen zu stärken.

Historische Entwicklung der KRITIS-Regelungen

Die erste Rechtsgrundlage für das BSI war das Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik, das vom 1. Januar 1991 bis zum 19. August 2009 in Kraft war. Im Jahr 2009 wurde es durch das Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes abgelöst. Diese Bestimmungen bildeten die Grundlage für das aktuelle BSI-Geset

Nach nur geringfügigen Änderungen des Gebührengesetzes wurde das BSI-Gesetz durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das am 25. Juli 2015 in Kraft trat, in größerem Umfang ergänzt. Es erweiterte den Katalog der Sicherheitsaufgaben und -befugnisse. Im Jahr 2021 wurde das BSI-Gesetz durch das IT-Sicherheitsgesetz 2.0 ergänzt.

KRITIS-Sektoren und Branchen in Deutschland

Übersicht aller KRITIS-Sektoren

Ab 2025 gelten in Deutschland folgende Sektoren als kritisch:

• Energie,
• Wasser,
• Gesundheit,
• Transport und Verkehr,
• Digitale Infrastruktur,
• Finanzwesen,
• Weltraum,
• Staat (darunter öffentliche Sicherheit),
• Ernährung (Lebensmittel),
• Entsorgung,
• Post und Kurier,
• Chemie,
• Verarbeitendes Gewerbe,
• Digitale Dienste,
• Forschung.

Einige Sektoren wurden aus der KRITIS-Liste gestrichen, zum Beispiel der Kultur.

BSI-Kritisverordnung und Schwellenwerte

Die Kriterien dafür, ob eine Infrastruktur kritisch ist, sind in der BSI-Kritisverordnung beschrieben. Im Bereich der Informationstechnik und Telekommunikation sind zum Beispiel die Sprach- und Datenübertragung sowie die Datenspeicherung und -verarbeitung kritisch. Im medizinischen Bereich gehören dazu die Krankenhausversorgung, die Versorgung mit unmittelbar lebenserhaltenden medizinischen Geräten, die Verbrauchsgüter sind, die Versorgung mit verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper und die Labordiagnostik.

Beispiele kritischer Dienstleistungen

Es wird verschiedene Beispiele für verschiedene Bereiche geben:

• Energie: Kraftwerke, Stromverteilungsnetze.
• Gesundheitswesen: Krankenhäuser, medizinische Notfallsysteme.
• Finanzen: Verarbeitung von Banktransaktionen.
• Verkehr: Eisenbahnabfertigungszentren.
• IT und Kommunikation: Rechenzentren, Mobilfunkanbieter.

Rechtlicher Rahmen für KRITIS-Unternehmen

IT-Sicherheitsgesetz und BSI-Gesetz

In Deutschland regelt das BSI-Gesetz die KRITIS-Sicherheit. Es wurde durch die IT-Sicherheits­gesetze 1.0 (2015) und 2.0 (2021) erweitert. Das BSI-Gesetz sorgt dafür, dass wichtige Infrastrukturen sicher sind. Es bestimmt, was Betreiber und der Staat tun müssen.

Seit 2021 gilt das neue IT-Sicherheitsgesetz 2.0. Es gibt zusätzliche Regeln für kritische Infrastrukturen, die 2021 und 2023 erweitert wurden. Die KRITIS-Regulierung besteht aus verschiedenen Gesetzen und Verordnungen, die die Sicherheit in wichtigen Infrastrukturen verbessern sollen.

EU-Richtlinien zur Cybersicherheit

Europäische Standards sind ebenfalls wichtig. Die NIS 1 war die erste bedeutende Regelung der EU, die geschaffen wurde, um die Sicherheit von Computernetzwerken zu verbessern. Ziel war es, wichtige Dienste für die Wirtschaft und Gesellschaft der EU zu schützen. Im Jahr 2023 wurde die aktualisierte NIS2-Richtlinie veröffentlicht. Sie verschärft unter anderem die Strafen für Cybersicherheitsverstöße. Darüber hinaus ist der DORA (Digital Operational Resilience Act, 2022) zu beachten. Dieses Regelwerk legt Vorschriften zur Cybersicherheit im Finanzsektor fest.

Nationale Gesetzgebung und Standards

Neben den Gesetzen gibt es in Deutschland auch branchenspezifische Sicherheitsstandards:

• ISO 27001 – der internationale Standard für Informationssicherheit.
• BSI-Grundschutz – eine vom BSI entwickelte IT-Sicherheitsmethodik.
• KRITIS-Vorgaben – spezifische Anforderungen für kritische Infrastrukturbereiche, einschließlich regelmäßiger Audits und Penetrationstests.

Anforderungen und Pflichten der KRITIS-Betreiber

Organisatorische Sicherheitsmaßnahmen

KRITIS-Betreiber sind verpflichtet, organisatorische Sicherheitsmaßnahmen umzusetzen. Die IT-Sicherheit muss gemäß dem BSI-Grundschutz und der ISO 27001 gewährleistet und aufrechterhalten werden. Es müssen Verantwortliche für die Cybersicherheit benannt, strenge Zugangskontrollen zu kritischen Systemen und Daten eingeführt sowie regelmäßige Audits durchgeführt werden.

Technische Mindestanforderungen

Das BSI und das IT-Sicherheitsgesetz 2.0 definieren technische Mindestanforderungen. Dazu gehören:

• Segmentierung von Netzwerken, um die Ausbreitung von Angriffen zu verhindern.
• Verschlüsselung von Daten und Einsatz von Multi-Faktor-Authentifizierung.
• Monitoring und Anomalieerkennung in KRITIS-Systemen.
• Abwehr von DDoS-Angriffen und Redundanz der Kommunikationskanäle.
• Obligatorische Software-Updates und regelmäßige Patches.

Melde- und Dokumentationspflichten

KRITIS-Unternehmen sind verpflichtet, Vorfälle innerhalb von 24 Stunden an das BSI zu melden, alle Sicherheitsmaßnahmen zu dokumentieren und Auditberichte vorzulegen. Zudem müssen Protokolle der Systemaktivitäten für mindestens sechs Monate aufbewahrt und die vorgeschriebenen Prüfungen gemäß der BSI-Kritisverordnung durchgeführt werden.

Schutzkonzepte und UP KRITIS

Umsetzungsplan KRITIS im Detail

UP KRITIS (Umsetzungsplan KRITIS) ist ein öffentlich-privates BSI-Programm, das den Schutz kritischer Infrastrukturen zum Ziel hat. Im Rahmen dieses Programms werden für jeden KRITIS-Bereich Risiken und Bedrohungen ermittelt sowie Mindestsicherheitsstandards definiert. Auf dieser Grundlage werden für jeden Bereich Empfehlungen entwickelt, die dann im Rahmen von Konsultationen an die Unternehmen weitergegeben werden.

Risikomanagement-Strategien

Zu den wichtigsten Risikomanagement-Strategien gehören die Analyse von Schwachstellen in Bezug auf neue Bedrohungen, die Entwicklung von Szenarien für Cyberangriffe und das Testen von Verteidigungsmaßnahmen. Die Bewertung der Wahrscheinlichkeit von Angriffen und ihrer Folgen ist ebenfalls ein zentrales Element. Die Redundanz wichtiger IT-Systeme und Daten sollte frühzeitig eingerichtet werden.

Notfallplanung und Krisenmanagement

Um sich auf kritische Situationen vorzubereiten, sollten schnelle Einsatzteams für den Fall eines Angriffs gebildet und ein Katastrophenplan entwickelt werden. Es ist wichtig, nicht nur den Ausfall selbst, sondern auch die Wiederherstellung einzuplanen – organisieren Sie Übungen zur Wiederherstellung der Infrastruktur.

Aktuelle Bedrohungen für kritische Infrastrukturen

Cyber-Bedrohungen und Angriffe

Die häufigsten Cyberbedrohungen für KRITIS sind Ransomware- sowie DDoS-Angriffe (Überlastung der Infrastruktur), Diebstahl von Anmeldeinformationen, Supply-Chain-Angriffe (Angriffe über Zulieferer) und das Hacking von IoT-Geräten, die in KRITIS verwendet werden.

Physische Gefährdungen

Die Bedrohung kann nicht nur im digitalen, sondern auch im physischen Bereich liegen. Neben Datendiebstahl kann beispielsweise auch der Diebstahl von Geräten erfolgen. Die Deaktivierung wichtiger Infrastrukturelemente ist keine Seltenheit. Neben vorsätzlichen Angriffen können auch unkontrollierbare Katastrophen wie Feuer, Erdbeben oder Überschwemmungen auftreten.

Systemische Risiken

Zu den systemischen Bedrohungen gehört die Abhängigkeit von ausländischen Technologien und Zulieferern – wenn sich die Beziehungen zwischen Ländern ändern, kann dies zu einer kritischen Situation führen. Auch die Verflechtung kritischer Infrastrukturen stellt ein Risiko dar. Der Grund dafür ist einfach: Ein Ausfall in einem Sektor kann eine Kettenreaktion auslösen.

Behördliche Zusammenarbeit im KRITIS-Bereich

Rolle des BSI und BBK

BSI und BBK sind die wichtigsten Aufsichtsbehörden. Das Bundesamt für Sicherheit in der Informationstechnik ist für die KRITIS-Cybersicherheit zuständig, während das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe für den Zivilschutz und das Krisenmanagement verantwortlich ist.

Public-Private-Partnerships

Zu den öffentlich-privaten Initiativen in Deutschland gehören UP KRITIS, die BSI-Allianz für Cybersicherheit und ISACs (Information Sharing and Analysis Centres).

Internationale KRITIS-Kooperationen

In Deutschland beteiligen sich kritische Infrastrukturen an internationalen Initiativen wie der ENISA (European Union Agency for Cybersecurity), der NIS2-Richtlinie und dem NATO CCDCOE (Cyber Defence Centre of Excellence) – Kooperationen im Bereich der Cyberabwehr.