KRITIS-Anforderungen: Compliance für kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Unternehmen, deren Ausfall gravierende Folgen für die Versorgung der Gesellschaft und die öffentliche Sicherheit hätte. Entsprechend streng sind die Vorgaben für Informationssicherheit in KRITIS. Man kann sogar sagen, es gibt ein spezielles IT-Sicherheitsgesetz für KRITIS-Betreiber: Zahlreiche gesetzliche KRITIS-Anforderungen verpflichten diese Unternehmen zu besonderer Vorsicht. Dieser Leitfaden erklärt, wie Sie technische, organisatorische und rechtliche KRITIS-Anforderungen effizient umsetzen und Ihre KRITIS-Compliance sicherstellen.

Grundlagen der KRITIS-Regulierung

Gesetzliche Rahmenbedingungen

Das zentrale Regelwerk ist das IT-Sicherheitsgesetz (IT-SiG) in Verbindung mit dem BSI-Gesetz und der BSI-Kritisverordnung. Diese bilden seit 2015 den Rahmen der KRITIS-Regulierung. §8a BSIG schreibt vor, dass KRITIS-Betreiber ihre IT-Systeme durch angemessene technische und organisatorische Maßnahmen nach Stand der Technik absichern und erhebliche IT-Sicherheitsvorfälle an das BSI melden.

Das IT-SiG 2.0 von 2021 hat den Geltungsbereich erweitert – Schwellenwerte wurden angepasst und zusätzliche kritische Sektoren aufgenommen, sodass nun deutlich mehr Organisationen wirksame Sicherheitsmaßnahmen ergreifen müssen. Außerdem gehören seit IT-SiG 2.0 z.B. Systeme zur Angriffserkennung ausdrücklich zu den Pflichtmaßnahmen. 

Betroffene Sektoren

Die KRITIS-Verordnung (BSI-KritisV) definiert die relevanten Sektoren und legt Schwellenwerte fest, ab wann ein Betreiber als KRITIS-Betreiber gilt. Das sind aktuelle KRITIS-Sektoren.

Meldepflichten verstehen

KRITIS-Betreiber müssen sich unverzüglich nach der Identifikation als solche beim BSI registrieren und eine jederzeit erreichbare Kontaktstelle benennen. Darüber hinaus gilt: erhebliche IT-Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden – KRITIS-Meldungen an das BSI sind gesetzliche Pflicht. Sobald Sie also in Ihrem KRITIS-Unternehmen einen größeren IT-Sicherheitsvorfall feststellen, müssen Sie diesen IT-Sicherheitsvorfall melden und alle erforderlichen Informationen bereitstellen. Diese Meldepflichten für KRITIS-Betreiber ermöglichen es dem BSI, bei Bedarf unterstützend einzugreifen, und sie dienen der schnellen Information der Behörden zum Schutz der Allgemeinheit.

Technische KRITIS-Anforderungen

IT-Sicherheitsstandards

Ein zentrales Element ist ein Informationssicherheits-Managementsystem (ISMS), das den Aufbau, die Umsetzung und Überwachung aller Sicherheitsprozesse steuert. Ein effektives ISMS für KRITIS orientiert sich an anerkannten Normen wie ISO/IEC 27001 oder dem BSI-Grundschutz in KRITIS-Umgebungen. So kann z. B. eine ISO 27001-Zertifizierung helfen, die gesetzlichen KRITIS-Anforderungen umzusetzen – allerdings nur, wenn der Geltungsbereich und die Maßnahmen alle kritischen Dienste ausreichend abdecken. Zusätzlich gibt es branchenspezifische Sicherheitsstandards (B3S), die die allgemeinen BSI-KRITIS-Anforderungen für einzelne Sektoren konkretisieren.

Systemhärtung implementieren

Das bedeutet, IT-Systeme und Netzwerke so abzusichern, dass Angreifer möglichst wenig Angriffsfläche vorfinden. In der Praxis sollten nur erforderliche Dienste auf Servern laufen, unnötige Ports geschlossen und Standard-Passwörter konsequent geändert werden. Ein effizientes Patch-Management stellt sicher, dass Sicherheitsupdates zeitnah installiert werden, um bekannte Schwachstellen zu schließen. Durch diese Maßnahmen reduzieren KRITIS-Betreiber deutlich das Risiko, dass unerlaubt in ihre Systeme eingedrungen wird.

Notfallmanagement aufbauen

Trotz aller Prävention: Kritische Infrastrukturen müssen darauf vorbereitet sein, dass doch einmal ein schwerwiegender Vorfall eintritt. Notfallmanagement bedeutet, Pläne und Prozesse für den Ernstfall aufzubauen. Dazu gehört ein IT-Notfallplan, der beschreibt, wie der Betrieb bei Ausfällen aufrechterhalten wird – etwa durch manuelle Verfahren oder Umschalten auf Ersatzsysteme.

Redundanzsysteme einrichten

Eine bewährte technische Maßnahme zur Ausfallvorsorge ist der Aufbau von Redundanzsystemen. Kritische Komponenten Ihrer Infrastruktur sollten doppelt oder mehrfach vorhanden sein, idealerweise an unterschiedlichen Standorten. Fällt ein System aus, kann nahtlos auf das redundante System umgeschaltet werden, sodass der Dienst für die Bevölkerung weiterläuft. Für KRITIS-Unternehmen ist hohe Verfügbarkeit essenziell – Redundanzen sorgen dafür, dass ein einzelner Ausfall nicht zum Versorgungsausfall führt.

Organisatorische Maßnahmen

Verantwortlichkeiten definieren

Eine der zentralen Pflichten von KRITIS-Betreibern ist es, klare Verantwortlichkeiten im Bereich der Informationssicherheit zu definieren. Das Management sollte die Wichtigkeit der Cybersicherheit in kritischen Infrastrukturen vorleben und einen Informationssicherheits-Beauftragten (CISO/ISB) benennen, der die Umsetzung der Sicherheitsmaßnahmen koordiniert. Zudem empfiehlt es sich, ein übergreifendes Sicherheitsteam oder -gremium einzurichten, in dem Vertreter aller relevanten Abteilungen (IT, OT, Management, Recht etc.) vertreten sind.

Dokumentationspflichten

Strenge Dokumentationspflichten in KRITIS schreiben vor, dass alle sicherheitsrelevanten Prozesse und Maßnahmen nachvollziehbar dokumentiert werden. KRITIS-Betreiber müssen unter anderem ein aktuelles Sicherheitskonzept, Richtlinien, Risikoanalysen und Nachweise über getroffene Maßnahmen vorhalten. Diese Dokumentation dient einerseits internen Zwecken – sie hält den Sicherheitsstatus und Verbesserungsbedarf fest – und andererseits als Nachweis gegenüber Aufsichtsbehörden und Auditoren. Kommt es beispielsweise zu einer KRITIS-Prüfung und Nachweise erbracht werden müssen, erwartet das BSI Einsicht in Konzepte, Protokolle und Berichte.

Personalqualifikation

Menschliches Versagen ist oft eine Schwachstelle, daher spielt die Personalqualifikation eine große Rolle. Stellen Sie sicher, dass die Mitarbeiter, insbesondere in sicherheitskritischen Bereichen, ausreichend geschult sind. Dazu gehören regelmäßige Schulungen zur Sensibilisierung, damit alle Beschäftigten die Gefahren von Phishing, Social Engineering & Co. kennen und richtig darauf reagieren. Speziell verantwortliche IT- und OT-Fachkräfte sollten vertiefte Kenntnisse in Bereichen wie Netzwerksicherheit, Industrial Security oder Kryptografie haben – durch Zertifizierungen oder Fortbildungen.

Prozessüberwachung

Dies bedeutet zunächst, definierte Sicherheitsprozesse im Alltag auch tatsächlich einzuhalten: etwa Change-Management-Prozesse für Updates oder Zugriffskontrollprozesse beim Onboarding neuer Mitarbeiter. Darüber hinaus sollten KRITIS-Betreiber Mechanismen zur Überwachung kritischer Systeme einrichten, z. B. durch ein zentrales Security Monitoring oder SIEM-System, das ungewöhnliche Aktivitäten frühzeitig erkennt. Berichte über Security-KPIs können helfen, den Status der Sicherheit laufend zu bewerten. Wichtig ist auch ein internes Kontrollsystem: Führen Sie z. B. regelmäßige interne Audits oder Peer-Reviews von Sicherheitsprozessen durch.

Risikomanagement für KRITIS

Bedrohungsanalyse durchführen

Eine umfassende Risikoanalyse für KRITIS beginnt mit einer systematischen Bedrohungsanalyse. Dabei werden alle potenziellen Gefährdungen identifiziert, die auf die kritischen Systeme und Dienstleistungen einwirken könnten. Dazu zählen:

• Cyber-Bedrohungen wie Hackerangriffe, Malware-Epidemien oder Insider-Manipulation,
• physische Risiken (etwa Stromausfälle, Brand, Hochwasser),
• menschliches Versagen. 

Durch Brainstorming, branchenspezifische Erkenntnisse (CERT-Warnungen, BSI-Lageberichte) und historische Vorfälle entsteht ein möglichst vollständiges Bild der Bedrohungslage. Diese Bedrohungsanalyse ist die Basis für alle weiteren Schritte im KRITIS-Risikomanagement.

Schutzbedarfsermittlung

Nicht jede Komponente ist gleichermaßen kritisch – daher folgt auf die Bedrohungsanalyse die Schutzbedarfsermittlung. Hier bewerten Sie, wie kritisch jedes Asset, System oder jeder Prozess für Ihr Unternehmen und die Allgemeinheit ist. In der Regel kategorisiert man den Schutzbedarf (etwa in normal, hoch, sehr hoch), basierend auf den möglichen Schäden in Kategorien wie Versorgungssicherheit, öffentliche Sicherheit, finanzieller Schaden und Image. BSI-Grundschutz in KRITIS-Organisationen bietet hier methodische Hilfestellung, indem er Leitfäden zur Schutzbedarfsfeststellung bereitstellt. 

Präventionsstrategien

Auf Basis von Bedrohungsanalyse und Schutzbedarfsbewertung werden nun Präventionsstrategien entwickelt. Das Ziel: Risiken gar nicht erst eintreten zu lassen. Dafür werden technische, organisatorische und personelle Maßnahmen geplant, um den identifizierten Bedrohungen vorzubeugen.

Incident Response planen

In einem Incident-Response-Plan wird festgelegt, welche Schritte zu unternehmen sind, sobald ein Angriff oder eine Störung entdeckt wird. Dazu gehören klare Anweisungen: Wer entscheidet über Gegenmaßnahmen? Wie werden betroffene Systeme isoliert oder heruntergefahren, um Schaden zu begrenzen? Welche Kommunikation erfolgt intern und an die Öffentlichkeit? Der Plan legt auch fest, wie ein IT-Sicherheitsvorfall zu melden ist – intern sowie extern an Stellen wie das BSI. Es sollte also genau definiert sein, unter welchen Umständen und wie Sie einen IT-Sicherheitsvorfall melden und welche Kontaktwege genutzt werden.

Compliance-Nachweis

Audit-Vorbereitung

Ein zentrales Element der KRITIS-Compliance ist der regelmäßige KRITIS-Audit nach §8a BSIG. Alle KRITIS-Betreiber müssen in Form solcher Sicherheitsaudits alle zwei Jahre dem BSI gegenüber nachweisen, dass sie angemessene Maßnahmen umgesetzt und die Technikstandards eingehalten haben. Führen Sie idealerweise vor dem offiziellen Audit einen internen Check oder Pre-Audit durch, um Schwachstellen aufzudecken und beheben zu können. So gehen Sie gut vorbereitet in die Prüfung und vermeiden böse Überraschungen. Denken Sie daran, dass sich der Audit-Fokus auch ändern kann – etwa neue Anforderungen wie Systeme zur Angriffserkennung müssen dann ebenfalls nachgewiesen werden.

Zertifizierungsprozesse

Oft greifen KRITIS-Unternehmen auf formale Zertifizierungsprozesse zurück, um die Umsetzung von Sicherheitsstandards nachzuweisen. Eine verbreitete Option ist etwa die Zertifizierung nach ISO 27001 in KRITIS-Kontext, die ein umfassendes ISMS bestätigt. Auch BSI-Zertifizierungen auf Basis von IT-Grundschutz sind möglich. Solche Zertifikate dienen als objektiver Beleg, dass Ihr Informationssicherheits-Management den anerkannten Standards entspricht – und erleichtern damit den KRITIS-Compliance-Nachweis gegenüber dem BSI und Kunden.

Kontinuierliche Überprüfung

Sicherheit ist kein einmaliges Projekt, sondern ein permanenter Prozess – daher ist eine kontinuierliche Überprüfung und Verbesserung aller Sicherheitsvorkehrungen unerlässlich. Die Bedrohungslage entwickelt sich stetig weiter, genauso wie Technologien und Geschäftsprozesse, und Ihre Schutzmaßnahmen müssen Schritt halten. Etablieren Sie einen Prozess der kontinuierlichen Verbesserung für Ihr Sicherheitsmanagement. 

Nachweisdokumentation

Hier fließt alles zusammen, was Ihr Unternehmen unternommen hat, um die KRITIS-Vorgaben zu erfüllen. In einer Nachweisdokumentation werden: 

• Prüfprotokolle externer Audits, 
• interne Auditberichte, 
• Umsetzungsnachweise für alle Sicherheitsmaßnahmen, 
• Schulungsdokumentationen des Personals,
• die Ergebnisse der Risikoanalysen gesammelt. 

Diese Unterlagen dienen als Beleg dafür, dass Sie Ihre KRITIS-Compliance nicht nur geplant, sondern tatsächlich umgesetzt haben. Die Nachweisdokumentation ist Ihr Dossier der Sicherheit – sie beweist Schwarz auf Weiß, dass Informationssicherheit in KRITIS bei Ihnen nicht nur Theorie, sondern gelebte Realität ist.