Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

KRITIS: Was sind Kritische Infrastrukturen?

03.03.2020        IT-Sicherheit
KRITIS: Was sind Kritische Infrastrukturen?
Shutterstock ID 1230247867

Die Abkürzung KRITIS steht für Kritische Infrastrukturen, die auf Informationstechnik basieren. Als kritisch gelten unter anderem die IT-Systeme öffentlicher Einrichtungen und privatwirtschaftlicher Unternehmen, die viele einzelne Bürgerinnen und Bürger, aber auch die Gesellschaft und den Staat als Ganzes mit notwendigen Gütern und Diensten versorgen, zum Beispiel Trinkwasser, Strom oder Zugang zu Internet oder Bargeld. Gleichzeitig würden Störungen oder Totalausfälle dieser Betreiber zu Versorgungsengpässen und Gefahren für die allgemeine Sicherheit führen.

Wer gilt als KRITIS-Betreiber?

Eine simple Antwort auf diese Frage gibt es aktuell leider nicht, denn der Gesetzgeber bietet bisher keine klare Definition für das einzelne Unternehmen. 

KRITIS-Sektoren

Das IT-Sicherheitsgesetz und die KRITIS-Verordnung definieren die Wirtschaftssektoren, denen Betreiber kritischer Infrastrukturen zugeordnet sind. Neben Versorgern von Strom, Trinkwasser und dem Internet zählen zu den KRITIS alle Wirtschaftsbereiche, deren Ausfälle das Gemeinwohl, die Volkswirtschaft und den Staatsapparat bedrohen könnten. Zu den zentralen Versorgern zählen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) folgende 9 Sektoren und 29 untergeordnete Branchen

  • Energie
    • Elektrizität
    • Gas
    • Mineralöl
  • Ernährung
    • Ernährungswirtschaft
    • Lebensmittelhandel
  • Finanz- und Versicherungswesen
    • Banken
    • Börsen
    • Finanzdienstleister
    • Versicherer
  • Gesundheit
    • Arzneimittel und Impfstoffe
    • Labore
    • Medizinische Versorgung
  • Informationstechnik und Telekommunikation
    • Informationstechnik
    • Telekommunikation
  • Medien und Kultur*
    • Kulturgut
    • Printmedien und digitale Presse
    • Rundfunk, Radio und Fernsehen
    • Symbolträchtige Bauwerke
  • Transport und Verkehr
    • Binnenschifffahrt
    • Logistik
    • Luftfahrt
    • Schienenverkehr
    • Seeschifffahrt
    • Straßenverkehr
  • Staat und Verwaltung*
    • Justizeinrichtungen
    • Notfall-/Rettungswesen und Katastrophenschutz
    • Parlament
    • Regierung und Verwaltung
  • Wasser
    • Öffentliche Abwasserbeseitigung
    • Öffentliche Wasserversorgung

* Diese Sektoren unterfallen nicht den gesetzlichen Verpflichtungen aus BSI-Gesetz und BSI-Kritisverordnung.

In Deutschland zählen aktuell ca. 1.700 Unternehmen zu den KRITIS.

Welche besonderen Pflichten gelten für die IT-Sicherheit von kritischen Infrastrukturen?

Anders als andere Unternehmen und Einrichtungen müssen KRITIS-Betreiber Mindestanforderungen an ihre IT-Sicherheit erfüllen. Außerdem besteht eine gesonderte Pflicht, dem BSI „erhebliche IT-Sicherheitsvorfälle” zu melden. Diese rechtlichen Pflichten ergeben sich aus dem IT-Sicherheitsgesetz (IT-SiG).  Im Zuge einer bevorstehenden Gesetzesnovellierung (IT-SiG 2.0) sollen eben diese Pflichten nach und nach ausgeweitet werden. Lesen Sie mehr dazu im Abschnitt weiter unten.

Gehört mein Unternehmen zu den KRITIS?

Gerade bei verbundenen Unternehmen entlang der Lieferkette oder Mischunternehmen, die mehreren Branchen angehören, ist die Kategorisierung als KRITIS nicht immer eindeutig, aber entscheidend: Die gesetzlichen Anforderungen an die IT-Sicherheit sind für KRITIS-Betreiber wesentlich höher. Außerdem muss ihre Umsetzung jährlich nachgewiesen werden, um ihre Widerstandsfähigkeit zu gewährleisten. Der damit verbundene Aufwand (und die Strafen bei Missachtungen der Vorgaben) stellen Firmen und Einrichtungen somit vor personelle, finanzielle und rechtliche Herausforderungen, die einkalkuliert werden müssen.

BSI-Kritisverordnung (BSI-KritisV)

Die Verordnung gilt seit 2016 und beinhaltet den rechtlichen Rahmen für die Definition eines Betreibers kritischer Infrastrukturen – unterteilt nach Sektoren. Anhand von Schwellenwerten (z. B. Marktanteil) im Anhang der KritisV können Unternehmen sich also einem Selbsttest unterziehen. Hier finden Sie die Verordnung als PDF.

Wer überwacht die Sicherheit von KRITIS?

Durch den Ausbau der Gesetze übernimmt der Staat mehr und mehr Kontrollfunktionen. Für die Compliance der deutschen KRITIS sind somit gleich mehrere Bundesbehörden zuständig:

1. Bundesamt für Sicherheit in der Informationstechnik (BSI): Hauptverantwortlich für KRITIS-Schutz auf Bundesebene

2. Bundesministerium des Innern, für Bau und Heimat (BMI): Koordination der Arbeit der Bundesämter 

3. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Betreut Projekte, die kritische Infrastrukturen sicherer machen

Nicht zuletzt sind aber die KRITIS-Betreiber selbst in der Pflicht, die Sicherheit ihrer Systeme rechtskonform und auf dem Stand der Technik abzusichern. Die Behörden prüfen bislang lediglich die Umsetzung dieser Pflichten. Allerdings verspricht der Referentenentwurf des zweiten IT-Sicherheitsgesetzes eine umfangreiche Ausweitung dieser Behördenaufgaben.

KRITIS und IT-Sicherheitsgesetz 2.0

Das bestehende IT-Sicherheitsgesetz soll inklusive einiger großer Ergänzungen novelliert werden. Seit dem Frühjahr 2019 liegt der Referentenentwurf für IT-SiG 2.0 vor und soll 2020 verabschiedet werden. Eines seiner Kernbereiche betrifft auch die KRITIS-Betreiber. 

KRITIS werden erweitert

IT-SiG 2.0 wird voraussichtlich den Wirtschaftssektor Abfall und Entsorgung als zusätzliche kritische Infrastruktur kategorisieren. Weiterhin erwähnt der Entwurf die neue Kategorie „Infrastrukturen oder Teile davon im besonderen öffentlichen Interesse“. Konkret gemeint sind damit die Rüstungsindustrie, Medien und Kultur sowie Unternehmen von erheblicher Bedeutung, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden.

Cyber-Kritikalität

Weiterhin darf das BSI im Einzelfall Anlagen oder Teile davon als KRITIS kategorisieren und ihnen dieselben gesetzlichen Pflichten auferlegen. Die betroffenen Unternehmen werden aufgrund ihrer so genannten Cyber-Kritikalität, nicht aber aufgrund ihrer Sektorenzugehörigkeit den KRITIS zugeordnet. Konkret bedeutet das, sie sind sensible Ziele für mögliche Cyber-Attacken in der Zukunft. Im Entwurf heißt es, dass „Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, insbesondere wegen des hohen Grades an Vernetzung der eingesetzten Informationstechnik, zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der betroffenen Dienstleistung insgesamt führen würden”.

KRITIS-Kernkomponenten

Die Auflagen des bisherigen IT-Sicherheitsgesetzes sollen ausgeweitet werden auf alle KRITIS-Kernkomponenten. Als Kernkomponente gelten alle IT-Produkte, die dem Betrieb kritischer Infrastrukturen dienen und zu diesem Zweck entwickelt oder geändert werden. Dazu zählen laut Gesetzesentwurf zum Beispiel die Steuerungstechnik der Anlagen von Trinkwasserversorgern, ein Laborinformationssystem oder die Netzleittechnik eines Stromversorgers. 

Außerdem werden künftig die Hersteller der Komponenten genau wie die Betreiber selbst dazu verpflichtet sein, dem BSI Störungen oder Ausfälle zu melden.

Vertrauenswürdigkeitserklärung der Komponentenhersteller

Um die Lieferkette der KRITIS ganzheitlich abzusichern, enthält der Entwurf weiterhin die Pflicht für Komponentenhersteller, eine Vertrauenswürdigkeitserklärungen vor dem erstmaligen Einsatz der Komponenten gegenüber den KRITIS-Betreibern abzugeben. Die Mindestanforderungen an eine solche Erklärung sind im Entwurf nicht enthalten.

Ausweitung der BSI-Befugnisse

Einer der größten Veränderungen verspricht die Ausweitung der Aufgaben und Rechte des Bundesamtes für Sicherheit in der Informationstechnik. So darf es laut Referentenentwurf „zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes oder eines Betreibers einer Kritischen Infrastruktur oder für eine Infrastruktur im besonderen öffentlichen Interesse gegenüber Diensteanbietern in begründeten Ausnahmefällen die Umsetzung erforderlicher technischer und organisatorischer Vorkehrungen zur Sicherstellung der Schutzgüter […] anordnen”.

Eine Änderung des Strafgesetzbuches sieht außerdem vor, dass Cyber-Attacken gegen KRITIS mit einer Freiheitsstrafe von mindestens einem Jahr geahndet werden.

KRITIS-Kontaktstelle

KRITIS müssen dem BSI eine Kontaktstelle benennen, die jederzeit erreichbar ist.

Krisenreaktionspläne 

Das BSI soll künftig für KRITIS und Betreiber von Anlagen im besonderen öffentlichen Interesse Krisenreaktionspläne entwerfen. 

Mögliche Geldbußen

Für alle Unternehmen, nicht nur KRITIS, verschärfen sich außerdem die Strafgelder. Nach Vorbild der DSGVO sollen Verstöße gegen die gesetzlichen Richtlinien des IT-SiG 2.0 mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Die aktuelle Version des IT-Sicherheitsgesetzes deckelt die Maximalstrafe bei 100.000 Euro. 

Was ist UP KRITIS?

Der UP KRITIS (Umsetzungsplan Kritische Infrastrukturen) ist eine öffentlich-private Partnerschaft aus KRITIS-Betreibern, Verbänden und verantwortlichen staatlichen Einrichtungen. Als zentrales Ziel ist die Kooperation zur Verbesserung der Stabilität und Widerstandskraft der KRITIS definiert. Potenzielle Teilnehmer an UP KRITIS profitieren von einem gemeinsamen Krisenmanagement für IT-Systeme, dem Austausch von Informationen und Erfahrungen bei den Themen Cyber-Sicherheit und Cyber-Risiken. Das gemeinsame Lernen, Üben und Vorbereiten soll Störungsfällen vorbeugen und Reaktionszeiten verkürzen. Dazu werden Arbeitskreise gebildet, die sowohl branchenspezifische als auch branchenübergreifende Themen abbilden. Die Aufnahme in die Arbeitskreise erfolgt per Antrag beim BSI. 

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte einen Flyer zu UP KRITIS, der alle wichtigen Informationen für Interessierte zusammenfasst.

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter