Kritische Infrastrukturen/KRITIS: Kritische Infrastrukturen verstehen und schützen!
Kritische Infrastrukturen sind einer der bedeutendsten Balken der deutschen Wirtschaft wie auch Gesellschaft, weswegen ihr reibungsloser Betrieb allzeit gewährleistet sein muss. Fallen sie beispielsweise wegen Internetangriffen, Havarien oder etwa technischem Scheitern aus, verzeichnet dies schlimme Auswirkungen für die Sicherheit und Versorgungslage von Deutschland. Deshalb haben die Politiker rechtliche Vorgaben und Regulierungen erlassen, um solchen kritischen Szenarien präventiv entgegenzuwirken. Was für welche das sind, wann eine Infrastruktur als „kritisch“ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.
Moderne Gesellschaften mit fortschrittlicher Dienstleistungswirtschaft sowie Industriewirtschaft machen sich über einen hohen Rang an Digitalisierung, Wendigkeit, Wettbewerbsfähigkeit und intensiver Beteiligung an der Globalisierung aus. Angesichts dessen sind zeitgemäße Firmen in immer höherem Maße von einer hochleistungsfähigen, funktionsfähigen sowie ausfallsicheren IT-Infrastruktur abhängig – das gilt vor allem für systemrelevante Unternehmen der kritischen Infrastruktur.
Doch was sind kritische Infrastrukturen genau?
Laut der offiziellen Definition des Bundesamtes für Sicherheit und Informationstechnologie, kurz BSI, wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe, kurz BBK, handelt es sich bei kritischen Infrastrukturen um die „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Die neun Sektoren der kritischen Infrastruktur!
In diesem Sinne sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung bedeutender gesellschaftlicher Eigenschaften, der Gesundheitssituation, der Sicherheit sowie des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und daher äußerst zu schützen.
Die Nationale Vorgehensweise zur Sicherheit kritischer Infrastrukturen, welche am 17. Juni 2009 vom Bundesministerium des Innern und Heimat, knapp BMI, beschlossen wurde, formuliert neun Bereiche der kritischen Infrastrukturen, in denen die IT-Systeme besonderen Schutz benötigen. Hierzu zählen
- Staat und Verwaltung
- Stromerzeugung
- EDV und Telekommunikation
- Transport und Verkehr
- Gesundheitszustand
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Medien und Kultur
Mit der Novellierung des BSIG im Jahr 2021 kam ein weiterer Bereich dazu: „Siedlungsabfallentsorgung“. Jedoch steht die Bundesebene – übergreifende Abstimmung bislang offen.
Ob ein Betrieb als problematische Infrastruktur eingestuft wird, kann bloß eine Einzelfallprüfung mit Sicherheit klären. Es existieren jedoch drei typische Ansatzpunkte, mithilfe derer eine erste Kategorisierung möglich sei.
- Kritische Dienstleistung
Eine Serviceleistung ist dann elementar, wenn sie in einem kontrollierten Bereich erbracht wird und die Fülle den Grenzwert überschreitet. Bei Krankenhäusern ist es zum Beispiel simpel: Der Schwellenwert wird auf Grundlage der „vollstationären Fälle“ geprüft und ist damit deutlich bestimmt. Aber in einigen Branchen ist es jedoch nicht so trivial wie beispielsweise in der Logistik. Hier muss ein Konsulent äußerst genau die Kritisverordnung kennen und interpretieren können. - Schwellenwert
Das BSI hat für jeglichen Bereich spezifische Grenzwerte festgesetzt, welche in der KRITIS-Richtlinie 2021, welche mit dem IT-Sicherheitsgesetz 2.0 abgeändert wurde, aufgeführt sind und bestimmen ab wann ein Betrieb der kritischen Infrastruktur zuzuordnen ist.
Verweis: Eine überschaubare Auflistung bekommen Sie auf der Internetseite: https://www.openkritis.de/it-sicherheitsgesetz/kritis-verordnung-2-0.html - IT-Netzwerk
Die IT-Unabhängigkeit der einzelnen Unternehmen ist ebenso ein bedeutungsvoller Faktor. Wenn ein Betrieb mehrere Standorte hat, welche alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen eventuell nicht als Unternehmen der kritischen Infrastruktur – irrelevant, wie riesig es in der Gesamtheit ist. Leitet ein Betrieb die IT hingegen zentral als „gemeinsame Anlage“, ist das was anderes.
Die Sicherheitslage hat sich verschärft!
Im Allgemeinen sind kritische Infrastrukturen gut beschützt. Nichtsdestotrotz stellen sie aufgrund deren Wichtigkeit und Sensibilität für Staat, Wirtschaft und Gesellschaft ein gewinnbringendes Ziel für Internetkriminelle, Terroristen, aber auch gemeine gesetzliche Akteure dar.
So überrascht es absolut nicht, dass in den Medien ständig wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist.
So sorgte beispielsweise im Mai 2021 ein Ransomware-Angriff auf eines der wichtigsten Kraftstoff-Leitungssysteme des Unternehmens Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.
Das ist kein Ausnahmefall: Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Bereiche Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den letzten Jahren deutlich zugenommen. Zeitgleich zeigen die Erkenntnisse des momentanen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik, dass in den erwähnten Branchen summa summarum 1.805 Sicherheitsmängel festgestellt wurden, welche insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement sowie physische Garantie zu begründen sind.
Neben Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Versagen oder technische Defekte mit teilweise schwerwiegenden Folgen auf die Sicherheit und das Wohlsein der Menschen einher, wie der 31-stündige Stromausfall in Berlin/Köpenick Ende Februar 2019 eindrucksvoll veranschaulichte.
Verpflichtungen und Maßnahmen!
Um solche Worst-Case-Szenarien zu umgehen, heißt es für Betriebe der kritischen Infrastruktur Gefahren und Risiken frühzeitig zu erkennen und abzuwehren.
Die gesetzmäßigen Bedingungen sowie Regulierungen sind dazu im IT-Sicherheitsgesetz 2.0 dem BSI-Gesetz, kurz BSIG und der BSI-KRITIS-Verordnung, kurz BSI-KritisV festgemacht.
Demnach sind Unternehmen der kritischen Infrastruktur dazu verpflichtet
o eine Kontaktstelle für die betriebene kritische Infrastruktur zu formulieren,
o die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und angemessene organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Problembehebungen von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren, insbesondere ein ISO 27001 konformes Informationssicherheitsmanagementsystem und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse zu garantieren.
o IT-Sicherheitsvorfälle sowie erhebliche IT-Störungen, die zu einem IT-Ausfall leiten, bekanntzugeben
o und die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen.
Kritische Infrastrukturen aufrechterhalten!
Kritische Infrastrukturen sind für das reibungslose Gelingen der Gesellschaft und Wirtschaft unerlässlich. Selbst wenn sie in der alltäglichen Perzeption nicht unbedingt immer präsent sind, ist der Schaden bei einem Störfall umso signifikanter. Der störungsfreie Betrieb ist daher notwendig.
Zudem hat das Bundesamt für Sicherheit in der Informationstechnik am 23. März 2020 die „Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen bekannt gegeben. Mit dem Anforderungskatalog bietet das Bundesamt für Sicherheit in der Informationstechnik jeglichen Betrieben der kritischen Infrastruktur und ihren Prüfern einen genauen Bereich zur Auswahl, Durchführung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Dabei deckt der Anforderungskatalog alle folgenden Bereiche ab:
o Informationsmanagementsystem
o Asset Management
o Risikoanalysemethode
o Continuity Management
o Technische Informationssicherheit
o Personelle sowie organisatorische Sicherheit
o Bauliche/ physische Sicherheit
o Vorfallserkennung sowie Bearbeitung
o Begutachtung im laufenden Betrieb
o Außerbetriebliche Informationsversorgung und Unterstützung
o Lieferanten, Dienstleistungsunternehmen und Dritte
o Meldewesen
Sind Sie ein Betrieb der kritischen Infrastruktur noch dazu auf der Suche nach wirksamen und innovativen IT-Sicherheitslösungen, mit dem Ziel, Ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Oder haben Sie noch mehr Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-Kritisverordnung oder kritische Infrastrukturen? Rufen Sie uns gerne an!
Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de