Als kritische Infrastrukturen (kurz KRITIS) werden Infrastrukturen bezeichnet, die für das Funktionieren unserer Gesellschaft als wichtig angesehen werden. Dazu gehören Infrastrukturen für die medizinische Versorgung, Nahrung, Strom, Wasser, das Transportwesen, Versorgung mit Bargeld, elektronischem Zahlungsverkehr, die Medien und staatliche Verwaltungseinrichtungen.

Denn wenn diese Infrastrukturen in größerem Umfang ausfallen, kann es zu gravierenden Versorgungsengpässen kommen.

Warum benötigen wir eine KRITIS-Verordnung?

Stellen Sie sich vor, Strom würde deutschlandweit mehrere Tage nicht zur Verfügung stehen. Dann würde früher oder später auch keine Benzinversorgung mehr funktionieren. Mobilität käme zum Stillstand. Nahrungsmittel würden zum großen Teil verderben, da keine Kühlung mehr zur Verfügung stände und ein effizienter Transport nicht mehr gewährleistet werden könnte. Die Wasserversorgung würde ausfallen, weil die Pumpen nicht gehen. Es wäre keine Kommunikation mehr möglich, da auch hierfür Strom benötigt wird. Abfall- und Abwasserentsorgung würde nicht mehr stattfinden. Neben der mangelnden Hygiene würde gleichzeitig die medizinische Versorgung auf das Nötigste zurückfallen, da Medizintechnik nur noch sehr eingeschränkt genutzt werden könnte und längerfristig auch die Medikamente ausgehen würden. Ohne IT und Technik hätten Krankenhäuser massive Probleme Ihre Patienten zu versorgen. Außer mit Bargeld würde auch kein Handel in Läden mehr stattfinden. Und auch dieser käme schnell zum Erliegen.

Solche Szenarien sind auch bereits in Romanen anschaulich verarbeitet worden, „Blackout“ von Marc Elsberg ist hier ein empfehlenswertes Beispiel. In den letzten Jahren haben wir aber auch anhand Begebenheiten in der realen Welt sehen können, welche Auswirkungen längere Ausfälle im Ansatz haben und welche Einschränkungen zu befürchten sind.

Insbesondere wenn eine Notversorgung mit Wasser und Nahrung nicht mehr geregelt gewährleistet werden kann, muss man mit Unruhen in der Bevölkerung rechnen.

IT-Sicherheitsgesetz

Um dies zu vermeiden, wurde im Juli 2015 das IT-Sicherheitsgesetz (IT-SiG) verabschiedet. Dieses Artikelgesetz verpflichtet Unternehmen, die Dienstleistungen in einem gewissen Umfang im Kontext der kritischen Infrastrukturen erbringen, sich gegen Cyberangriffe und einhergehenden Ausfällen und Beeinträchtigungen zu schützen.

Wer hierbei als KRITIS eingestuft wird, wird in der BSI-Kritisverordnung definiert. Grob gesagt umfasst der Umfang, den die kritische Dienstleistung bei diesem Unternehmen aktuell haben muss, eine „Versorgung“ von ca. 500.000 Bürgern. Je nach Dienstleistung hat der Gesetzgeber hierzu aber ggf. anschaulichere Maßstäbe definiert, die in der KRITIS-Verordnung festgeschrieben sind.

Meldepflicht

Neben der Absicherung der eigentlichen Dienstleistung fordert das Gesetz insbesondere auch ein geeignetes Incident-Management und Meldewesen. So wird im Fall der Fälle sichergestellt, das Probleme zeitnah durch die Unternehmen gemeldet werden. Im Gegenzug wird so aber auch ermöglicht, dass bedrohte Unternehmen bei Gefahren gewarnt werden können, damit gar nicht erst ein Vorfall stattfinden kann (z.B. bei Entdeckung von branchenspezifischen Angriffen).

Ein „Vorfall“ bedeutet dabei nicht nur, dass das Unternehmen einen Schaden erleidet, sondern auch schon, wenn ein neuartiger Angriffsversuch stattfindet, auch wenn dieser nicht erfolgreich ist.

Abseits der IT sind die KRITIS-Unternehmen in der Regel bereits durch andere Regelungen verpflichtet, einen angemessenen Schutz vor Ausfall der Dienstleistungen (sogenanntes Business Continuity Management – BCM) und Risikomanagement zu betreiben.

Gerade im Kontext der Absicherung der IT ist aber die Frage der Risiken und der angemessenen Schutzmaßnahmen etwas, bei dem sich  die Unternehmen leider ohne weiteren gesetzlichen Anreiz mit Maßnahmen zurückhalten. Oder einfach nicht wissen, was sie tun sollen, um einen ausreichenden Schutz umzusetzen.

Betroffene Sektoren

Hierfür wurden mittels Sektorstudien, die als kritisch angesehenen Branchen festgelegt und dann genauer untersucht. Branchenkenner haben dabei die Prozesse innerhalb der jeweiligen Branche und die Auswirkungen eines Ausfalls betrachtet. Auf dieser Basis wurden die sogenannten kritischen Dienstleistungen definiert.

Stand heute werden 7 Sektoren adressiert:

Seit 03.05.2016 (der erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz))

  • Energie
  • Informationstechnik und Telekommunikation
  • Wasser
  • Ernährung

Seit 30.06.2017 (Erste Verordnung zur Änderung der BSI-Kritisverordnung)

  • Finanz- und Versicherungswesen
  • Gesundheit
  • Transport und Verkehr

Diese gilt es nun ausreichend vor IT-gestützten Angriffen abzusichern.  Den entsprechenden Schutz muss sich das Unternehmen dann im Rahmen eines Audits bestätigen lassen und entsprechende Nachweise dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorlegen.

Durch den zweiten Entwurf des IT-Sicherheitsgesetzes werden zukünftig die Sektoren auch um die Abfall- und Entsorgungswirtschaft erweitert.

Was müssen als KRITIS eingestufte Unternehmen leisten?

Bleibt immer noch das Problem, was denn ein angemessener Schutz ist. Das Gesetz spricht hierbei nur vom „Stand der Technik“.

Gerade in Umgebungen, die aber nicht nur aus IT bestehen, sondern eine starke Verzahnung zu Produktionstechnik, Maschinen oder technischen Produkten besteht, können darüber hinaus gar nicht die Maßnahmen angewandt werden, die in einer Büro-IT normal sind. Beispielsweise können solche Systeme gar nicht gepatcht werden, Virenscanner sind nicht verfügbar oder führen zum Verlust des Supports der Maschine oder sind auf Grund von Echtzeitanforderungen nicht nutzbar.

Branchenspezifische Sicherheitsstandards (B3S)

Aus diesem Grund wurde den Unternehmen bzw. deren Branchenarbeitskreisen im Rahmen des UP KRITIS ermöglicht, Branchenspezifische Sicherheitsstandards (B3S) zu entwickeln, gegen die der Sicherheitsnachweis dann erfolgen kann. Für einige Branchen, z.B. Energie, ist eine entsprechende Festlegung alternativ über die BNetzA erfolgt.

Nachweispflicht

Die ersten Unternehmen mussten übrigens 2018 Ihren Nachweis über ausreichend umgesetzte Schutzmaßnahmen gegenüber dem BSI erbringen. Das waren Unternehmen, die im sogenannten ersten Korb der kritischen Sektoren waren (u.A. Wasserversorgung, Abwasser, …). Für die zweite Gruppe war die Frist in 2019 erreicht (Medizin, Banken und Versicherungen, …).

Die Erfüllung der Anforderungen nach § 8a BSIG muss von den jeweiligen Betreibern mindestens alle zwei Jahre gegenüber dem BSI nachgewiesen werden. Der Nachweis kann durch Sicherheitsaudits oder Prüfungen erfolgen.

Da sich die Bedrohungslage und damit auch der „Stand der Technik“ zur Abwehr von Gefahren stetig ändern, sollte spätestens alle zwei Jahre überprüft werden, inwieweit die in einem B3S getroffenen Annahmen und vorgenommenen Beschreibungen noch aktuell sind. Eine aktualisierte Version muss dann wieder vom BSI genehmigt werden. Findet keine Aktualisierung statt, oder befindet das BSI aus anderem Grund, dass ein B3S nicht mehr angemessene Sicherheit nach Stand der Technik erfordert, so kann das BSI die Eignungsfeststellung eines B3S übrigens auch wieder entziehen.

Ausblick

Erfahrungen aus der Vorbereitung und Durchführung eines solchen Audits können Sie in den folgenden Artikeln lesen. Dazu gehen wir auch noch einmal genauer auf die Anforderungen ein, die umzusetzen sind, wenn man KRITIS-relevant ist, und wie man das überhaupt herausfindet.

Obwohl das Thema IT-Sicherheitsgesetz/KRITIS nicht mehr ganz neu ist, sind auf dem Gebiet immer noch viele Gerüchte und Fehlinformationen auf dem Weg. Sprechen Sie mit externen Fachleuten, die Ihnen die Anforderungen spezifisch für Sie erläutern und reden Sie mit anderen Betroffenen aus Ihrer Branche. Starten Sie erst dann ein Umsetzungsprojekt, wenn Sie wissen, was benötigt wird.