Kritische Infrastrukturen gefordert
Im Mai ist eine wichtige Übergangsfrist für Betreiber Kritischer Infrastrukturen abgelaufen. Sie betrifft die IT-Sicherheit und fordert die Umsetzung definierter Mindeststandards f...
Im Mai ist eine wichtige Übergangsfrist für Betreiber Kritischer Infrastrukturen abgelaufen. Sie betrifft die IT-Sicherheit und fordert die Umsetzung definierter Mindeststandards für den Schutz gegen Cyber-Attacken. Doch wer genau muss dieser Pflicht nachkommen? Wann Infrastrukturen kritisch sind und welche Schutzmaßnahmen deren Betreiber noch umsetzen müssen, erläutert der zweiteilige Beitrag von Arne Wriedt, Business Development Manager Versorger bei Assa Abloy. Im einführenden ersten Teil geht es um die Definition Kritischer Infrastrukturen und deren Herausforderungen für den Sicherheitsverantwortlichen sowie um aktuelle normative Fragestellungen.
Infrastrukturen bestimmen unseren Alltag, ohne sie wäre eine funktionierende Volkswirtschaft nicht möglich. Sie werden untergliedert in materielle Infrastrukturen wie Verkehrsnetze, öffentliche Gebäude, Datenleitungen und Kanalisation und immaterielle Infrastrukturen, wie die Bildung der Bürger. Die Rechtsordnung eines Staates wiederum ist Teil der institutionellen Infrastruktur. Der Ausfall solcher Versorgungsnetze kann weitreichende Folgen haben, dementsprechend sind sie vor Störungen zu schützen.
Besondere Aufmerksamkeit gilt den sogenannten Kritischen Infrastrukturen – kurz KRITIS. Die EU-Richtlinie 2008/114/EG aus dem Jahr 2008 definiert eine Kritische Infrastruktur als eine „(...) Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung (...)“ ist. Gefährdungen für solche KRITIS können natürliche Ereignisse, menschliches und technisches Versagen, Terrorismus und kriminelle Handlungen sowie Kriege sein.
KRITIS: Neun Sektoren – 29 Branchen
Die deutsche Bundesregierung setzt sich bereits seit Ende der 1990er-Jahre branchenübergreifend mit dem Schutz Kritischer Infrastrukturen auseinander. 2009 brachte das Bundesministerium des Inneren, BMI, die Nationale Strategie zum Schutz Kritischer Infrastrukturen, kurz KRITIS-Strategie, heraus. Darin sind KRITIS als Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen definiert. Deren Ausfall oder Beeinträchtigung hätte nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge. Die Infrastrukturen gliedert das BMI in neun Sektoren: Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Wasser. Die Sektoren werden nochmals in 29 Branchen unterteilt.
Mehr zum Thema auf unserer Microsite GIT Cyber Security:
KRITIS ja oder nein? Es gibt Prüfmöglichkeiten
Doch nicht alle Anlagen aus diesen Sektoren und Branchen zählen automatisch zu Kritischen Infrastrukturen. Die Zugehörigkeit ist im Einzelfall zu prüfen. Dazu stehen den Betreibern der jeweiligen Versorgungsnetzwerke verschiedene Hilfsmittel zur Verfügung – von der kommunalen bis zur EU-Ebene. Mit der EU-Richtlinie 2008/114/EG sind Kriterien für europäische KRITIS in den Bereichen Transport und Energie festgelegt. In Deutschland bietet seit 2016 die BSI-KRITIS Verordnung einen Rechtsrahmen zur Bestimmung Kritischer Infrastrukturen. Das Bundesamt für Sicherheit in der Informationstechnik, BSI, legt darin fest, welche Branchen und Unternehmen etwa unter das IT-Sicherheitsgesetz fallen. Dieses gilt bereits seit 2015.
Im Hauptteil der BSI-KRITIS-Verordnung werden die Auswahlkriterien für die Sektoren Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr präzisiert. Der Anhang wiederum gibt Schwellenwerte und deren Berechnungsformel vor. Ein Anhaltspunkt ist der Betroffenheitsgrad: Tangiert eine Betriebsstörung mehr als 500.000 Menschen, zählt das Unternehmen zur Kritischen Infrastruktur.
Schutz vor Cyber-Attacken ist Pflicht
Mit der KRITIS-Strategie rief die Bundesregierung bereits 2009 alle Akteure – vor allem Bund, Länder, Kommunen und die Privatwirtschaft – dazu auf, das Schutzniveau für Kritische Infrastrukturen in Deutschland zu erhöhen. Prävention, Reaktion und Nachhaltigkeit seien dabei wichtige Aspekte. Doch was genau können beziehungsweise müssen Betreiber Kritischer Infrastrukturen dafür tun? Das IT-Sicherheitsgesetz verpflichtet die Betreiber dazu ihre EDV stets auf dem Stand der Technik zu halten. Der Nachweis darüber ist alle zwei Jahre in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen zu erbringen (§ 8a Abs. 3, BSIG).
Die Sektoren Finanzen und Versicherungen, Transport und Verkehr sowie Gesundheit haben bis Juni 2019 Zeit, die hohen IT-Sicherheitsanforderungen umzusetzen und zu belegen. Für die Branchen Energie, IT und Telekommunikation, Wasser sowie Ernährung endete die Frist für die Nachweispflicht bereits im Mai 2018. Darüber hinaus müssen KRITIS-Betreiber eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen benennen, bei der jederzeit jemand erreichbar ist (§ 8b Abs. 3, BSIG). Zudem müssen sie erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI melden (§ 8b Abs. 4, BSIG).
Für den physischen Schutz gibt es bislang nur Empfehlungen
Während das IT-Sicherheitsgesetz den Schutz vor Cyberattacken abdeckt und verpflichtend ist, konzentriert sich das Basisschutzkonzept auf die Abwehr physischer Gefährdungen. Es ist als Leitfaden zu verstehen und somit nur Kür für die Betreiber von KRITIS. Neben Erläuterungen zu Gefährdungsarten und Empfehlungen für bauliche, organisatorische, personenbezogene und technische Schutzmaßnahmen, bietet das Basisschutzkonzept einen Fragenkatalog und ein Muster für eine Checkliste, mit denen die Betreiber von Infrastruktureinrichtungen arbeiten können.
Die Liste benennt Schutzmaßnahmen für die Bereiche Objektschutz, Personal, Organisation, Risikomanagement sowie Notfall- und Ausfallplanung. Zum Objektschutz beispielsweise zählen die Lage des Objektes, dessen bauliche Gestaltung, die Vorfeld- sowie Gebäudesicherung und der Brandschutz. Fragen, die zu diesen Punkten gestellt werden, beinhalten unter anderem den Abstand zu den Nachbargebäuden, die verkehrstechnische Erschließung des Gebäudes, aber auch das Schließsystem des Unternehmens.
Sicherheitstechnik für Gebäudeschutz
Bei der Umsetzung der baulichen Schutzmaßnahmen arbeiten Kritische Infrastrukturen mit Partnern zusammen, wie dem Sicherheitstechnik-Hersteller Assa Abloy. Mit seinen Marken Effeff und Ikon bietet er KRITIS-konforme Lösungen an. Dazu zählen Produkte aus den Bereichen Rettungswegtechnik, Zutrittskontrolle, Schließanlage sowie Schlüsselmanagement, die hinsichtlich aller gesetzlichen Anforderungen zertifiziert und geprüft sind. Die Hersteller beraten Architekten und Planer sowohl bei Neubauten, als auch bei der Umrüstung eines bestehenden Objekts. Hauseigene Experten besichtigen vor Ort den Ist-Zustand und erstellen individuelle Konzepte je nach Einsatzbereich.
Der Vorteil: Die Hersteller kennen sowohl die Anforderungen an KRITIS, als auch den neusten Stand der Sicherheitstechnik. Zudem können Probleme, die nach der Umsetzung auftauchen durch ein dichtes Partnernetz schnell behoben werden.
Risiko- und Krisenmanagement
Neben dem Basisschutzkonzept stellen das Bundesamt für Sicherheit in der Informationstechnik, BSI, und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BBK, noch weitere Leitfäden zur Verfügung. Darunter auch „Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement“. Er liefert Unternehmen das Handwerkszeug, um ein Risiko- und Krisenmanagement in Einrichtungen aufzubauen oder bestehende Systeme zu ergänzen. Das Dokument „Notstromversorgung in Unternehmen und Behörden“ wiederum gibt Anleitung für die Planung, Einrichtung und den Betrieb einer Versorgung in Unternehmen und Behörden mit Notstrom. Und hinsichtlich des Bevölkerungsschutzes bietet der Leitfaden „Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz“ Orientierung.
Mehr zum Thema auf unserer Microsite GIT Cyber Security:
Meist gelesen
Kommunale Sicherheit: Gespräch mit der Düsseldorfer Ordnungsdezernentin Britta Zur
Öffentliche Sicherheit der Stadt Düsseldorf im Zusammenspiel von Ordnungsamt und Polizei: Ordnungsdezernentin Britta Zur im Interview über die Kriminalitätsentwicklung, Gefahrenabwehr und Fußball-EM 2024.
Globale Konzernsicherheit bei der BMW Group
CSO Alexander Klotz ist für die globale Konzernsicherheit bei BMW Group zuständig. GIT SICHERHEIT hat sich mit ihm über Aufgaben und potentielle Bedrohungen unterhalten.
Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur
Ein Beitrag von Wilfried Joswig, Geschäftsführer beim Verband für Sicherheitstechnik VfS.
General Product Safety Regulation (GPSR): Was regelt sie und welche Akteure müssen sich damit befassen?
Neue EU-Produktsicherheitsverordnung (GPSR) ab 13.12.2024: Wichtige Änderungen und Anforderungen für Verbraucherprodukte
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.