KRITIS: Aufgeschoben ist nicht aufgehoben

Jens Jürgensen, Branchenmanager für öffentliche Auftraggeber bei Bosch Building Technologies, sieht die Verzögerung bei der Verabschiedung des KRITIS-Dachgesetzes durchaus positiv: „Betreiber kritischer Infrastrukturen können sich jetzt umso intensiver mit möglichen Risiken auseinandersetzen und in die Maßnahmenplanung einsteigen. Im Idealfall sind sie dann schon optimal vorbereitet, wenn das Gesetz in Kraft tritt. Einfach abzuwarten, würde sie nur wertvolle Zeit kosten.“ – Doch was bedeutet das für Unternehmen, die unter das neue Gesetz fallen? Welche konkreten Schritte können sie jetzt schon einleiten?

In der Vergangenheit hat sich bei den KRITIS-Experten von Bosch Building Technologies eine mehrstufige, strategische Umsetzungsplanung bewährt. Sie ist bereits praxiserprobt in der Bearbeitung bisheriger Projekte von KRITIS-Kunden. Dieser sogenannte Co-Creation-Prozess besteht im Wesentlichen aus vier Phasen, die aufeinander aufbauen. Der Begriff „Co-Creation“ ist darauf zurückzuführen, dass nicht einer der Prozessbeteiligten im Sinne einer Top-Down-Kommunikation die Vorgehensweise bestimmt, sondern ein möglichst kooperativer Prozess entstehen soll, in dem Kunde und Berater im engen Austausch jeden Schritt gemeinsam abstimmen. Damit besteht auch jederzeit die Möglichkeit korrigierend einzugreifen, etwa wenn bestimmte Parameter aufgrund einer neu bewerteten Lage angepasst werden müssen. 

Schritt für Schritt zu mehr Resilienz 

Der Ablauf des Co-Creation-Prozesses beginnt mit der Analysephase. Sie dient der individuellen Gefährdungs- und Risikoanalyse für die technische Anlage oder Einrichtung, definiert mögliche Bedrohungsszenarien, legt Täterprofile fest und leitet daraus mögliche Schutzziele ab. Durch einen Ist-Soll-Vergleich wird der konkrete Bedarf an Schutzmaßnahmen abgeleitet. Diese Phase wird in erster Linie vom Betreiber selbst übernommen.

In der zweiten Stufe – der Konzeptionsphase – werden dann die externen KRITIS-Berater eng eingebunden. Gemeinsam wird das konkrete Schutzkonzept zusammen mit der Ausführungsplanung entwickelt. Es enthält unter anderem das Sektoren- und Zonenkonzept mit dem jeweiligen Schutzbedarf sowie das Lastenheft. Dabei werden genaue Perimeter definiert, die einen bestimmten Schutzbedarf haben. So kann beispielsweise bei einem äußeren Sektor, der vom Kern der Anlage weit entfernt ist, ein Schutzzaun genügen, während in einem inneren Sektor Bewegungsdetektoren und Berührungssensoren sinnvoll sind. Abschluss der Phase 2 sollte ein verabschiedetes Maßnahmenpaket sein, das alle regulatorischen Anforderungen erfüllt.

Was bei der Umsetzung zu beachten ist

Daran schließt sich als dritter Schritt die Umsetzungsphase an. In diesem zeitlichen Abschnitt erfolgt die Auswahl geeigneter Produkte für das Schutzkonzept. Gemäß Werksplanung werden sie implementiert und in ein Risikomanagement-System eingebunden. Dieses System ermöglicht den Mitarbeitenden der Objektsicherheit, jeden Alarmierungspunkt oder Ort des Zutrittswunsches exakt zu identifizieren und per Videobild zu überwachen. Entsprechend der mit der Konzernsicherheit abgestimmten Verhaltensanweisungen können die Mitarbeitenden darauf zielgerichtet reagieren.

Als vierte und letzte Etappe folgt schließlich die Betriebsphase. Hier steht die Sicherung der Funktionsfähigkeit aller Komponenten durch regelmäßige Sicherheits-Updates und Patches im Vordergrund – ebenso wie das rund um die Uhr verfügbare Störungsmanagement. Durch eine regelmäßige Validierung zur Einhaltung der Schutzziele bleibt das Sicherheitskonzept immer auf dem neuesten Stand. Das für die Einhaltung des KRITIS-Dachgesetzes zuständige Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sieht vor, dass alle vier Jahre eine aktualisierte Risikoanalyse und -bewertung durchgeführt werden sollte. 

Der Co-Creation-Prozess ist also kein singuläres Projekt, sondern er beginnt in regelmäßigen Abständen immer wieder von neuem. Ein solch geplanter und strukturierter Kreislaufprozess hat den Vorteil, dass die Stellschrauben bei Bedarf nachjustiert werden können. Ein weiterer Vorteil des Phasenmodells: Die Analysephase kann bereits jetzt durchgeführt werden, obwohl das Gesetz noch nicht verabschiedet ist. Unternehmen verlieren keine wertvolle Zeit, sondern sind schon „KRITIS-ready“, wenn die Politik das Gesetzesvorhaben endgültig beschließt.

Weitere Hintergründe zum KRITIS-Dachgesetz sind auf der Website von  Bosch Building Technologies verfügbar.