04/03/2024 |

KRITIS – So gelingt ein zuverlässiger Schutz

Kritische Infrastrukturen (kurz: KRITIS) stehen – insbesondere auch politisch – im Fokus und unterliegen speziellen Anforderungen. Sie sind umfassend zu schützen, um ihre Verfügbarkeit sicherzustellen und Gefahren abzuwenden. Wie das gelingt, beleuchtet dieser Beitrag.

Was sind kritische Infrastrukturen (KRITIS)? 

Als kritisch gelten in Deutschland solche Infrastrukturen, die eine Bedeutung für das staatliche Gemeinwesen aufweisen. Darunter fallen Einrichtungen, Systeme und Dienste, deren Ausfall schwerwiegende Folgen für das Funktionieren der Gesellschaft hätte.

Folgende Bereiche lassen sich daher nehmen:

  • Energie, Wasser, Ernährung
  • Gesundheitswesen
  • Transport und Verkehr 
  • Telekommunikation
  • Finanzwesen und Versicherungen
  • Informationstechnologie
  • Entsorgung
  • Medien und Kultur

Diese Sektoren sind entscheidend für eine funktionale Wirtschaft, die öffentliche Sicherheit und das Wohlergehen der Bevölkerung. Sie sind jedoch (potenziellen) Bedrohungen – wie Cyberangriffen, Sabotagen oder Terrorismus – ausgesetzt, so dass ihre Resilienz und Sicherheit die höchste Priorität haben.

KRITIS ist ein Politikum 

Somit erfahren sie auch eine politische Dimension: Konkret zeichnet sich das Bundesinnenministerium (BMI) für den Schutz kritischer Infrastrukturen verantwortlich. Insbesondere der Informationssicherheit – Zuständigkeit des Ministeriums für Sicherheit in der Informationstechnik (BSI) – kommt eine tragende Bedeutung zu.

Für Regierungen und Unternehmen steht – für einen zuverlässigen Schutz – unter anderem Folgendes im Fokus:

  1. Identifizierung von Schwachstellen und Risikobewertung
  2. Erstellung von Notfallplänen
  3. schnelle und richtige Reaktionen bei Ausfällen

IT-Sicherheitsgesetz 2.0

Bei dem „IT-Sicherheitsgesetz 2.0“ handelt es sich um eine Weiterentwicklung des IT-Sicherheitsgesetzes. Es zielt darauf ab, die Sicherheit der Informationstechnologie in Deutschland zu stärken und kritische Infrastrukturen effektiver zu schützen. Der Grund liegt in steigenden Bedrohungen durch Cyberangriffe.

Das Gesetz sieht einige Pflichten für KRITIS-Betreiber vor; dazu zählen die folgenden:

  • Benennung einer Kontaktstelle 
  • Meldepflichten bei Störungen
  • informationstechnische Systeme vom „neuesten Stand der Technik”

Dafür sind alle zwei Jahre Nachweise gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu erbringen.

Hintergrund: Das BSI definiert anhand eines Schwellenwertes, ob ein Unternehmen zum KRITIS-Bereich gehört und von entsprechenden Auflagen betroffen ist. Eine prozentuale Störungsrate gibt an, welche Auswirkungen ein etwaiger Ausfall auf die Gesellschaft hätte. 

Das sind die Anforderungen an KRITIS-Betreiber 

Betreibern kritischer Infrastrukturen obliegt eine besondere Verantwortung. So gibt es einige Anforderungen und Ziele, die unbedingt erfüllt sein müssen. Über allem schweben Sicherheit und Compliance.

  1. Umfassende Sicherheitsvorkehrungen: Um digitale und physische Bedrohungen unschädlich zu machen, erweist sich ein entsprechender Schutz als unentbehrlich. Das geht von physischen Mitteln wie Überwachungskameras und Zugangskontrollen, über digitale Mittel wie sichere Verschlüsselungen und robuste Firewalls bis hin zur Implementierung spezifischer Lösungen wie einem Information Security Management System (ISMS) (dazu später mehr).
  2. Redundanz schaffen: Bei der Informationssicherheit ist Redundanz wichtig – es sollten Systeme und alternative Ressourcen zur Verfügung stehen, die bei einem störungsfreien Ablauf redundant, aber im Ernstfall entscheidend sind. So lässt sich auch bei Störungen oder Schäden ein kontinuierlicher Betrieb aufrechterhalten.
  3. Überwachung und Wartung: Zielführende Überwachungen fungieren als frühe Indikatoren, um Ausfall-Risiken zu identifizieren und Störungen von Anfang an zu vereiteln. Regelmäßige Wartungen stellen zudem sicher, dass Störungen oder Angriffspotenziale gar nicht erst auftreten.
  4. Compliance: KRITIS-Unternehmen müssen – für sie geltende – Vorschriften und Standards unbedingt einhalten. Dadurch wenden sie einerseits potenzielle Bedrohungen ab und sichern sich andererseits rechtlich ab. 
  5. Pläne für das Krisenmanagement: Es sollte absolut klar sein, wie der Umgang mit einer konkreten Krise wie einer Cyberattacke oder einem Ausfall aussieht. Im Ernstfall müssen alle Beteiligten sofort wissen, was zu tun und lassen ist. So lässt es sich auch in einer bedrohlichen Situation kontrolliert, effizient und zielführend handeln. Schließlich kommt es da insbesondere auf schnelles Handeln und richtige Entscheidungen an. 

So sehen sichere Informationen im KRITIS-Bereich aus

Zu einem guten Informationsmanagement gehört es, ein hohes Maß an Sicherheit zu gewährleisten. In erster Linie dürfen keine Informationen zu kritischen Infrastrukturen, die schützenswert sind, nach außen gelangen. Denn es könnte schwere gesellschaftliche Folgen haben, wenn diese in die falschen Hände geraten. Es bildet somit eine Kernanforderung, kritische Daten zu schützen und angemessen zu verwalten. 

Integrität

Informationen und Daten aus dem KRITIS-Sektor sollten makellos, vollständig und unversehrt sein. In diesem Sinn geht es um integere Informationen, über die kein Zweifel besteht. Fehlt das Vertrauen auf die Datenbasis, lassen sich KRITIS-Anforderungen nur sehr bedingt umsetzen. 

Vertraulichkeit

Insbesondere in kritischen Sektoren gibt es die Anforderung, dass vor allem entscheidende Informationen keineswegs nach außen gelangen. Wer über sie verfügt, besitzt eine hohe Verantwortung und muss potenzielle Schäden aktiv abwenden. So sollten Beteiligte nicht nur selbst Vertraulichkeit gewährleisten, sondern diese auch durch höchst adäquate technologische Lösungen bestärken. 

Verfügbarkeit

Was nicht verfügbar ist, entfaltet keinen Nutzen. Somit müssen Informationen und Daten jederzeit parat stehen, damit Anwender von ihnen Gebrauch machen können. Dies ist zum Beispiel erreicht, wenn Daten zentral auf sicheren Servern abgelegt – und im Ernstfall auch offline verfügbar sind.  

Erweiterte Ziele

Das Gebiet der Informationssicherheit ist noch von einigen erweiterten Zielen gekennzeichnet. Dazu gehören die Authentizität, die Nichtabstreitbarkeit und die Verlässlichkeit. Geht es also um valide Informationen, müssen KRITIS-Unternehmen dem Rechnung tragen. Von sicheren Informationen kann die Rede sein, wenn diese zum Beispiel absolut glaubwürdig und nicht angreifbar sind.

Authentizität

Bei diesem Faktor der Informationssicherheit geht es darum, dass ein Kommunikationspartner wirklich jener ist, der er zu sein vorgibt. Bei authentischen Informationen steht mit Sicherheit fest, dass sie von der angegebenen Quelle stammen. 

Nichtabstreitbarkeit

Prinzipiell bestimmt dieses Schutzziel, dass Informationen als gegeben hingenommen werden können. Es müssen überprüfbare Beweise dafür vorliegen, dass gewisse Informationen nicht gelöscht oder verändert worden sind.

Verlässlichkeit

Das „Reliability“-Prinzip zielt darauf ab, dass ein System seine beabsichtigen Funktionen auch tatsächlich erfüllen kann. Dies muss in der Informationssicherheit unter den angegebenen Bedingungen und in einem vorhersehbaren Zeitrahmen gegeben sein. 

Wie lassen sich kritische Infrastrukturen schützen?

Betreibern kritischer Infrastrukturen obliegt eine besondere Verantwortung. Sie müssen nicht nur für ein Unternehmen oder eine Organisation Rechenschaft tragen, sondern bilden auch einen Stützpfeiler für das Allgemeinwohl der Bevölkerung.

Die Maßnahmen, welche Betreiber leisten sollten, lassen sich in folgende Kategorien einordnen:

  1. Maßnahmen zum Schutz
  2. Vorkehrungen zur Vermeidung von Störungen
  3. folgerichtige Reaktionen im Ernstfall

Maßnahmen, zu kritische Infrastrukturen zu sichern

Um kritische Infrastrukturen wirksam – vor Angriffen, Sabotagen oder Terrorismus – zu schützen, sind nicht nur Sorgfalt und Präzision, sondern oft auch ganzheitliche sowie multidisziplinäre Herangehensweisen erforderlich. 

Diese Ansätze erweisen sich als förderlich:

  • Risikoanalyse: Risiken und mögliche Schwachstellen ausfindig zu machen und zu bewerten, ist ein erster wichtiger Schritt. Dazu gehört es auch, potentielle Bedrohungen wie Cyberangriffe oder Sabotageakte zu identifizieren. Die zentrale Frage dabei: Welche (schwerwiegenden) Folgen könnten drohen?
  • Sicherheit evaluieren: Synchron zu den bestehenden Risiken stehen auch die aktuellen Sicherheitsmaßnahmen im Fokus. Konkret sollten Unternehmen und Organisationen evaluieren, welche potenziellen Schwachstellen und möglichen Angriffspunkte bestehen. 
  • Cyber-Sicherheit ausbauen: Physische Vorkehrungen wie Zäune, Zugangskontrollen oder Überwachungssysteme bedürfen einer besonderen Aufmerksamkeit. Noch verstärkter zählt es aktuell jedoch, sich effektiv vor Cyber-Angriffen zu schützen. Dazu zählen regelmäßige Updates, Verschlüsselungen, verstärkte Firewalls, Schulungen von Mitarbeitern und die Investition in neue, zeitgemäße Lösungen. 
  • Zusammenarbeit pflegen: Kritische Infrastrukturen zu schützen, erfordert oft eine enge Zusammenarbeit zwischen Unternehmen, Organisationen, Behörden und weiteren Akteuren. Durch Partnerschaften und einen regelmäßigen Austausch lassen sich potentielle Bedrohungen schneller und sicher identifizieren sowie effektiver abwehren.
  • Frühwarnsysteme implementieren: Im KRITIS-Bereich sind Probleme im Idealfall bereits gelöst, bevor sie auftreten. Als umso wichtiger erweisen sich effektive Warnsysteme, die frühzeitig auf Unregelmäßigkeiten sowie Probleme und Störungen hinweisen.
  • Richtige Reaktionen im Ernstfall: Es sollten Notfallpläne bereitstehen, um bei Ausfällen, Störungen oder Angriffen schnell und effektiv reagieren zu können. Ist bereits ein kritischer Fall eingetreten, müssen die Handlungen gut durchdacht, koordiniert, übersichtlich und unverzögert sein. 

Die Rolle eines Information Security Management Systems (ISMS)

Ein ISMS zu implementieren, ist für Betreiber kritischer Infrastrukturen nicht nur eine Überlegung wert, sondern sogar verpflichtend. Sie unterliegen der Aufforderung, neueste Standards zu gewährleisten und eine umfassende IT-Sicherheit zu gewährleisten.

Im Allgemeinen geht es darum, eine Reihe von Verfahren und Regeln aufzustellen, anhand derer sich die Informationssicherheit dauerhaft steuern, kontrollieren, erhalten und verbessern lässt. Maßgeblich dafür sind ISO/IEC-27001-Normen, welche die Komponenten und die Art der Nutzung eines solchen Systems definieren. Wichtig ist dabei eine ganzheitliche Perspektive. 

Um Risiken zu mindern und relevante Daten zu schützen, sind gewisse Schritte – sogenannte ISMS Controls – vonnöten. Ein simples Beispiel betrifft die Verwendung einer Antiviren-Software.

Das bewirkt eine ISMS-Software

Eine umfassende Informationssicherheit zu gewährleisten und sämtliche geleistete Schritte zu erfassen, wird schnell unübersichtlich, aufwändig und chaotisch. Ebenso fällt es schwer, alle erforderlichen Dokumente richtig zuzuordnen. 

Eine entsprechende Software-Lösung beschleunigt das Risikomanagement und ermöglicht, dass sämtliche Dokumente auf dem neuesten Stand sind. 

Zu den Vorteilen zählen unter anderem die folgenden:

  • bessere Übersicht
  • schnellere Reaktionen
  • aktuelle Informationen
  • weniger erforderliche Ressourcen
  • vereinfachte Stakeholder-Kommunikation

Tipps für einen bestmöglichen Schutz

Bei kritischer Infrastruktur handelt es sich um ein heikles und sehr entscheidendes Thema. Entsprechend sind Unternehmen gut beraten, nicht nur Vorschriften penibel zu folgen, sondern sich darüber hinaus an Best Practices zu orientieren und Vorgehensweisen zu optimieren.

Folgende Tipps können dabei helfen.

Tipp #1: Ein probates Eskalationsmanagement betreiben

Eskalationsmanagement birgt den Schlüssel, um Probleme schnell und effektiv zu lösen. Indem Fälle hierarchisch nach oben wandern, stellen Unternehmen sicher, dass am Ende die Personen mit den richtigen Kompetenzen am Werk sind. Kurzum: Es entstehen zuverlässige Problemlösungen. Dieses Prinzip lässt sich an den KRITIS-Bereich adaptieren, indem Unternehmen bei Störungen oder Sicherheitslücken gezielt eskalieren – und konsequent an einer zielführenden Lösung arbeiten.

Tipp #2: Ein adäquates Risikomanagement implementieren

Generell haben die sogenannten GRC-Faktoren (Governance, Risiken, Compliance) eine hohe Bedeutung. Governance beschreibt die Verwaltung von Daten und Informationen, bei den Risiken geht es um deren Minimierung und bei der Compliance um Rechtssicherheit. 

Ein adäquates Risikomanagement verhindert es nun, dass Datensilos entstehen, Risiken unzureichend erfasst sind und Maßnahmen verspätet – oder gar nicht – getroffen werden. Positiv ausgedrückt: Indem alle relevanten Daten und Risiken zentral und sicher identifiziert sowie analysiert sind, lassen sich kritische Infrastrukturen gezielt und zuverlässig schützen. So können Betreiber die richtigen Maßnahmen zum richtigen Zeitpunkt treffen.  

Tipp #3: Regelmäßige Audits durchführen

Dass die eingesetzten Softwares und Systeme zuverlässig funktionieren müssen, versteht sich von selbst. Das Prinzip Kontrolle ist tief mit der kritischen Infrastruktur verbunden. Wichtig ist, dass jedes System oder auch eingesetzte Verfahren einer regelmäßigen Audit unterzogen wird, um einen zuverlässigen Betrieb – gemäß den Anforderungen – zu sichern.

Tipp #4: Schwachstellen proaktiv ermitteln

Wer erst nach einem kritischen Vorfall reagiert und die Sicherheit verstärkt, handelt zwar folgerichtig, aber an sich zu spät. Insbesondere im KRITIS-Bereich ist dies zu vermeiden. Der beste Schutz besteht darin, den Ernstfall zu simulieren und darauf basierend gegebenenfalls nachzubessern. So hilft zum Beispiel eine Zusammenarbeit mit ethischen Hackern dabei, kritische Schwachstellen zu erkennen, zu beheben und eine bestmögliche Sicherheit zu erarbeiten. 

Tipp #5: Ein effizientes Incident Management erarbeiten

Beim Incident Management geht es darum, schnell, angemessen und strukturiert auf Vorfälle und Störungen zu reagieren. So lassen sich diese schnellstmöglich lösen und Funktionalitäten wiederherstellen, um Betriebsabläufe zu sichern. Somit sollten KRITIS-Betreiber ihr Incident Management möglichst perfektionieren und dafür die richtigen Software-Lösungen einsetzen. Denn wie Reaktionen auf Incidents ausfallen, ist im Ernstfall entscheidend. 

Fazit: Die richtigen Maßnahmen zählen 

Bei kritischer Infrastruktur handelt es sich um Sektoren, Einrichtungen und Unternehmen, die für ein reibungsloses Funktionieren der Gesellschaft in Deutschland entscheidend sind. Ein Ausfall in einem KRITIS-Bereich hat somit mitunter verheerende Folgen und kann das öffentliche Leben gefährden – bis hin zu Notständen in der Versorgung und Sicherheit.

Somit unterliegen KRITIS-Betreiber einer hohen Verantwortung, mit der entsprechende Pflichten zum Schutz einhergehen. Denn die Bedrohungen sind vielseitig und zeigen sich sowohl physisch als auch im Cyber-Bereich in starken Ausprägungen. 

Im Allgemeinen kann die Sicherheit nicht groß genug sein, so dass multidisziplinäre Maßnahmen vonnöten sind, um kritische Infrastrukturen angemessen zu schützen. Ein besonderes Augenmerk liegt dabei auf der Informationssicherheit sowie auf adäquate und schnelle Reaktionen bei Störungen oder Attacken.

Die richtigen Maßnahmen, die Befolgung von Best Practices und vor allem auch der Einsatz moderner Software-Lösungen gewährleisten einen umfangreichen Schutz.

Erfahren Sie, wie OTRS KRITIS-Betreiber unterstützen kann. 

Experten kontaktieren

OTRS Newsletter

Lesen Sie mehr über Produkt-Features, interessante Tipps und Events im OTRS Newsletter.

Wir nutzen Keap. Datenschutzerklärung
OTRS newsletter

Read more about product features, interesting tips and events in the OTRS newsletter.

We use Keap. Privacy policy