Sicherung Kritischer Infrastrukturen (KRITIS), Herausforderungen, Schutzmaßnahmen und Resilienz in einer vernetzten Welt

Kritische Infrastrukturen (KRITIS) bilden das Rückgrat moderner Gesellschaften und sind von entscheidender Relevanz für das Funktionieren sowie für das wirtschaftliche und soziale Wohlergehen. Dieser Artikel wirft einen Blick auf die verschiedenen Sektoren, die unter den Begriff KRITIS fallen, darunter Katastrophenschutz, Lebensmittel, Wasserversorgung, Energiewirtschaft, Gesundheit, Telekommunikation, Finanz- und Versicherungswesen, Medien, Kultur, Justiz, Bund und Staat inklusive der Wahlen mit besonderen Pflichten. Dabei wird betont, wie diese KRITIS-Sektoren zunehmend von technologischen Fortschritten und Vernetzung abhängig sind, was gleichzeitig neue Risikopotenziale mit sich bringt. Die wichtige Sicherung von Kritischen Hauptnfrastrukturen ist somit zu einem essenziellen Anliegen geworden, das nicht nur den Schutz vor Cyberangriffen, sondern auch vor Naturkatastrophen und anderen Gefahren umfasst. In diesem Kontext werden die Komplexität, die Notwendigkeit von koordinierten Präventionsstrategien und fortlaufenden Anpassungen an sich wandelnde Bedrohungen beleuchtet.

 

  1. Definition von Kritischen Infrastrukturen (KRITIS)
  2. Die Bedeutung Kritischer Infrastrukturen
  3. Sektoren der Infrastrukturen
  4. Risiken für Kritische Infrastrukturen
  5. Schutzmaßnahmen und Sicherheitskonzepte für kritische Versorgungseinrichtungen
  6. Gesetzliche und regulatorische Rahmenbedingungen für kritische Versorgungssysteme
  7. KRITIS-Verordnung in Deutschland (BSI-KRITISV)
  8. IT-Sicherheitsgesetz (IT-SIG) für kritische Versorgungsinfrastrukturen
  9. EU-Richtlinien (NIS2) für kritische Infrastrukturanlagen
  10. IT-Infrastrukturreinigung für sicherheitskritische Informationstechnologie

 

Definition von Kritischen Infrastrukturen (KRITIS)

Kritische Infrastrukturen oder KRITIS-Unternehmen sind essentielle Systeme, deren Ausfall oder Beeinträchtigung schwerwiegende Auswirkungen auf die öffentliche Sicherheit, die Versorgung der Bevölkerung oder das Funktionieren staatlicher Einrichtungen wie Kommunen haben kann. Typischerweise sind diese Infrastrukturen in critically Sektoren wie Wasser, Informationstechnik und Kommunikation, Gesundheitswesen, Ernährung, Finanzwesen sowie Verkehr wie die Bahn angesiedelt. Die Bezeichnung "kritisch" unterstreicht ihre zentrale Signifikanz für das Leben der Menschen und die Funktionsweise einer Gemeinschaft. Um die Widerstandsfähigkeit gegenüber Belastungen, darunter Naturkatastrophen, Cyberangriffe oder terroristische Aktivitäten, zu gewährleisten, sind Sicherheitsvorkehrungen für Kritische Basisinfrastrukturen, Bevölkerungsschutz entscheidend. Die KRITIS-Regulierung bezieht sich auf die gesetzlichen Vorschriften, Verordnungen und Maßnahmen, die darauf abzielen, die Widerstandskraft kritischer Infrastrukturen und KRITIS-Anlagen gegen Angriffe zu garantieren.

Das Ausbleiben einer angemessenen Digitalisierung in kritischen Einrichtungen und der öffentlichen Infrastruktur kann dramatische Auswirkungen auf den Bevölkerungsschutz haben. Unternehmen, Versorgungseinrichtungen und IT-Dienstleister stehen vor der Herausforderung, ihre organisatorischen Prozesse digital aufzurüsten, um eine nachhaltige Versorgung und Krisenbewältigung zu gewährleisten. Die Regierung ist gefordert, eine Strategie für die nachhaltig wirkende Digitalisierung in Verwaltung, Sicherheitsbereichen wie der Polizei und dem Krisenmanagement zu entwickeln. Versorgungsengpässe, Sabotage, Hackerangriff, Cyberattacken und medizinische Notlagen könnten sonst schwerwiegende Folgen für die Network-, IT-Security und das Beeinflussen oder sogar Zusammenbrechen der Ordnung der Öffentlichkeit haben.

 

Die Bedeutung Kritischer Infrastrukturen

Kritische Infrastrukturen sind entscheidend für das Funktionieren der Gesellschaft, Gemeinwesen und Wirtschaft. Ihre Stabilität und Sicherheit sind von zentraler Bedeutung, da Störungen oder Ausfälle aufgrund von Angriffen schwerwiegende Folgen für die Volkswirtschaft und Security haben können. Die Rolle der KRITIS-Betreiber besteht gem. Cyber-Sicherheitsstrategie daher darin, diese Systeme zu identifizieren, zu schützen und ihre Robustheit gegenüber Unsicherheiten wie Naturkatastrophen, Cyberangriffen oder terroristischen Aktivitäten sicherzustellen. Ein effektives Management von KRITIS-Betreibern ist daher essenziell, um die Funktionsfähigkeit einer Gemeinschaft aufrechtzuerhalten und mögliche Risikofaktoren zu minimieren.

Der Begriff "Kritikalität" bezieht sich auf den Grad der Wichtigkeit oder Dringlichkeit einer bestimmten Angelegenheit, Einrichtung, Infrastruktur oder Dienstleistung für das reibungslose Funktionieren eines Systems.

 

Sektoren der Infrastrukturen

Die Kritischen Infrastrukturen umfassen Sektoren wie Wasser, Gesundheitswesen, Finanzen, Informations- und Kommunikationstechnologie, Transport und Ernährung. Jeder Sektor ist entscheidend für das Funktionieren einer Allgemeinheit und ihre Störung kann erhebliche Auswirkungen auf das Alltagsleben, das Wirtschaftssystem und Security haben. Es ist daher von großer Priorität, diese Einrichtungen zu identifizieren, zu behüten und ihre Belastbarkeit gegenüber Gefährdungen und Ausfall abzusichern.

 

Risiken für Kritische Infrastrukturen

Kritische Infrastrukturen sind verschiedenen Risiken ausgesetzt, darunter Naturkatastrophen wie Stürme und Erdbeben, menschliche Faktoren wie Unfälle oder absichtliche Sabotageakte, Cyberangriffe, terroristische Unsicherheitsfaktoren und Pandemien. Bedrohungen können zu Störungen oder Ausfällen in den betroffenen Unternehmen oder Behörden führen und erhebliche Auswirkungen auf das Sozialgefüge, die Marktwirtschaft und nationale Sicherheit haben. Daher ist es entscheidend, präventive Vorkehrungen und Regeln zu ergreifen, um die Resilienz der Infrastrukturen mit der KRITIS-Strategie zu stärken.

 

Schutzmaßnahmen und Sicherheitskonzepte für kritische Versorgungseinrichtungen

Zum Schutz kritischer Infrastrukturen werden unterschiedliche Maßnahmen und Sicherheitskonzepte eingesetzt. Dazu gehören unter anderem die Bestimmung und Implementierung von physischen Sicherheitsvorkehrungen wie Zäunen und Überwachungssystemen, die Anwendung von Cyber-Sicherheitsmaßnahmen wie Firewalls und Verschlüsselungstechnologien, regelmäßige Risikoanalysen und -bewertungen sowie die Schulung des Personals für Notfallsituationen. Eine enge Zusammenarbeit zwischen Regierungsbehörden, Betreibern kritischer Infrastrukturen und anderen relevanten Akteuren ist ebenfalls entscheidend, um eine umfassende und wirksame Anlage- und Sicherheitsstrategie zu versichern.

 

Gesetzliche und regulatorische Rahmenbedingungen für kritische Versorgungssysteme

Das KRITIS-Dachgesetz ist ein rechtlicher Rahmen, der die Sicherheit und Resilienz kritischer Infrastrukturen regelt. Die gesetzlichen und regulatorischen Rahmenbedingungen für den Schutz kritischer Infrastrukturen variieren je nach Land und Sektor. In vielen Ländern gibt es spezifische Gesetze und Vorschriften, die Betreiber kritischer Infrastrukturen dazu verpflichten, angemessene Sicherheitsmaßnahmen zu implementieren und regelmäßige Sicherheitsaudits durchzuführen. Darüber hinaus können staatliche Stellen oder Behörden bestimmte Standards festlegen und die Einhaltung dieser Vorschriften überwachen. Diese Rahmenbedingungen dienen dazu, die Standhaftigkeit kritischer Infrastrukturen gegen diverse Problematiken zu stärken und den Bevölkerungsschutz der Personen zuzusichern.

 

KRITIS-Verordnung in Deutschland (BSI-KRITISV)

Die KRITISV in Deutschland legt die Anforderungen für den Schutz kritischer Infrastrukturen fest. Sie verpflichtet Betreiber bestimmter Wirtschaftsbereiche, wie Energie (Strom), Wasser, Gesundheitswesen, Information Technology und Telekommunikation, angemessene Schutzverfahren zu ergreifen und kontinuierlich zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht gem. BSI-Gesetz (BSIG) die Einhaltung dieser Verordnung und unterstützt die Branchen bei der Umsetzung geeigneter Sicherheitskonzepte, um das Durchhaltevermögen gegenüber System- und Cyberangriffen und anderen Entwicklungen und Risikolagen zu stärken.

 

IT-Sicherheitsgesetz (IT-SIG) für kritische Versorgungsinfrastrukturen

Das IT Sicherheitsgesetz (IT-SIG) ist ein rechtlicher Rahmen, der darauf abzielt, die Informationssicherheit von Informationstechnologie-Systemen in kritischen Infrastrukturen zu erhöhen. Es veranlasst Betreiber kritischer Infrastrukturen, angemessenen Schutz zu implementieren, um Cyberangriffe zu verhindern und die Widerstandsfähigkeit gegenüber digitalen Risikoszenarien zu stärken. Die Vorgaben sehen vor, dass Betreiber von Infrastrukturen Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik melden müssen und es unterstützt die Kooperation zwischen öffentlichen Stellen und privaten Unternehmen, um in Zukunft die Netzwerksicherheit der ICT Anlagen und Technik zu verbessern.

 

EU-Richtlinien (NIS2) für kritische Infrastrukturanlagen

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) ist eine legislative Initiative der Europäischen Union, die darauf abzielt, die Cybersecurity von Netzwerken und Informationssystemen innerhalb der EU zu stärken. Sie legt Mindestanforderungen für die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste fest und verlangt von den Mitgliedsstaaten, nationale Strategien zur Cybersicherheit zu entwickeln und umzusetzen. Die Richtlinie zielt darauf ab, die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern, um gemeinsame Bedrohungspotenziale zu bekämpfen, und die Resilienz gegenüber Cyberangriffen zu erhöhen. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist ein Gesetz in Deutschland, das darauf abzielt, die EU-Richtlinie als NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz zur Netz- und Informationssicherheit (NIS2) in nationales Recht umzusetzen (NIS2-Umsetzung).

 

IT-Infrastrukturreinigung für sicherheitskritische Informationstechnologie

Die IT-Infrastrukturreinigung bezieht sich auf den Prozess der systematischen Reinigung von IT-Geräten, Rechenzentren und anderer technischer Infrastruktur. Diese kritische Maßnahme ist obligatorisch, um die Effizienz, IT-Sicherheit und hygienische Integrität von IT-Systemen sicherzustellen. Die Reinigung umfasst die Entfernung von Staub, Schmutz und Ablagerungen, die die Leistung und Funktionalität der Geräte beeinträchtigen könnten. Neben der rein physischen Sauberkeit ist die IT-Infrastrukturreinigung auch wichtig, um Themen wie digitale Datenschutz- und Sicherheitsrichtlinien einzuhalten. Sie kann die Lebensdauer von Hardwarekomponenten verlängern und das Risiko von Fehlfunktionen oder Ausfällen verringern. Die IT-Infrastrukturreinigung ist besonders in sensiblen Bereichen wie Rechenzentren, Serverräumen, 19-Zoll-Racks, zentralen Serversysteme, Storage-, Switch- Anlagen, Equipment, Informationen und elektronische Einrichtungen der Datenverarbeitung von großer KRITIS-Relevanz, um einen reibungslosen und sicheren Betrieb der EDV Technik und ICT Werkzeuge zu gewährleisten.

Links

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

BSI 200-4 Business Continuity Management - Community Draft

BSI 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO ist Informationssicherheit kein Zustand, sondern ein kontinuierlicher Prozess."