Kritische Infrastrukturen (KRITIS) und Sicherheit

Kritische Infrastrukturen (KRITIS) und Sicherheit

Die Bundesregierung trägt mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz) dazu bei, deutsche IT-Systeme und digitale Infrastrukturen zu den sichersten Systemen der Welt zu machen. Insbesondere im Bereich der kritischen Infrastruktur (KRITIS) wie Strom- und Wasserversorgung, Finanzen oder Ernährung wird das Versagen oder die Beeinträchtigung von Versorgungsleistungen erhebliche Auswirkungen auf die deutsche Wirtschaft, den Staat und die Gesellschaft haben. Daher spielen Verfügbarkeit und Sicherheit von IT-Systemen eine wichtige Kernrolle, insbesondere im Bereich der kritischen Infrastruktur.

 

Kritische Infrastrukturen müssen geschützt werden

Die EU, Deutschland und die USA haben Kritische Infrastrukturen definiert. "Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Nach dem IT-Sicherheitsgesetz müssen Betreiber kritischer Infrastrukturen (KRITIS) ihre Netzwerke besser schützen.

Kritische Infrastrukturen KRITIS Rechenzentrum Reinigung, Serverraum reinigen, IT-Sicherheit durch Sauberkeit

Als kritisch wird jede Unternehmung betrachtet, die bei Ausfall oder Beeinträchtigung Auswirkungen für das öffentliche Leben hat oder haben kann. Hierzu zählen auch Teile von diesen Strukturen. Betreiber Kritischer Infrastrukturen sind nach dem IT-Sicherheitsgesetz verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern. Das Bundesministerium des Innern (BMI) legt fest, welche Einrichtungen, Systeme oder Teile davon gemäß der Rechtsverordnung (Artikel 10 Absatz 1 BSIG) als kritische Infrastruktur gelten. Ihre Betreiber sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Informationstechnischen Systeme, Komponenten oder Prozesse unter Berücksichtigung der Standes der Technik sicherzustellen.

 

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

Das deutsche BSI-Gesetz (BSIG) enthält Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik.

Die Aufgabendetails umfassen z. B.

  • Verteidigung gegen Bedrohungen der Sicherheit der Informationstechnologie des Bundes
  • Sammeln und bewerten der Informationen zu Sicherheitsrisiken und -vorkehrungen
  • Untersuchen von Sicherheitsrisiken beim Einsatz von Informationstechnologie und entwickeln von Sicherheitsvorkehrungen
  • Entwicklung von Standards, Verfahren und Tools zum Testen und Bewerten der Security von Informationstechnologiesystemen
  • Testen und bewerten der Security von Informationstechnologiesystemen
  • Herstellung von Schlüsseldaten und der Betrieb von Verschlüsselungs- und Sicherheitsmanagementsystemen, die in Informationssicherheitssystemen des Bundes verwendet werden

 

KRITIS - Kritische Infrastrukturen und IT-Sicherheit

IT-Sicherheit bezieht sich auf technische und organisatorische Maßnahmen um IT-Vorfälle aus Sicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verhindern, IT-Aktivitäten und sichere Abläufe zu erfassen, zu bewerten und in Informationssicherheit zu sensibilisieren. Neben der IT-Sicherheit wird auch die IT-Umgebung berücksichtigt.

KRITIS = kritische Infrastrukturen: Im Sinne der EU-Richtlinie sind KRITIS Anlagen oder Systeme, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen sind. Die Störung oder Zerstörung dieser kritischen Infrastrukturen hätte im Bereich der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung erhebliche negative Auswirkungen.

Kritische Infrastrukturen in Deutschland: Bereiche der KRITIS nach BSI-KritisV

Typische Branchen sind in entsprechenden Vorschriften und Gesetzen aufgeführt und weitgehend konsistent. Wir alle wissen, dass beispielsweise eine Unterbrechung der Stromversorgung unmittelbare Auswirkungen hat, sodass Strom auch eine wichtige Infrastruktur darstellt.

  • Energie: Elektrizität, Gas, Mineralöl
  • Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel
  • Informationstechnik und Telekommunikation
  • Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
  • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
  • Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
  • Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
  • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

 

IT und Informationssicherheit sind ein unverzichtbarer Bestandteil des Betrieblichen Kontinuitätsmanagements (BCM)

Die verschiedenen Teile dieser kritischen Infrastrukturen werden kaum berücksichtigt, da hier alle Unternehmen und Behörden berücksichtigt werden, die mit dieser kritischen Infrastruktur arbeiten oder ihre Daten verarbeiten, sowie alle Unternehmen, die für sie arbeiten (Subunternehmer). Bis zum letzten Glied in der Kette.

Beispiel Stromversorgung: Wenn Unternehmen selbst nicht direkt an der Stromerzeugung und Stromversorgung beteiligt sind, sondern einen anderen wesentlichen Teil für die Funktion der KRITIS-Organisation erfüllen, z.B. IT-Service, Dienstleistungen, Ersatzteile, ohne den die KRITIS-Organisation nicht oder nur sehr schlecht funktionieren würde, zählen auch sie als Teil von diesen kritischen Infrastrukturen.

Sie können leicht selbst überprüfen, ob Sie als Unternehmen zur kritischen Infrastruktur zählen. Im Zweifelsfall werden Sie dies von Ihren Kunden erfahren, wenn diese als Nachweis eine Zertifizierung verlangen. Solange jeder die Anforderungen erfüllt, können Sie mit jedem zusammenarbeiten. Wenn die Kette an einer Stelle unterbrochen wird, kommt es zum Dominoeffekt. Aufgrund eines Ausfalls kommt die komplette Lieferkette zum Stillstand, was schwerwiegende wirtschaftliche Folgen haben kann.

Sie sollten dieses Risiko nicht eingehen, sondern sich selbst und die Unternehmen, mit denen Sie zusammenarbeiten, überprüfen. Möglicherweise arbeitet Ihr Subunternehmen mit anderen Unternehmen in verschiedenen Ketten zusammen. Nehmen Sie Datenschutz und Security zu in Ihrem eigenen Interesse ernst. Der Datenschutz wird in fast allen Gesetzen erwähnt, daher auch zwangsläufig die Security, was zu den gesetzlichen Anforderungen führt.

Alle Prozesse im Unternehmen hängen zum Teil von der IT ab oder werden von der IT unterstützt. Allein aus diesem Grund sind IT und Informationssicherheit ein unverzichtbarer Bestandteil des Betrieblichen Kontinuitätsmanagements (BCM) und Nachlässigkeit wird zur nachhaltigen Störung des BCM führen.

 

IT-Sicherheitsvorfälle können dramatische Auswirkungen haben

Die Informationssicherheit wird aus verschiedenen Standards abgeleitet, die nicht unbedingt den Gesetzen, ISO-Standards, BSI-Empfehlungen, Richtlinien der Handelskammer, professionellen Richtlinien und anderen entsprechen. Gesetzliche Anforderungen und Datenschutz können nicht immer perfekt kombiniert werden. IT-Sicherheitsvorfälle können dramatische Auswirkungen haben. Aus diesem Grund ist die IT-Sicherheit wichtig, um mögliche Schäden so weit wie möglich auszuschließen. Möglich Arten und Ausprägungen von Schäden müssen rechtzeitig erkannt und minimiert werden.

Technik ist bei der Security nur die halbe Miete, Technologie allein kann keine Sicherheit schaffen. Organisatorische Maßnahmen sind unerlässlich. Was nützt die beste Technik, wenn sie an anderer Stelle ausgehebelt wird. Ein Beispiel ist Staub im Serverraum. Wenn die Räumlichkeiten nicht regelmäßig gesäubert werden oder unsachgemäße Bauarbeiten ohne Staubschutz durchgeführt werden, fällt eine Menge Baustaub an und die IT-Geräte der zentralen IT-Infrastruktur saugen sich diese Stäube ein.

 

Mehr Security durch Sauberkeit im Rechenzentrum

Sie gewinnen durch die Investition die Rechenzentrum Reinigung eine deutlich höhere IT-Sicherheit. Staub in den IT-Geräten wie Server, Storages, Switches und Komponenten verhindert einen optimalen Einsatz Ihrer IT und bedeutet möglicherweise Minderung der Ausfallsicherheit, Lebensdauer und Werterhaltung. Bei der Rechenzentrum Reinigung wird das größte Risiko entfernt. Die meisten Sicherheitsvorfälle erfolgen nicht von außen, sondern von innen. Wir bieten mehr Security durch Sauberkeit im Serverraum.

 

Reinigung der IT in kritischen Infrastrukturen (KRITIS)

 

Weitere Links, Informationen und Quellen:

Bundesamt für Sicherheit in der Informationstechnik (BSI): Kritische Infrastrukturen

KRITIS, kritische Infastrukturen (Wikipedia)

Schutz Kritischer Infrastrukturen (BSI)

Partner beim Schutz Kritischer Infrastrukturen, Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

KRITIS Zertifizierung DEKRA Deutschland

KRITIS Zertifizierung TÜV Nord

 

Details

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Staub und Verschmutzung.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub Kontamination kommt, stehen Organisationen und Unternehmen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Sauberkeit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Informationen zu Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Support Center Dust Concentration ISO 14644 - 1 Class 8

BSI Infos Edition 2021

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-Standard 200-3 Risikomanagement

BSI Standard 200-4 Business Continuity Management - Community Draft

BSI Standard 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz. In 3 Schritten zur Informationssicherheit

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeiner Server

INF.2:Rechenzentrum sowie Serverraum

Checklisten zum IT-Grundschutz-Kompendium

IT-Sicherheit News der DATAKONTEXT GmbH

News zur IT-Sicherheit der Haufe-Lexware GmbH & Co. KG

BMWi: Initiative IT-Sicherheit

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO und Informationssicherheit ist Sauberkeit im Rechenzentrum oder Serverraum kein Zustand, sondern ein kontinuierlicher Prozess."