Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.
Nach einer allgemeinen Einführung in KRITIS in Teil 1 und der gesetzlichen Grundlage in Teil 2 dieser Blogserie gehen wir in diesem Teil auf Sektoren, Anlagen und Schwellenwerte ein, die durch die KRITIS-Verordnung definiert sind.
Sektoren
Zehn Sektoren mit Betreibern, die kritische Dienstleistungen für die Allgemeinheit erbringen, sind in Deutschland durch die KRITIS-Verordnung definiert. Betreiben Unternehmen dieser zehn Sektoren Anlagen, die bestimmte Schwellenwerte übersteigen, sind die gesetzlichen Verpflichtungen der IT-Sicherheitsgesetze anzuwenden.
Mit dem neuen IT-Sicherheitsgesetz (IT-SiG2), wurde der Sektor Entsorgung ergänzt. Zusätzlich werden nun Sicherheitsanforderungen an Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) gestellt. Welche Unternehmen dies im Detail betrifft, ist noch nicht in allen Aspekten ausgestaltet.
Anlagen
Für jeden der KRITIS-Sektoren sind in der KRITIS-Verordnung konkrete Anlagentypen definiert. Beispielhaft haben wir hier einige Anlagentypen pro Sektor aufgeführt:
- Energie: z.B. Stromversorgung, Gasversorgung, Kraftstoff- und Heizölversorgung
- Wasser: z.B. Abwasserbeseitigung, Trinkwasserversorgung
- Ernährung: z.B. Lebensmittelversorgung
- Gesundheit: z.B. Stationäre medizinische Versorgung, Versorgung mit lebenserhaltenden Medizinprodukten, Versorgung mit Arzneien und Blut/Plasma
- Transport und Verkehr: z.B. Personen- und Güterverkehr
- Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung
- Finanz- und Versicherungswesen: z.B. Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr
- Entsorgung: Entsorgung von Siedlungsabfällen
- Medien und Kultur: fällt nicht unter das IT-SiG
- Staat und Verwaltung: fällt nicht unter das IT-SiG
- Unternehmen im besonderen öffentlichen Interesse: Hersteller von Rüstung und IT-Produkten für staatliche Versorgung, Unternehmen mit besonderer volkswirtschaftlicher Bedeutung und deren Zulieferer, Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe)
Quelle: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
Schwellenwerte
In der KRITIS-Verordnung sind für jeden Anlagentyp spezifische Schwellenwerte festgelegt. Überschreitet eine Anlage den ihr zugeordneten Schwellenwert, gilt sie als Kritische Infrastruktur. Unternehmen, die solche Anlagen betreiben, sind KRITIS-Betreiber und verpflichtet, entsprechende Cyber-Security-Maßnahmen umzusetzen und dies durch ein unabhängiges KRITIS-Audit nachzuweisen.
Die Schwellwerte sind so angelegt, dass eine Anlage, die mindestens 500.000 Menschen mit der kritischen Dienstleistung versorgt, als kritische Infrastruktur angesehen wird. Dazu wird für jede Anlagenart der geschätzte, mittlere Jahresbedarf pro Kopf berechnet und anschließend mit dem Faktor 500.000 multipliziert.
Sektor | Anlagentyp | Pro Kopf / Rechnung | Schwellenwert | ||||
Energie | Stromerzeugungsanlage | Unter Annahme eines Durchschnittsverbrauchs von 7.375 kWh pro versorgter Person pro Jahr ergibt sich folgender Wert: 7.375 kWh/Jahr x 500.000 ≈ 3.700 GWh/Jahr | 3.700 GWh/Jahr 8760 h/Jahr ≈ 420 MW |
Die Werte dieser Tabelle sind der aktuell gültigen KRITIS-Verordnung entnommen (Stand Dezember 2021);
Quelle: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
Alle weiteren Berechnungen und Schwellwerte können in der aktuellen KRITIS-Verordnung eingesehen werden. In der KRITIS-Verordnung für das IT-SiG2 sind diese aktualisiert und zum Teil erheblich verringert worden. Derzeit ist die neue KRITIS-Verordnung noch nicht öffentlich einsehbar – den Link hierzu werden wir Ihnen an dieser Stelle nachliefern, sobald die neue Verordnung veröffentlicht wurde. Sie wird voraussichtlich am 1.1.2022 in Kraft treten.
Identifikationspflicht
Anhand der Liste KRITIS-relevanter Anlagen und ihrer jeweiligen Schwellenwerte, die in der KRITIS-Verordnung für alle Sektoren definiert sind, müssen die Betreiber der Anlagen ihre eigene KRITIS-Betroffenheit evaluieren. Erbringen sie mit ihren Anlagen kritische Dienstleistungen und übertreffen die Schwellenwerte, müssen sie sich eigenverantwortlich beim BSI als Kritische Infrastruktur registrieren. Es gibt fünf Kriterien, die erfüllt sein müssen, damit ein Anlagenbetreiber KRITIS- und registrierungspflichtig ist:
- Sektor und Dienstleistung: sind KRITIS-relevant
- Geografie: Wertschöpfung findet in Deutschland statt
- Anlagentyp: ist KRITIS-relevant
- Schwellenwerte: werden überschritten
- Zeitraum: pro Kalenderjahr bzw. Stichtag werden Schwellenwerte überschritten
Sanktionen
Verstöße gegen Pflichten oder Anforderungen aus der KRITIS-Verordnung werden als Ordnungswidrigkeiten geahndet – Betreibern Kritischer Infrastrukturen drohen hier Sanktionen in Form von Bußgeldern. Zu den durch das IT-SiG2 definierten Verstößen zählen beispielsweise:
- Fehlende, inkorrekte oder nicht rechtzeitig erbrachte KRITIS-Nachweise
- Fehlende oder verspätete Meldung von Störungen oder unzureichende Mitwirkung bei der Beseitigung von Störungen
- Fehlende oder inkorrekte Umsetzung von Cyber-Security-Maßnahmen,
- Fehlende Registrierung als Kritische Infrastruktur
- Verweigerung von Auskünften und Informationen für Prüfungen durch das BSI
Auch das Auftreten und Gebaren als KRITIS-Auditierungsstelle ohne entsprechende Eignung und Genehmigung wird mit einem Bußgeld geahndet.
Neuerungen im IT-SiG2
Die der KRITIS-Verordnung 2.0 wurde mit dem IT-Sicherheitsgesetz 2.0 geändert und tritt ab 1. Januar 2022 in Kraft. Neben den beiden neu hinzugekommenen Sektoren Entsorgung und UNBÖFI wurde auch die Liste der KRITIS-relevanten Anlagen pro Sektor überarbeitet und um insgesamt 17 Anlagentypen erweitert. Die Schwellenwerte pro Anlage wurden insgesamt herabgesetzt, sodass bereits kleinere Unternehmen mit einem geringeren Leistungsvolumen KRITIS-pflichtig werden. Insbesondere in zwei Bereichen ist die Verringerung dieser Schwellenwerte signifikant ausgefallen: bei der Stromerzeugung (von 420 MW auf 36 MW Leistung) und dem IT-Hosting (von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung im Rechenzentrum). Betreiber kritischer Anlagen müssen diese selbst beim BSI registrieren – mit dem IT-SiG2 wurden die Kompetenzen des BSI aber so ausgebaut, dass es auch eigenständig auf die Betreiber mutmaßlicher Kritischer Infrastrukturen zugehen und eine Evaluation verlangen kann. Die Sanktionen für Nichteinhaltung von Vorgaben der KRITIS-Verordnung, wie das Versäumnis, eine Kritische Anlage beim BSI zu registrieren oder geeignete Cyber-Security-Maßnahmen umzusetzen, sind deutlich angehoben worden.
Sie wollen mehr erfahren?
Unser Experte Vinzent Ratermann ist in seinem Webinar KRITIS - Technischer Schutz kritischer Infrastrukturen detailliert auf Ihre Fragen zu KRITIS eingegangen. Schauen Sie sich die Aufzeichnung auf unserem YouTube-Channel an.
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, schauen Sie sich auf unseren Webseiten um, oder kontaktieren Sie uns. Wir helfen Ihnen gerne.