Die Abkürzung KRITIS steht für Kritische Infrastrukturen, die auf Informationstechnik basieren. Als kritisch gelten unter anderem die IT-Systeme öffentlicher Einrichtungen und privatwirtschaftlicher Unternehmen, die viele einzelne Bürgerinnen und Bürger, aber auch die Gesellschaft und den Staat als Ganzes mit notwendigen Gütern und Diensten versorgen, zum Beispiel Trinkwasser, Strom oder Zugang zu Internet oder Bargeld.
Als Betreiber einer kritischen Infrastruktur gelten Unternehmen, Organisationen und Einrichtungen, die für das Gemeinwesen eine essenzielle Rolle spielen. Ein Ausfall eines solchen Betreibers würde für die Gesellschaft schwerwiegende Folgen haben und der staatlichen Sicherheit einen empfindlichen Schlag versetzen.
Das IT-Sicherheitsgesetz und die KRITIS-Verordnung definieren die Wirtschaftssektoren, denen Betreiber kritischer Infrastrukturen zugeordnet sind. Neben Versorgern von Strom, Trinkwasser und dem Internet zählen zu den kritischen Dienstleistungen alle Wirtschaftsbereiche, deren Ausfälle das Gemeinwohl, die Volkswirtschaft und den Staatsapparat bedrohen könnten.
Zu den zentralen Versorgern zählen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) folgende 9 Sektoren und 29 untergeordnete Branchen:
* Diese Sektoren unterfallen nicht den gesetzlichen Verpflichtungen aus BSI-Gesetz und BSI-Kritisverordnung.
In Deutschland zählen aktuell ca. 1.700 Unternehmen zu den KRITIS.
Anders als andere Unternehmen und Einrichtungen müssen kritische Dienstleister Mindestanforderungen an ihre IT-Sicherheit erfüllen. Außerdem besteht eine gesonderte Pflicht, dem BSI „erhebliche IT-Sicherheitsvorfälle” zu melden. Diese rechtlichen Pflichten ergeben sich aus dem IT-Sicherheitsgesetz (IT-SiG).
Im Zuge einer bevorstehenden Gesetzesnovellierung (IT-SiG 2.0) sollen eben diese Pflichten nach und nach ausgeweitet werden. Lesen Sie mehr dazu im Abschnitt weiter unten.
Gerade bei verbundenen Unternehmen entlang der Lieferkette oder Mischunternehmen, die mehreren Branchen angehören, ist die Kategorisierung als Betreiber für das staatliche Gemeinwesen nicht immer eindeutig.
Entscheidend ist aber: Die gesetzlichen Anforderungen an die IT-Sicherheit sind für kritische Dienstleister wesentlich höher.
Außerdem muss ihre Umsetzung jährlich nachgewiesen werden, um ihre Widerstandsfähigkeit zu gewährleisten. Der damit verbundene Aufwand (und die Strafen bei Missachtungen der Vorgaben) stellen Firmen und Einrichtungen somit vor personelle, finanzielle und rechtliche Herausforderungen, die einkalkuliert werden müssen.
Die Verordnung gilt seit 2016 und beinhaltet den rechtlichen Rahmen für die Definition eines Betreibers kritischer Infrastrukturen – unterteilt nach Sektoren. Anhand von Schwellenwerten (z. B. Marktanteil) im Anhang der Verordnung können Unternehmen sich also einem Selbsttest unterziehen.
Hier finden Sie die offiziellen Informationen als PDF.
Durch den Ausbau der Gesetze übernimmt der Staat mehr und mehr Kontrollfunktionen. Für die Compliance der deutschen Infrastruktur sind somit gleich mehrere Bundesbehörden zuständig:
Nicht zuletzt sind aber die Betreiber selbst in der Pflicht, die Sicherheit ihrer Systeme rechtskonform und auf dem Stand der Technik abzusichern. Die Behörden prüfen bislang lediglich die Umsetzung dieser Pflichten.
Allerdings verspricht der Referentenentwurf des zweiten IT-Sicherheitsgesetzes eine umfangreiche Ausweitung dieser Behördenaufgaben.
Das bestehende IT-Sicherheitsgesetz soll inklusive einiger großer Ergänzungen novelliert werden. Seit dem Mai 2021 wurde das Gesetz vom deutschen Bundestag gebilligt und ist damit offiziell in Kraft getreten. Eines seiner Kernbereiche betrifft auch ganz besonders KRITIS-Betreiber.
IT-SiG 2.0 erweiterte im Mai 2021 das Gesetz um den Wirtschaftssektor Abfall und Entsorgung, der nun als zusätzliche kritische Infrastruktur gilt. Weiterhin gehört die neue Kategorie „Infrastrukturen oder Teile davon im besonderen öffentlichen Interesse nun zum erweiterten Gesetztesrahmen.
Konkret gemeint sind damit die Rüstungsindustrie, Medien und Kultur sowie Unternehmen von erheblicher Bedeutung, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden.
Weiterhin darf das BSI im Einzelfall Anlagen oder Teile davon als essentielle Dienstleistungen kategorisieren und ihnen dieselben gesetzlichen Pflichten auferlegen. Die betroffenen Unternehmen werden aufgrund ihrer so genannten Cyber-Kritikalität, nicht aber aufgrund ihrer Sektorenzugehörigkeit der kritischen Infrastruktur zugeordnet.
Konkret bedeutet das, sie sind sensible Ziele für mögliche Cyber-Attacken in der Zukunft.
Im Entwurf heißt es, dass „Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, insbesondere wegen des hohen Grades an Vernetzung der eingesetzten Informationstechnik, zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der betroffenen Dienstleistung insgesamt führen würden”.
Die Auflagen des bisherigen IT-Sicherheitsgesetzes sollen ausgeweitet werden auf alle unabdingbaren Kernkomponente. Als Kernkomponente gelten alle IT-Produkte, die dem Betrieb kritischer Infrastrukturen dienen und zu diesem Zweck entwickelt oder geändert werden.
Dazu zählen laut Gesetzesentwurf zum Beispiel die Steuerungstechnik der Anlagen von Trinkwasserversorgern, ein Laborinformationssystem oder die Netzleittechnik eines Stromversorgers.
Außerdem werden künftig die Hersteller der Komponenten genau wie die Betreiber selbst dazu verpflichtet sein, dem BSI Störungen oder Ausfälle zu melden.
Um die Lieferkette der kritischen Infrastuktur ganzheitlich abzusichern, enthält der Entwurf weiterhin die Pflicht für Komponentenhersteller, eine Vertrauenswürdigkeitserklärungen vor dem erstmaligen Einsatz der Komponenten gegenüber den Betreibern abzugeben.
Die Mindestanforderungen an eine solche Erklärung sind im Entwurf nicht enthalten.
Einer der größten Veränderungen verspricht die Ausweitung der Aufgaben und Rechte des Bundesamtes für Sicherheit in der Informationstechnik.
So darf es laut Referentenentwurf „zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes oder eines Betreibers einer Kritischen Infrastruktur oder für eine Infrastruktur im besonderen öffentlichen Interesse gegenüber Diensteanbietern in begründeten Ausnahmefällen die Umsetzung erforderlicher technischer und organisatorischer Vorkehrungen zur Sicherstellung der Schutzgüter […] anordnen”.
Eine Änderung des Strafgesetzbuches sieht außerdem vor, dass Cyber-Attacken gegen kritische Dienstleister mit einer Freiheitsstrafe von mindestens einem Jahr geahndet werden.
Betreiber kritischer Infrastrukturen müssen dem BSI eine Kontaktstelle benennen, die jederzeit erreichbar ist.
Das BSI soll künftig für kritische Infrastruktur und Betreiber von Anlagen im besonderen öffentlichen Interesse Krisenreaktionspläne entwerfen.
Für alle Unternehmen, nicht nur für die kritische Infrastruktur, verschärfen sich außerdem die Strafgelder. Nach Vorbild der DSGVO sollen Verstöße gegen die gesetzlichen Richtlinien des IT-SiG 2.0 mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden.
Die aktuelle Version des IT-Sicherheitsgesetzes deckelt die Maximalstrafe bei 100.000 Euro.
Der UP KRITIS (Umsetzungsplan Kritische Infrastrukturen) ist eine öffentlich-private Partnerschaft aus essentiellen Betreibern, Verbänden und verantwortlichen staatlichen Einrichtungen. Als zentrales Ziel ist die Kooperation zur Verbesserung der Stabilität und Widerstandskraft der wichtigsten Dienstleister definiert.
Potenzielle Teilnehmer an UP KRITIS profitieren von einem gemeinsamen Krisenmanagement für IT-Systeme, dem Austausch von Informationen und Erfahrungen bei den Themen Cyber-Sicherheit und Cyber-Risiken.
Das gemeinsame Lernen, Üben und Vorbereiten soll Störungsfällen vorbeugen und Reaktionszeiten verkürzen. Dazu werden Arbeitskreise gebildet, die sowohl branchenspezifische als auch branchenübergreifende Themen abbilden. Die Aufnahme in die Arbeitskreise erfolgt per Antrag beim BSI.
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte einen Flyer, der alle wichtigen Informationen für Interessierte zusammenfasst.
Die besonderen Pflichten der Bertreiber bedeuten natürlich auch besondere Anforderungen für die eingesetzte Sicherheitslösung. Cybersecurity-Unternehmen müssen zwingend dem hohen Anforderungskatalogs des Bundesamts für Informationstechnik (BSI) gerecht werden.
Der patentierte Link11 DDoS-Schutz und das Link11 Security Operations Center erfüllen eben diese strengen Vorschriften in allen Belangen. Damit ist Link11 ein offiziell BSI-zertifizierter Sicherheitsanbieter und kann zum Schutz von kritische Dienstleistungen eingesetzt werden.
