Kritische Infrastrukturen bilden das Rückgrat der Versorgung und Sicherheit in Deutschland. Ihr Ausfall hätte weitreichende Folgen für Gesellschaft, Wirtschaft und öffentliche Sicherheit. Deshalb schreibt der Gesetzgeber verbindliche Sicherheitsüberprüfungen vor, um Ausfälle, Angriffe und Risiken frühzeitig zu erkennen und abzusichern.
(Bevorzugen Sie Videos? Unten finden Sie eine kurze Zusammenfassung.)
Bedeutung der Sicherheitsüberprüfung für KRITIS-Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Unternehmen, deren Ausfall schwerwiegende Folgen für die Gesellschaft hätte – etwa Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit. Zum Beispiel Stromnetze, Kliniken oder Wasserversorger.
Warum sind Sicherheitsüberprüfungen für KRITIS-Betreiber verpflichtend?
Aufgrund der hohen Risiken hat der Gesetzgeber regelmäßige Überprüfungen für KRITIS-Betreiber vorgeschrieben. Daher ist der regelmäßige Nachweis über die Einhaltung des Standes der Technik gesetzlich vorgeschrieben – so soll gewährleistet werden, dass kritische Dienste geschützt sind.
Überblick über die gesetzlichen Grundlagen gemäß § 8a BSIG
Die gesetzlichen Anforderungen an KRITIS-Betreiber sind im BSI-Gesetz, insbesondere in § 8a, festgelegt. Wichtigste Punkte sind dabei:
- KRITIS-Betreiber müssen angemessene Sicherheitsmaßnahmen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden.
- Durch das IT-Sicherheitsgesetz 2.0 wurde die Pflicht ergänzt, ab 1. Mai 2023 Systeme zur Angriffserkennung für kritische Infrastrukturen einzusetzen. Solche Intrusion-Detection-Systeme sollen kontinuierlich Anomalien und Angriffe erkennen, um Cyber-Bedrohungen frühzeitig abzuwehren.
- Verbände können sogenannte B3S – branchenspezifische Sicherheitsstandards vorschlagen. Das Bundesamt für Sicherheit in der Informationstechnik prüft, ob ein solcher B3S geeignet ist, die gesetzlichen Anforderungen zu erfüllen.
- Betreiber müssen die Erfüllung der Anforderungen nach § 8a BSIG spätestens alle zwei Jahre gegenüber dem BSI nachweisen.
Gleichzeitig wurde die Registrierungszeit um rund 70 % reduziert.
Anforderungen an die Sicherheitsüberprüfung
Um Systeme und Daten wirksam zu schützen, müssen Unternehmen die BSI-Vorgaben durch gezielte technische und organisatorische Maßnahmen umsetzen.
Technische und organisatorische Maßnahmen gemäß BSI-Anforderungskatalog
Ein zentrales Element ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS), etwa nach ISO/IEC 27001 oder BSI-Grundschutz, um Sicherheitsprozesse zu steuern. Technische Maßnahmen umfassen z.B. den Einsatz von Firewalls, Netzsegmentierung, Anti-Malware-Lösungen, Backup-Systemen sowie kontinuierliches Monitoring. Organisatorisch zählen unter anderem ein effektives Risikomanagement, Notfall- und Business-Continuity-Pläne sowie Mitarbeiterschulungen dazu.
Das BSI hat einen BSIG-Anforderungskatalog veröffentlicht, der als Orientierung für solche Maßnahmen dient.
Integration von Systemen zur Angriffserkennung (SzA)
Diese Pflicht bedeutet praktisch, dass Intrusion Detection/Prevention Systeme (IDS/IPS) und ähnliche Mechanismen in die Infrastruktur integriert sein müssen. Sie sollen fortwährend Bedrohungen identifizieren, Alarme auslösen und Gegenmaßnahmen ermöglichen.
Berücksichtigung branchenspezifischer Sicherheitsstandards (B3S)
Jede Branche hat ihre eigenen Besonderheiten – im Gesundheitswesen stehen z.B. Patientenversorgung und Datenschutz im Fokus, in der Energieversorgung sind Netzstabilität und physische Anlagensteuerung zentral. Um solchen Unterschieden gerecht zu werden, erlaubt das BSIG die Entwicklung branchenspezifischer Sicherheitsstandards (B3S). Wenn es einen anerkannten B3S für Ihre Branche gibt, sollten Sie diesen unbedingt berücksichtigen.
Ablauf einer standardisierten Sicherheitsüberprüfung
Der Ablauf einer KRITIS-Prüfung besteht aus Vorbereitung, Durchführung durch eine zertifizierte Prüfstelle für KRITIS sowie Nachbereitung und der formalen Meldung an das BSI. Dieser Ablauf ist inzwischen weitgehend standardisiert und erprobt, sodass Betreiber sich an bestehenden Orientierungsrahmen (BSI-Kataloge, B3S, ISO-Standards) und vergangenen Prüfungen orientieren können.
Vorbereitung und Auswahl der Prüfgrundlage
Wichtige Punkte für die Vorbereitung einer KRITIS-Prüfung sind:
- Sorgfältige Vorbereitung: Der Scope sollte alle kritischen Bereiche abdecken, aber keine irrelevanten Systeme einbeziehen.
- Fristen beachten: Mit der Registrierung teilt das BSI eine Frist mit, bis wann der Nachweis gemäß § 8a BSIG einzureichen ist – in der Regel alle zwei Jahre.
- Prüfgrundlage festlegen: Auswahl geeigneter Standards und Kriterien – z. B. BSI-Orientierungshilfe, BSIG-Anforderungskatalog oder branchenspezifische B3S.
- Abstimmung mit der Prüfstelle: Gemeinsames Verständnis der Prüfgrundlage und Anforderungen sicherstellen.
Durchführung der Prüfung durch zertifizierte Stellen
Die Durchführung der Sicherheitsüberprüfung obliegt einer unabhängigen, qualifizierten Prüfstelle. Wichtig: Nicht jeder beliebige Auditor darf eine KRITIS-Prüfung abnehmen. Zertifizierte Prüfstellen für KRITIS sind meist Prüf- oder Zertifizierungsorganisationen, die bestimmte Anforderungen erfüllen.
Erstellung des Prüfberichts und Nachweisführung gegenüber dem BSI
Am Ende der Prüfung erstellt die prüfende Stelle einen Bericht, der die geprüften Bereiche, festgestellten Sicherheitsmaßnahmen und eine Mängelliste mit Schweregraden und Handlungsempfehlungen enthält. Der KRITIS-Betreiber nutzt diesen Bericht, um einen Maßnahmenplan zur Behebung der Mängel zu entwickeln.
Für den formalen Nachweis gemäß § 8a BSIG müssen anschließend die vom BSI vorgegebenen Formblätter (KI, PS, PD, PE) ausgefüllt, unterzeichnet und alle zwei Jahre an das KRITIS-Büro des BSI übermittelt werden. Das BSI prüft die Vollständigkeit der Unterlagen und die Einhaltung der Sicherheitsanforderungen, kann zusätzliche Nachweise anfordern oder bei gravierenden Mängeln Nachbesserungen verlangen. Sind alle Anforderungen erfüllt, gilt der Nachweis als erbracht, bis zur nächsten regulären Prüfung.
Mit den Lösungen von friendlyway.
Herausforderungen und Best Practices
Die Sicherheit kritischer Infrastrukturen hängt davon ab, wie effektiv Betreiber ihre komplexen Systeme managen und kontinuierlich verbessern.
Umgang mit komplexen IT-Infrastrukturen
KRITIS-Betreiber müssen oft komplexe und heterogene IT-Infrastrukturen absichern. In Bereichen wie Energie, Verkehr oder Produktion treffen moderne IT-Systeme auf veraltete Technik – etwa Steuerungsrechner aus den 2000er-Jahren.
In solchen Fällen helfen kompensierende Maßnahmen wie strikte Netzsegmentierung: Ältere oder nicht patchbare Systeme werden in isolierte Zonen verlagert und nur mit minimalen Schnittstellen betrieben. So lassen sich Angriffe effektiv eindämmen. Das BSI akzeptiert solche pragmatischen Ansätze, wenn deren Wirksamkeit nachvollziehbar dokumentiert ist.
Schulung und Sensibilisierung der Mitarbeiter
Bei allen technischen Maßnahmen darf der Faktor Mensch nicht vergessen werden. Viele Angriffe zielen auf Benutzer (etwa via Phishing), und Bedienfehler können Sicherheitsmechanismen aushebeln. Alle Mitarbeiter – vom Vorstand bis zum Operator in der Leitwarte – müssen verstehen, welche Rolle sie für die Sicherheit spielen.
Kontinuierliche Verbesserung und Aktualisierung der Sicherheitsmaßnahmen
Nach jeder Sicherheitsüberprüfung sollten die Ergebnisse intern ausgewertet werden. Kein Audit ist perfekt, typischerweise werden in jedem Prüfbericht einige Mängel oder Optimierungspotenziale aufgelistet. Diese fließen in einen Maßnahmenkatalog ein, den der Betreiber bearbeitet – priorisiert nach Risiko.
Konsequenzen bei Nichteinhaltung der Anforderungen
Bei Nichteinhaltung drohen Strafen, mögliche behördliche Einschränkungen bis hin zur Schließung und erhebliche Rufschäden.
Mögliche Sanktionen und Bußgelder
Grundsätzlich drohen Geldbußen von bis zu 2 Millionen Euro für einen Verstoß. Handelt es sich um ein Unternehmen (juristische Person) als Täter, kann dieser Rahmen gemäß Ordnungswidrigkeitengesetz sogar auf bis zu 20 Millionen Euro angehoben werden.
Auswirkungen auf die Betriebserlaubnis und Reputation
Neben Geldstrafen drohen KRITIS-Betreibern aufsichtsrechtliche Maßnahmen und Reputationsverluste. Sicherheitsvorfälle können Vertrauen, Kunden und regulatorische Freiheiten gefährden. Proaktive Sicherheitsmaßnahmen schützen nicht nur die Allgemeinheit, sondern sichern auch die Unternehmensreputation und Betriebserlaubnis.
FAQ
Ob Ihr Unternehmen KRITIS ist, hängt davon ab, in welchem Sektor es tätig ist und ob die definierte Größenordnung erreicht wird. Im Zweifel kann eine Betroffenheitsanalyse durchgeführt werden, um das eindeutig festzustellen.
Das BSI-Gesetz schreibt vor, dass KRITIS-Betreiber spätestens alle 2 Jahre einen Sicherheitsaudit/Nachweis erbringen müssen.
Die ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme und somit äußerst relevant für KRITIS-Betreiber. Viele Organisationen in kritischen Sektoren nutzen ISO 27001 als Fundament, um ihre Sicherheitsprozesse zu strukturieren und zu verbessern.
Frühzeitige Umsetzung führt zu mehr Sicherheit, weniger Risiko und verschafft organisatorische wie strategische Vorteile. Im Gegensatz dazu erhöht Zögern nur den Druck und potenzielle Schäden. Deshalb empfehlen Experten, sobald man als KRITIS identifiziert ist (oder absehbar identifiziert wird), umgehend mit der Planung der notwendigen Schritte zu beginnen.
Man sollte externe Prüfer als Partner und Unterstützer betrachten, nicht als Feinde. Wenn man transparent agiert, frühzeitig plant und den Prüfprozess ernst nimmt, wird die Zusammenarbeit konstruktiv verlaufen. Das Ergebnis ist dann nicht nur ein Haken auf der Compliance-Liste, sondern ein echter Mehrwert für die Sicherheit.
