Kritische Infrastruktur (KRITIS): Schutz für Gesellschaftsstruktur und Wirtschaft

Kritische Infrastruktur (KRITIS) umfasst gem. NIS2 alle Betreiber von Einrichtungen, Anlagen und Dienstleistungen (KRITIS-Betreiber), deren Ausfall erhebliche Auswirkungen auf das Gemeinwohl hätte.

KRITIS sind essenzielle Sektoren von kritischen Infrastrukturen wie Stromerzeugung, Wasserversorgung, Gesundheitswesen, Informationstechnologie, Tele-Kommunikation (TK), Transport, Finanzwesen und Verwaltung. Der Schutz dieser zentralen Versorgungsinfrastruktur ist von entscheidender Bedeutung, um die Versorgungssicherheit und Stabilität des Gesellschaftssystems zu gewährleisten.

Was zählt zur Kritischen Infrastruktur (KRITIS) gem. NIS2?

KRITIS (Kritische Infrastrukturen) sind gem. NIS2 sicherheitsrelevante KRITIS-Betreiber und Systeminfrastrukturen, die für das tägliche Leben der Bevölkerung und die Stabilität der Wirtschaftssektoren unentbehrlich sind. Dies beinhaltet verschiedene Sektoren, die stark miteinander vernetzt sind und voneinander abhängen. KRITIS umfasst zentrale Versorgungssysteme wie Stromübertragung, Gasversorgung, Heizölversorgung und Fernwärmeversorgung, die von Energieinfrastrukturbetreibern bereitgestellt werden.

Die KRITIS Versorgungsinfrastrukturen basieren auf komplexen Systemlandschaften aus Informationssystemen, Steuerungssystemen, Sicherheitssystemen, Netzwerksystemen, Serversystemen, Rechensystemen, Computersystemen, EDV-Systemen und stabilen IT-Architekturen, deren Systemverfügbarkeit, Netzstabilität und Netzausfallsicherheit für die Systemrelevanz der Produktionsketten entscheidend sind.

Die folgenden Bereiche gehören gem. NIS2 zu den am stärksten gefährdeten Betreiber kritischer Infrastrukturen (KRITIS) und gesellschaftlicher Versorgung der Allgemeinheit:

1. Energieversorgung: Elektrizität, Erdgas und Öl sind die Grundlage fast aller modernen Lebensbereiche. Ein Versagen dieser kritischen Infrastrukturen wie Kraftstoff-, Heizöl-, Fernwärme und Energieinfrastruktur haben weitreichende wirtschaftliche Konsequenzen für den gesamten Wirtschaftskreislauf und Staat.

2. Wasserversorgung und Abwasserentsorgung: Sauberes Trinkwasser als kritische Infrastrukturen (KRITS) ist eine fundamentale Voraussetzung für Gesundheit und Wohlstand. Ohne eine zuverlässige Trinkwasserversorgung und Abwasserbeseitigung sind Hygiene und Nahrungsmittelproduktion gefährdet.

3. Gesundheitswesen: Krankenhäuser, Notfalldienste, medizinische Versorgungseinrichtungen und Medizinprodukte sind als KRITI-Betreiber unverzichtbar für die Gesundheit der Bevölkerung. Hier ist die systemrelevante Abschirmung kritischer Infrastrukturen vor Cyberangriffen und physischen Bedrohungen besonders wichtig.

4. Transport und Logistik: Straßen, Schienen, Flughäfen und Häfen sind als KRITIS essenziell für den Handel und die Mobilität der Menschen. Störungen in der Anlage- und Verkehrsinfrastruktur haben direkte Auswirkungen auf das versorgungskritische Wirtschaftssystem.

5. Finanzwesen: Banken, Versicherungen und Zahlungsdienstleister sichern als kritische Infrastrukturen (KRITIS) den Geldfluss und die Stabilität des Finanzmarktes. Für diese KRITIS-Betrieber sind gem. NIS2 besonders Netzwerksicherheit von größter Relevanz.

6. Lebensmittelversorgung: Lebenswichtige kritische Infrastrukturen (KRITIS) als Versorgungseinrichtung und Funktionsinfrastruktur für Lebensmittel zur Ernährung.

• KRITIS (kritische Infrastrukturen) bezeichnet Versorgungsstellen, die für die Versorgung der Gemeinschaft unerlässlich sind.
• Die BSI-Kritisverordnung regelt, welche Anlagen als kritisch eingestuft werden.
• Eine stabile Basisinfrastruktur ist entscheidend für die Aufrechterhaltung der öffentlichen Ordnung.
• In einer Krise muss kritische Systeminfrastruktur besonders geschützt werden.
• Datenleitungen und Datenverarbeitungssysteme fallen unter KRITIS.
• Die Versorgung mit Wasser und Energie ist ein zentraler Bereich der KRITIS.
• Auch Schulen und Bildungseinrichtungen sind Teil von gesellschaftlichen KRITIS-Betreibern.
• Das BSI ist für den Schutz vor einem IT-Sicherheitsvorfall in KRITIS-Anlagen zuständig.
• Finanz- und Versicherungswesen zählen zur institutionellen Basisversorgung, die für die Marktwirtschaft relevant sind.
• Anlagenkategorien wie Kanalisation, Straßen oder Brücken gelten als materielle Netzstruktur.
• Öffentliche Infrastruktur steht im Vordergrund staatlicher Daseinsvorsorge.
• Bei Versorgungsengpässen zeigt sich, wie hyperkritisch die KRITIS-Systeme sind.
• Die staatliche Verantwortung liegt beim Bund, den Ländern und den Kommunen.
• Zertifizierung der Anlage erfolgt nach festgelegten Schwellenwerten gemäß BSI-KritisV.
• Informationen, Computer und IT-Technik spielen eine wachsende Rolle in der elektronischen Grundsicherung.
• Auch immaterielle Grundversorgung, etwa Forschung, Kultur oder Informatik, ist für das Gemeinwesen relevant.
• KRITIS schützt nicht nur Anlagen, sondern auch die Wirtschaftstätigkeit und das Leben von Personen.
• Die Energiewirtschaft ist eine der kritischsten Infrastrukturen mit hohen Folgen bei Systemausfall.
• Ohne eine funktionierende Kommunikation wäre die Koordination im Bevölkerungsschutz unmöglich.
• Infrastruktur ist in jeder Region ein Standortfaktor für Wirtschaftsbereiche und soziale Entwicklung.

Bedrohungen kritischer Infrastrukturen und KRITIS-Betreiber

Kritische Infrastruktur ist vielfältigen Gefahren ausgesetzt. Neben Naturkatastrophen, technischen Störungen und menschlichen Fehlern sind Cyberbedrohungen eine der größten Herausforderungen kritischer Infrastrukturen. Die zunehmende Digitalisierung hat zwar zu effizienteren Prozessen geführt, aber auch neue Risiken geschaffen. Cyberattacken, wie Ransomware-Angriffe oder DDoS-Attacken, können ganze Struktursysteme lahmlegen und verheerende Konsequenzen nach sich ziehen.

Eine weitere Gefahr kritischer Infrastrukturen sind physische Angriffe auf Anlagen und Systemeinrichtungen, die im Extremfall den Betrieb vollständig unterbrechen können. Terroristische Anschläge oder Sabotageaktionen stellen für KRITIS ein ernstzunehmendes Risiko dar. Auch der Klimawandel und die damit verbundenen extremen Wetterereignisse stellen eine wachsende Bedrohung dar, da sie Infrastructure stark belasten und die Widerstandsfähigkeit auf die Probe stellen.

Eine zuverlässige Informationsübertragung über Kommunikationsinfrastruktur, Kommunikationsnetze, Netzkommunikation und Datenkommunikation ist für den digitalen Betrieb von KRITIS unerlässlich. Dabei spielen Datensicherheit, Datenschutz, Informationsschutz, Datenübertragung und Datenspeicherung ebenso eine Rolle wie Betriebstechnik, Schutzkonzepte, systemtechnische Maßnahmen, Notfallmanagement und Prävention, um Stromausfall, Versorgungsengpässe, Gefährdung und Risiken in verschiedenen Bereichen kritischer Infrastrukturen zu minimieren.

NIS2 und KRITIS-Dachgesetz: Maßnahmen zur Krisenvorsorge der Kritischen Infrastruktur

Zur Störfallvorsorge der KRITIS-Sektoren gibt es auf nationaler und internationaler Ebene gem. NIS2 und KRITIS-Dachgesetz strenge Vorschriften und wichtige Sicherheitsstrategien für kritische Infrastrukturen. Diese umfassen sowohl infrastrukturelle als auch organisatorische Maßnahmen für KRITIS-Sektoren, um die Widerstandsfähigkeit gegen Angriffe und Störungen zu erhöhen.

Der rechtliche Rahmen kritischer Infrastrukturen ergibt sich aus Gesetz, Verordnung, KRITIS-Verordnung, KRITIS-Dachgesetz, BSI-Gesetz (BSIg), NIS-2 und CER-Richtlinien, die Vorgaben, Pflichten, Zugang, Umsetzung, Klassifizierung, Schwellenwerte und KRITIS-Zuordnung regeln. Sicherheitsrelevanz, Security, Compliance, Planung, Prüfung, TÜV, Beratung, Service, Dienste, Solutions, Lösungen, Lösung, Nutzen, Verfügung, Komponenten, Entsorgung und Resilience unterstützen die wesentliche Stabilität der deutschen kritischen Sektoren.

Die wichtigsten NIS2 Maßnahmen kritischer Infrastrukturen, Funktionen und Prozesse:

1. Cybersecurity: Die Gefahrenabwehr vor digitalen Bedrohungen kritischer Infrastrukturen ist an oberster Stelle. Regelmäßige Sicherheitsupdates, Firewalls, Verschlüsselungstechniken und ein effektives Risikomanagement sind notwendig, um Cyberangriffe abzuwehren.

2. Redundanz und Ausfallsicherheit: Durch das Erstellen von Backups und die Implementierung redundanter KRITIS- und IT-Infrastrukturen können Ausfälle kompensiert und der Betrieb fortgeführt werden.

3. Physischer Risikovorsorge: Zugangsbarrieren, Sicherheitspersonal und Überwachungssysteme tragen dazu bei, das System kritischer Infrastrukturen physisch zu sichern.

4. Krisenmanagement und Notfallpläne: Unternehmen und Behörden kritischer Infrastrukturen entwickeln detaillierte Notfallpläne, um im Falle eines Angriffs oder Ausfalls schnell und gezielt reagieren zu können.

5. Schulungen und Sensibilisierung: Regelmäßige Schulungen für das Personal kritischer Infrastrukturen und Sensibilisierungsmaßnahmen helfen, das Bewusstsein für Sicherheitsrisiken zu stärken und die Reaktionsfähigkeit zu verbessern.

Die Rolle von Politik und Wirtschaftsordnung im KRITIS-Schutz

Regierungen und Betriebe arbeiten eng zusammen, um die Sicherheit kritischer Infrastruktur zu gewährleisten. Nationale Sicherheitsbehörden entwickeln Regulierungen und setzen Standards, während Firmen verpflichtet sind, Sicherheitsmaßnahmen umzusetzen und regelmäßig zu prüfen. In Deutschland beispielsweise ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich für den Ausfallschutz der KRITIS-Betreiber verantwortlich.

Im europäischen Kontext wurde die NIS-Richtlinie (Network and Information Systems Directive) verabschiedet, die einheitliche Sicherheitsstandards für alle kritischen Infrastrukturen der Mitgliedstaaten festlegt. Diese Zusammenarbeit über Ländergrenzen hinweg ist entscheidend, da die digitale Transformation und die globale Vernetzung auch grenzüberschreitende Sicherheitsrisiken mit sich bringen.

Zukünftige Herausforderungen und Entwicklungen für kritische Infrastrukturen

Mit der zunehmenden IT-Modernisierung und dem Übergang zur smarten Infrastruktur wird die Resilienz von KRITIS immer komplexer. Technologische Fortschritte wie das Internet der Dinge (IoT) und künstliche Intelligenz bieten neue Möglichkeiten, stellen jedoch gleichzeitig zusätzliche Sicherheitsanforderungen. Die Implementierung von fortschrittlichen Sicherheitskonzepten und -technologien wird daher immer wichtiger.

Zusammengefasst sind kritische Versorgungsbetriebe und Infrastrukturen ein unverzichtbarer Bestandteil der modernen Öffentlichkeit und Ökonomie. Ihr Schutz erfordert eine kontinuierliche Anpassung an neue Bedrohungen und Herausforderungen. Nur durch eine enge Zusammenarbeit zwischen öffentlichen Institutionen und Privatwirtschaft, kontinuierliche Weiterentwicklung der Sicherheitsmaßnahmen und eine erhöhte Sensibilisierung können die KRITIS-Bereiche langfristig gesichert und geschützt werden.

Informationstechnik (IT) und Kommunikationstechnik (TK) schützen

Internet, E-Mail, Cloud, Globalisierung von Diensten und Anbietern, Social Media, Industrial lnternet / Industrie 4.0, Big Data, künstliche Intelligenz und das Internet der Dinge, KRITIS und unser Sozialsystem ist von anlagentechnischen Systemen abhängig, deren Technik zentral in Rechenzentren "gehostet" wird.

Rechenzentren (RZ) oder Data Center sind kritische Infrastruktur (KRITIS) unserer Zeit. Kritische Versorgungsnetze sind Organisationen und Einrichtungen, bei deren Beeinträchtigung oder Downtime Störungen der Infrastrukturen eintreten würden. Hier zählt Sicherheit, Zuverlässigkeit und Leistungsfähigkeit.

Informationstechnik (IT) und Kommunikationstechnik (TK) sind die Voraussetzung für nahezu alle Unternehmen und KRITIS aller Branchen. Infrastruktursysteme benötigen bestimmte Basisdienste, um ordnungsgemäß zu funktionieren. Rechenzentren bilden die Grundlage der Datenverarbeitung in der Organisation, Behörden und nahezu allen Unternehmen.

Rechenzentren und Serverräume sind elementar für die notwendige KRITIS- und IT-Infrastruktur. Rechenzentren müssen rund um die Uhr verlässlich arbeiten, dafür sorgen IT-Technik wie Server, Storages, Switches, Stromversorgung, Kühlung, Klimaanlagen, Wartung und selbstverständlich Reinigung. Ein IT-Ausfall führt zu großen Störungen und kostet Tausende von Euro.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) widmet sich IT-Bedrohungen und der Stabilisierung Kritischer Infrastruktur. Kritische Informationsinfrastrukturen sind Informations- und Kommunikationstechnik (IKT), Telekommunikationsinfrastruktur sowie Informationen und sind als KRITIS vor Gefährdungen und Katastrophen zu schützen. Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Betriebsinfrastruktur, die IT für bundsweite Standorte nach dem Stand der Technik angemessen abzusichern.

Schutz Kritischer Infrastruktur (BSI) Schutz Kritischer Infrastrukturen

Internetplattform zum Schutz Kritischer Infrastruktur (BSI / BBK) Internetplattform zum Schutz Kritischer Infrastrukturen

Links