Als kritische Infrastrukturen (kurz KRITIS) werden Infrastrukturen bezeichnet, die für das Funktionieren unserer Gesellschaft als wichtig angesehen werden. Dazu gehören Infrastrukturen für die medizinische Versorgung, Nahrung, Strom, Wasser, das Transportwesen, Versorgung mit Bargeld, elektronischem Zahlungsverkehr, die Medien und staatliche Verwaltungseinrichtungen.

Wenn diese Infrastrukturen in größerem Umfang ausfallen, kann es zu gravierenden Versorgungsengpässen kommen.

Warum benötigen wir eine KRITIS-Verordnung?

Stellen Sie sich vor, Strom würde deutschlandweit mehrere Tage lang nicht zur Verfügung stehen. Dann würde früher oder später auch keine Benzinversorgung mehr funktionieren. Mobilität käme zum Stillstand. Nahrungsmittel würden zum großen Teil verderben, da keine Kühlung mehr zur Verfügung stände und ein effizienter Transport nicht mehr gewährleistet werden könnte. Die Wasserversorgung würde ausfallen, weil die Pumpen nicht funktionieren. Es wäre keine Kommunikation mehr möglich, da auch hierfür Strom benötigt wird. Abfall- und Abwasserentsorgung würde nicht mehr stattfinden. Neben der mangelnden Hygiene würde gleichzeitig die medizinische Versorgung auf das Nötigste reduziert, da Medizintechnik nur noch sehr eingeschränkt nutzbar wäre und mittelfristig wäre auch die Versorgung mit Medikamenten unterbrochen. Ohne IT und Technik hätten Krankenhäuser massive Probleme damit, Ihre Patienten zu versorgen. Der Handel in Läden könnte nur mehr mit Bargeld stattfinden. Und auch dieser käme schnell zum Erliegen.

Solche Szenarien wurden bereits in Romanen anschaulich verarbeitet, „Blackout“ von Marc Elsberg ist hier ein eindrucksvolles Beispiel. In den letzten Jahren konnten wir auch anhand von Begebenheiten in der realen Welt sehen, welche Auswirkungen längere Ausfälle im Ansatz haben und welche Einschränkungen zu befürchten sind.

Insbesondere wenn eine geregelte Notversorgung mit Wasser und Nahrung nicht mehr gewährleistet werden kann, muss mit Unruhen in der Bevölkerung gerechnet werden.

IT-Sicherheitsgesetz

Um dies zu vermeiden, wurde im Juli 2015 das IT-Sicherheitsgesetz (IT-SiG) verabschiedet. Dieses Artikelgesetz verpflichtet Unternehmen, die in einem definierten Umfang Dienstleistungen im Kontext der kritischen Infrastrukturen erbringen, sich gegen Cyberangriffe und damit einhergehende Ausfälle und Beeinträchtigungen zu schützen.

Die Einstufung als KRITIS wird in der BSI-Kritisverordnung definiert. Der Umfang der kritischen Dienstleistung eines Unternehmens muss dabei aktuell einer „Versorgung“ von ca. 500.000 Bürgern entsprechen. Je nach Dienstleistung hat der Gesetzgeber hierzu weitere anschauliche Maßstäbe definiert, die in der KRITIS-Verordnung festgeschrieben sind.

Meldepflicht

Neben der Absicherung der eigentlichen Dienstleistung fordert das Gesetz insbesondere auch ein geeignetes Incident-Management und Meldewesen. So wird im Fall eines erfolgten Cyberangriffs sichergestellt, das Probleme zeitnah durch die Unternehmen gemeldet werden. Im Gegenzug wird damit auch bewirkt, dass bedrohte Unternehmen vor aktuellen Gefahren gewarnt werden können, damit ein Vorfall möglichst nicht stattfinden kann (z.B. bei Entdeckung von branchenspezifischen Angriffen).

Ein „Vorfall“ bedeutet dabei nicht nur, dass das Unternehmen einen Schaden erleidet, sondern auch schon, wenn ein neuartiger Angriffsversuch stattfindet, auch wenn dieser nicht erfolgreich ist.

Abseits der IT sind die KRITIS-Unternehmen in der Regel bereits durch andere Regelungen verpflichtet, einen angemessenen Schutz vor Ausfall der Dienstleistungen (sogenanntes Business Continuity Management – BCM) und Risikomanagement zu betreiben.

Es bedarf gesetzlicher Anreize, damit Unternehmen ihre IT wirksam absichern und den aktuellen Risiken angemessene Schutzmaßnahmen entgegensetzen. Leider wissen manche der betroffenen Unternehmen über die notwendigen Maßnahmen nicht ausreichend Bescheid.

Betroffene Sektoren

Durch Sektorstudien wurden die als kritisch angesehenen Branchen festgelegt und untersucht. Branchenkenner betrachteten dabei die Prozesse innerhalb der jeweiligen Branche und die Auswirkungen eines Ausfalls. Auf dieser Basis wurden die sogenannten kritischen Dienstleistungen definiert.

Stand heute werden 7 Sektoren adressiert:

Seit 03.05.2016 (der erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz))

  • Energie
  • Informationstechnik und Telekommunikation
  • Wasser
  • Ernährung

Seit 30.06.2017 (Erste Verordnung zur Änderung der BSI-Kritisverordnung)

  • Finanz- und Versicherungswesen
  • Gesundheit
  • Transport und Verkehr

Diese Sektoren gilt es nun ausreichend vor IT-gestützten Angriffen abzusichern.  Den entsprechenden Schutz muss sich das Unternehmen im Rahmen eines Audits bestätigen lassen und entsprechende Nachweise dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorlegen.

Durch den zweiten Entwurf des IT-Sicherheitsgesetzes werden zukünftig die Sektoren auch um die Abfall- und Entsorgungswirtschaft erweitert.

Was müssen als KRITIS eingestufte Unternehmen leisten?

Bleibt immer noch die Fragestellung, was denn ein angemessener Schutz ist. Das Gesetz spricht hierbei nur vom „Stand der Technik“.

Gerade in Umgebungen, die nicht nur aus IT bestehen, sondern bei denen eine starke Verzahnung zu Produktionstechnik, Maschinen oder technischen Produkten besteht, können die Schutzmaßnahmen nicht angewandt werden, die in der klassischen IT üblich sind. Derartige Systeme können nicht standardmäßig gepatcht werden. Virenscanner sind entweder nicht verfügbar oder werden nicht genutzt, weil ihr Einsatz aufgrund von Echtzeitanforderungen nicht möglich ist oder zum Verlust des Supports der Maschine führt.

Branchenspezifische Sicherheitsstandards (B3S)

Aus diesem Grund wurde den Unternehmen bzw. deren Branchenarbeitskreisen im Rahmen des UP KRITIS ermöglicht, Branchenspezifische Sicherheitsstandards (B3S) zu entwickeln, gegen die der Sicherheitsnachweis dann erfolgen kann. Für einige Branchen, z.B. Energie, ist eine entsprechende Festlegung alternativ über die BNetzA erfolgt.

Nachweispflicht

Die ersten Unternehmen mussten übrigens 2018 Ihren Nachweis über ausreichend umgesetzte Schutzmaßnahmen gegenüber dem BSI erbringen. Das waren Unternehmen, die im sogenannten ersten Korb der kritischen Sektoren waren (u.A. Wasserversorgung, Abwasser, …). Für die zweite Gruppe war die Frist in 2019 erreicht (Medizin, Banken und Versicherungen, …).

Die Erfüllung der Anforderungen nach § 8a BSIG muss von den jeweiligen Betreibern mindestens alle zwei Jahre gegenüber dem BSI nachgewiesen werden. Der Nachweis kann durch Sicherheitsaudits oder Prüfungen erfolgen.

Da sich die Bedrohungslage und damit auch der „Stand der Technik“ zur Abwehr von Gefahren stetig ändert, sollte spätestens alle zwei Jahre überprüft werden, inwieweit die in einem B3S getroffenen Annahmen und vorgenommenen Beschreibungen noch aktuell sind. Eine aktualisierte Version muss dann wieder vom BSI genehmigt werden. Findet keine Aktualisierung statt, oder befindet das BSI aus anderem Grund, dass ein B3S nicht mehr angemessene Sicherheit nach Stand der Technik erfordert, so kann das BSI die Eignungsfeststellung eines B3S übrigens auch wieder entziehen.

Ausblick

Erfahrungen aus der Vorbereitung und Durchführung eines solchen Audits können Sie in den folgenden Artikeln lesen. Dazu gehen wir auch  genauer auf die umzusetzenden Anforderungen ein, die für KRITIS-Unternehmen relevant sind.

Obwohl das Thema IT-Sicherheitsgesetz/KRITIS nicht mehr ganz neu ist, sind auf dem Gebiet immer noch viele Gerüchte und Fehlinformationen in Umlauf. Sprechen Sie mit externen Fachleuten, die Ihnen die für Sie geltenden Anforderungen erläutern und reden Sie mit anderen Betroffenen aus Ihrer Branche. Starten Sie erst dann ein Umsetzungsprojekt, wenn Sie wissen, was benötigt wird.