KRITIS: Was sind kritische Infrastrukturen und wie werden ihre IT-Systeme geschützt?

12. November 2021

Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.

1. Essentiell für Gesellschaft und Sicherheit: Kritische Infrastrukturen
2. Was sind kritische Infrastrukturen?
3. Wie erfolgt der Sicherheitsnachweis?
4. Aktuelle Fälle

Essentiell für Gesellschaft und Sicherheit: Kritische Infrastrukturen

Energie- und Wasserversorgung, Transport und Nahverkehr, Internet und Telekommunikation: All diese Infrastrukturen sind für die Aufrechterhaltung unserer Gesellschaft und zur Gestaltung unseres Alltags essentiell. Die zunehmende Digitalisierung ermöglicht für solche Infrastrukturen eine immer effizientere und intelligentere Steuerung, führt jedoch auch dazu, dass viele Bereiche unseres täglichen Lebens heute von moderner Technik bestimmt werden. Der ordnungsgemäße Betrieb solch kritischer Infrastrukturen hängt demnach zunehmend auch von funktionierenden IT-Systemen ab und Störungen oder Ausfälle im IT-Betrieb können gravierende Auswirkungen auf die Sicherheit und das Wohlergehen ganzer Gesellschaften haben. Angriffe durch Cyberkriminelle, Terroristen oder feindliche staatliche Akteure sind dabei nur eine Quelle von Bedrohungen, die in den letzten Jahren stetig zugenommen haben.

Um die für die Allgemeinheit essentiellen, kritischen Infrastrukturen bestmöglich zu schützen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gesetzliche Vorgaben erlassen: Mit dem IT-Sicherheitsgesetz (IT-SiG) werden Betreiber von kritischen Infrastrukturen (KRITIS) verpflichtet, Mindestanforderungen an die IT-Sicherheit erfüllen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden.

Was sind kritische Infrastrukturen?

Als kritische Infrastrukturen (KRITIS) definiert das BSI solche Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.  Hierzu zählen Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, Abfallentsorgung und Unternehmen mit besonderem öffentlichen Interesse. Für jeden dieser KRITIS-relevanten Sektoren hat das BSI unterschiedliche Schwellenwerte festgelegt, die sich auf die Anzahl der Personen, die ein Unternehmen versorgt, oder das Volumen der regelmäßig erbrachten Dienstleistungen beziehen. Erreicht ein Unternehmen den für seinen Sektor relevanten Schwellenwert, so gilt es als Betreiber kritischer Infrastrukturen und ist gesetzlich verpflichtet, den KRITIS-Sicherheitsnachweis zu erbringen.

KRITIS-relevante Sektoren
KRITIS-relevante Sektoren: Illustration

Wie erfolgt der Sicherheitsnachweis?

Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht anfertigen lassen, mit dem sie dem BSI bestätigen, dass sie angemessene organisatorische und technische Vorkehrungen zum Schutz vor Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse getroffen haben. Die Informationssicherheit muss dabei dem aktuellen Stand der Technik entsprechen. Um dies nachzuwiesen, müssen KRITIS-Betreiber ein durch § 8a Absatz 3 BSIG reguliertes Audit durch einen unabhängigen Prüfer durchführen lassen, der strengen Auflagen genügen muss.

Aktuelle Fälle

In der Presse ist immer wieder von Ausfällen oder Störungen kritischer Infrastrukturen zu lesen, die mit teils schwerwiegenden Auswirkungen auf die Lebensgestaltung eines beträchtlichen Anteils der Bevölkerung einhergehen. Sind diese Ausfälle die Folge von beispielsweise menschlichem Versagen, Naturgewalt oder technischen Defekten, die nicht die IT betreffen, sind rechtliche Erwägungen und Konsequenzen durch andere Gesetze geregelt. Liegt die Ursache aber in Fehlern, Störungen oder Sicherheitslücken der IT-Systeme, fallen diese Vorfälle unter das IT-Sicherheitsgesetz.

Deutsche Bahn AG

Die Deutsche Bahn ist ein klassisches Beispiel für eine kritische Infrastruktur im Sektor Transport und Verkehr in Deutschland – schließlich sind nicht nur viele Berufspendler, Touristen und Fernreisende auf einen funktionierenden Schienenverkehr angewiesen. Ausfälle im Güterverkehr können zudem zu weitreichenden Liefer- und Versorgungsengpässen führen.

Im Frühling 2017 grassiert die RansomWare WannaCry weltweit. Die Schadsoftware infiziert ältere, ungepatchte Windows-Versionen, verschlüsselt die Daten auf den befallenen Rechnern und fordert Nutzer dazu auf, ein Lösegeld zu zahlen, um ihre Daten zurückzuerhalten. Neben vielen weiteren Unternehmen und Organisationen in der ganzen Welt waren auch etwa 450 Rechner der Deutschen Bahn kompromittiert: Das System der digitalen Anzeigetafeln, Ticketautomaten und die Videoüberwachung in den Bahnhöfen waren betroffen und der ordnungsgemäße Betrieb konnte erst nach einigen Tagen wieder hergestellt werden.

Akamai

Das US-Unternehmen Akamai ist ein weltweit operierender Internet-Dienstleister, der unter anderem Content-Delivery-Services (Content Delivery Network, CDN) erbringt. CDN sind für die Bereitstellung von Internetdiensten von entscheidender Bedeutung, da sie fast allen Webseiten vorgeschaltet sind und deren Inhalte an die Nutzer weiterleiten. Störungen oder Ausfälle von CDNs bedeuten im Umkehrschluss, dass die mit ihnen verbundenen Webseiten und Online-Dienste für Nutzer nicht erreichbar sind. Damit gehören CDN-Provider zu den kritischen Infrastrukturen des Internets und fallen unter das IT-SiG. 

Im Sommer 2021 kam es mehrfach zu Ausfällen bei verschiedenen Cloud-Diensten und CDN-Providern, darunter auch Akamai. Viele Webseiten sowie Spieleplattformen waren bis zu einer Stunde lang nicht erreichbar. Auf Twitter erklärte Akamai, ein Fehler in einem Software-Konfigurationsupdate habe zu Störungen seines DNS-Dienstes geführt und dadurch die Ausfälle der Webseiten und -services bedingt. 

Korrektes Patch- und Changemanagement ist für eine starke IT-Sicherheit von entscheidender Bedeutung. Im IT-SiG sind die entsprechenden Anforderungen für KRITIS-Betreiber deshalb mit einer hohen Priorität bedacht. Nicht nur der fehlerfreie Betrieb, auch der Schutz vor Angriffen durch Cyberkriminelle oder sogar terroristischen Attacken, hängt schließlich maßgeblich davon ab, dass Sicherheitsupdates stets ohne Verzögerung und fehlerfrei implementiert werden. In beiden hier aufgeführten Beispielen wird deutlich, dass veraltete Software oder fehlerhafte Updateprozesse gravierende Auswirkungen auf unsere Gesellschaft und das Leben vieler haben können, insbesondere, wenn sie kritische Infrastrukturen betreffen.


Sie wollen mehr erfahren?

Unser Experte Vinzent Ratermann ist in seinem Webinar KRITIS - Technischer Schutz kritischer Infrastrukturen detailliert auf Ihre Fragen zu KRITIS eingegangen. Schauen Sie sich die Aufzeichnung auf unserem YouTube-Channel an.

Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, schauen Sie sich auf unseren Webseiten um, oder kontaktieren Sie uns. Wir helfen Ihnen gerne.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien