MENU
  1. Bildung
  2. Wissen kompakt
  3. IT-Sicherheit
  4. Cybersicherheit - KRITIS und das IT-Sicherheitsgesetz

Kritische Infrastrukturen und das IT-Sicherheitsgesetz

Die Verordnungen zu den Kritischen Infrastrukturen (KRITIS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergänzen das seit Juli 2015 gültige IT-Sicherheitsgesetz. Damit unterliegen inzwischen viele Unternehmen besonderen Anforderungen zur IT-Sicherheit. Der Staat will dadurch „unverzichtbare Lebensadern einer modernen, leistungsfähigen Gesellschaft“ besser schützen.

KRITIS: Welche Branchen sind von der Verordnung betroffen?

Zu den Kritischen Infrastrukturen gehören bereits seit einer ersten Verordnung 2016 die Branchen Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Ergänzt wurden diese durch die KRITIS-Verordnung im Juni 2017 um die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Zu den KRITIS-Unternehmen gehören seitdem also zum Beispiel auch Apotheken mit einem Absatz von 4,65 Millionen Arzneimittel-Packungen pro Jahr, Krankenhäuser mit über 30.000 stationären Fällen und Flughäfen ab 20 Millionen Passagieren jährlich.

Die KRITIS-Verordnungen definieren grob, welche Unternehmen im Einzelnen an das IT-Sicherheitsgesetz gebunden sind. „Doch ich habe immer wieder Seminarteilnehmer, die sich zum Informationssicherheits-Beauftragten ausbilden lassen und absolut überrascht sind, zu hören, dass ihr Unternehmen als kritisch gilt“, berichtet Tatjana Brozat, Auditorin für Informationssicherheit. Deshalb hilft im Zweifelsfall eine Nachfrage bei den Branchenverbänden oder beim BSI

ISMS: Prozesse optimieren und neue Risikokultur etablieren

Die Einführung eines ISMS (Information Security Management System) ist für KRITIS-Betreiber Voraussetzung, um den neuen Sicherheitsstandards angemessen begegnen zu können. So müssen etwa Bereiche identifiziert werden, in denen Störfälle oder Probleme nicht nur auf das Unternehmen, sondern auch die gesamte Gesellschaft Auswirkungen haben könnten.

Ein ISMS umfasst nicht nur die IT-Sicherheitsarchitektur eines Unternehmens, sondern es geht auch darum, Prozesse eines Unternehmens und Organisationsstrukturen so zu optimieren, dass ein störungsfreies Informationssicherheitsmanagement gewährleistet wird. „Der Schutz Kritischer Infrastrukturen ist eine gesamtgesellschaftliche Aufgabe, die ein abgestimmtes und von allen Verantwortlichen – Staat, Wirtschaft und Öffentlichkeit – unterstütztes Vorgehen erfordert“, so das Bundesinnenministerium. Nicht allein der Staat kann einen vollständigen Schutz der Infrastrukturen gewährleisten, vielmehr müssen alle Seiten ihr Sicherheitsdenken neu definieren und eine neue Risikokultur etablieren. "Ein zentraler Punkt dabei ist eine offene Risikokommunikation zwischen Staat, Unternehmen und der Öffentlichkeit", so Frau Brozat.

KRITIS: Diese Anforderungen müssen Unternehmen einhalten

Das BSI verpflichtet Betreiber von Kritischen Infrastrukturen, bestimmte Anforderungen zu erfüllen. Hier finden Sie eine Übersicht der zu implementierenden Maßnahmen:

KRITIS-Anforderungen

Grafik ansehen

1. Kontaktstelle benennen:

KRITIS-Betreiber müssen eine Kontaktstelle benennen, über die das Unternehmen für das BSI jederzeit erreichbar ist. Geeignet ist ein Funktionspostfach, an das das BSI dann zum Beispiel auch IT-Sicherheitsinformationen schickt.

2. IT-Störungen melden:

KRITIS-Betreiber sind verpflichtet, außergewöhnliche IT-Störungen beim BSI zu melden. „Die Kontaktperson muss dabei in der Lage sein, entscheiden zu können, welche Vorfälle gravierend und damit meldepflichtig sind,“ erläutert Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist.

3. Stand der Technik umsetzen:

Um Störungen der informationstechnischen Systeme zu vermeiden, muss der IT-Sicherheitsstandard in KRITIS-Unternehmen dem „Stand der Technik“ entsprechen. Das BSI empfiehlt dafür die Gründung von Arbeitskreisen, die branchenspezifische Sicherheitsstandards festlegen und damit spezifisch definieren, was unter dem „Stand der Technik“ zu verstehen ist.

4. Präventionsmaßnahmen und Reaktionspläne ausarbeiten:

Für den Fall einer massiven Versorgungsstörung, etwa eines längeren und großflächigen Stromausfalls, müssen Unternehmen geeignete Maßnahmenkataloge erarbeiten, um die Folgen eines solchen Ereignisses möglichst gering zu halten. Betreiber aus den neu benannten KRITIS-Sektoren sollten sich jetzt informieren und aktiv werden“, rät die Auditorin. „Ich empfehle auch, proaktiv auf das BSI zuzugehen, Fragen zu stellen und online die überarbeiteten Standards des BSI, den sogenannten IT-Grundschutz, einzusehen.“ Dabei sollte das Management der betroffenen Unternehmen die Thematik von Anfang an zur Chefsache machen.

5. Absicherung prüfen lassen:

KRITIS-Betreiber müssen die Etablierung angemessener Vorkehrungen und die Erfüllung der Technikstandards alle zwei Jahre beispielsweise durch Sicherheitsaudits gegenüber dem BSI nachweisen.

IT-Sicherheit in Deutschland: aktuelle Themen

Composite image of blue technology interface with binary code

IT-Sicherheitsgesetz (IT-SiG)

Verschaffen Sie sich einen Überblick und profitieren Sie von den Handlungsempfehlungen zu den aktuellen Anforderungen an KRITIS-Unternehmen und Zulieferer.
Zum Seminar

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zum Seminar

ISO/IEC 27001 – Informationssicherheitsmanagement-Auditor

Lassen Sie sich in unserer ISO 27001 Lead Auditor Schulung (IRCA 17242) zum Informations-sicherheitsmanagement-Auditor ausbilden.
Zum Seminar

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen