Der Begriff KRITIS steht für kritische Infrastruktur. Versorger, die kritische Infrastruktur, wie beispielsweise Elektrizität, Kraftstoffe und Wasser bereitstellen, sind für unsere Gesellschaft unverzichtbar. Längere Unterbrechungen in der Versorgung würden die Stabilität der Gesellschaft ernsthaft gefährden.
Weil der Stabilität in der Versorgung eine solch hohe Bedeutung zukommt, hat der Staat gesetzliche Vorgaben geschaffen. KRITIS-Unternehmen sind dazu verpflichtet, gezielte Schutzmaßnahmen zu ergreifen. Betreiber, die dieser Verpflichtung nicht nachkommen, riskieren Bußgelder.
Insbesondere im Feld der IT-Sicherheit sind umfassende Maßnahmen zu ergreifen. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) kennt ein breites Spektrum an Ordnungswidrigkeiten, die mit Bußgeldern von bis zu 2 Mio. Euro geahndet werden können.
Was sind kritische Infrastrukturen?
Organisationen und Einrichtungen gehören den kritischen Infrastrukturen an, wenn Störungen oder Ausfälle in der Versorgung zur Beeinträchtigung der öffentlichen Sicherheit führen oder mit ähnlich kritischen Folgen zu rechnen ist.
Kritische Infrastrukturen sind in verschiedene Branchen und Sektoren unterteilt:
- Wasser
- Energie
- Ernährung
- Finanz- und Versicherungswesen
- Gesundheit
- Informationstechnik und Telekommunikation
- Siedlungsabfallentsorgung
- Medien und Kultur
- Staat und Verwaltung
- Transport und Verkehr
Ob ein Versorgungsbetrieb den kritischen Infrastrukturen zugeschrieben wird, ist vom Betreiber in Eigenregie zu überprüfen. Es findet keine automatische Prüfung durch den Staat statt. Vielmehr müssen Betriebe eine Selbstfeststellung durchführen. Prüfbögen zur Identifikation stellt das BSI bereit.
Gefahren und Angriffsziele
Aufgrund ihrer hohen Bedeutsamkeit für die Gesellschaft sind KRITIS Betriebe als Angriffsziele zu betrachten. Angriffe ereignen sich häufiger als je zuvor. Hierbei handelt es sich überwiegend um Cyberangriffe, die von Kriminellen ausgehen. Deren häufigstes Ziel besteht darin, Gelder zu erpressen, beispielsweise durch den Einsatz von Ransomware bzw. die Verschlüsselung von Daten auf den Systemen der Opfer.
Derartige Angriffe sind als äußerst gefährlich einzustufen. Heutige IT-Strukturen im Versorgerumfeld sind meist umfassend und komplex, sodass schon kleine Eingriffe von außerhalb die Infrastruktur zum Erliegen bringen können.
Das Spektrum an Gefahren, denen sich die Versorger konfrontiert sehen, beschränkt sich keineswegs auf Cyberangriffe. Tatsächlich ist es viel breiter gefächert:
Natürliche Gefahren
- Dürren
- Erdbeben
- Epidemien, Pandemien
- Starkniederschläge, Hochwasser
- Stürme, Tornados
Anthropogene Gefahren
- Cyberangriffe
- Krieg
- Sabotage
- Systemversagen
- Terrorismus
- Unfälle
Welche Verpflichtungen zum Schutz bestehen?
Aufgrund der ernsthaften Tragweite, die bei Ausfällen und Störungen der kritischen Infrastruktur drohen, müssen betroffene Versorger vorbeugen. Dies bedeutet Risikomanagement zu betreiben, also Risiken zu erkennen und zu bewerten, um anschließend Maßnahmen zu treffen, die die jeweiligen Risiken ausschließen oder verringern.
Weil KRITIS Betriebe für die Gesellschaft so wichtig sind, existieren gesetzliche Regelungen, die entsprechende Organisationen und Einrichtungen zur Ergreifung von Schutzmaßnahmen verpflichten. Diese Regelungen sind in verschiedenen Gesetzen verankert. Welche davon für einzelne Versorger relevant sind, hängt von verschiedenen Faktoren ab, wie z.B. der Branche. Regelungen betreffend des Schutzes kritischer Infrastrukturen sind im BSI-Gesetz zu finden.
Die gesetzlichen Vorgaben beschränken sich keineswegs auf die Pflicht zur Ergreifung von Absicherungsmaßnahmen. In einigen Feldern, wie z.B. der IT-Security, besteht außerdem eine Nachweispflicht. Betroffene Organisationen und Einrichtungen sind dazu verpflichtet, ergriffene Maßnahmen nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert z.B. die regelmäßige Einreichung von Nachweisen hinsichtlich Zertifizierungen und Rezertifizierungen.
Informationssicherheit
IT-Systeme aus dem KRITIS-Umfeld sind als kritische Informationsstrukturen zu betrachten. Wie bereits angedeutet, kommt deren Absicherung (Critical Information Infrastructure Protection, kurz CIIP) eine hohe Bedeutung zu.
Die notwendige Absicherung ist erreichbar, indem sich Versorger der Informationssicherheit verschreiben. Mit solch einer Entscheidung wird auf eine nachhaltige Lösung gesetzt, die ein permanent hohes Sicherheitsniveau gewährleisten soll. Zentrale Elemente dieser Strategie sind:
- ISMS: Einführung eines Informationssicherheitsmanagementsystems, um einen ganzheitlichen Ansatz zu verfolgen und via Regelkreislauf die Aufrechterhaltung zu gewährleisten.
- ISB: Benennung eines Informationssicherheitsbeauftragten, der der sich um entscheidende Belange kümmert und unter anderem als Ansprechpartner zur Verfügung steht.
- Zertifizierung: Eine Zertifizierung gemäß BSI Grundschutz sowie später folgende Rezertifizierungen weisen das erreichte Schutzniveau nach.
Was hat eine fehlende oder unzureichende Absicherung zur Folge?
KRITIS-Versorger sind gesetzlich dazu verpflichtet, ihre Anlagen und Systeme vor relevanten natürlichen und anthropogenen Gefahren zu schützen. Ist die Absicherung unzureichend oder fehlt sie gänzlich, liegt ein Verstoß vor. Dieser kann je nach Bereich und dem zugrunde liegenden Gesetz unterschiedlich bestraft werden. Bei Verstößen im Feld der Informationssicherheit drohen Bußgelder von bis zu zwei Millionen Euro.