Sicherung Kritischer Infrastrukturen (KRITIS), Herausforderungen, Schutzmaßnahmen und Resilienz in einer vernetzten Welt

Kritische Infrastrukturen (KRITIS) bilden das Rückgrat moderner Gesellschaften und sind von entscheidender Relevanz für das Funktionieren sowie für das wirtschaftliche und soziale Wohlergehen. Dieser Artikel wirft einen Blick auf die verschiedenen Sektoren, die unter den Begriff KRITIS fallen, darunter Energie, Gesundheit, Telekommunikation, Finanz- und Versicherungswesen, Staat mit besonderen Pflichten. Dabei wird betont, wie diese KRITIS-Sektoren zunehmend von technologischen Fortschritten und Vernetzung abhängig sind, was gleichzeitig neue Herausforderungen und Risikopotenziale mit sich bringt. Die Sicherung von Kritischen Hauptnfrastrukturen ist somit zu einem essenziellen Anliegen geworden, das nicht nur den Schutz vor Cyberangriffen, sondern auch vor Naturkatastrophen und anderen Gefahren umfasst. In diesem Kontext werden die Komplexität, die Notwendigkeit von koordinierten Präventionsstrategien und fortlaufenden Anpassungen an sich wandelnde Bedrohungen beleuchtet.

 

  1. Definition von Kritischen Infrastrukturen (KRITIS)
  2. Die Bedeutung Kritischer Infrastrukturen im Gemeinwesen
  3. Sektoren von Kritischen Infrastrukturen
  4. Risiken für Kritische Infrastrukturen
  5. Schutzmaßnahmen und Sicherheitskonzepte für kritische Versorgungseinrichtungen
  6. Gesetzliche und regulatorische Rahmenbedingungen für kritische Versorgungssysteme
  7. KRITIS-Verordnung in Deutschland (BSI-KRITISV)
  8. IT-Sicherheitsgesetz (IT-SIG) für kritische Versorgungsinfrastrukturen
  9. EU-Richtlinien (NIS2) für kritische Infrastrukturanlagen
  10. IT-Infrastrukturreinigung für sicherheitskritische Informationstechnologie

 

Definition von Kritischen Infrastrukturen (KRITIS)

Kritische Infrastrukturen (KRITIS) sind essentielle Systeme, deren Ausfall oder Beeinträchtigung schwerwiegende Auswirkungen auf die öffentliche Sicherheit, die Versorgung der Bevölkerung oder das Funktionieren staatlicher Einrichtungen haben kann. Typischerweise sind diese Infrastrukturen in Kritische Sektoren wie Wasser, Informationstechnik und Kommunikation, Gesundheitswesen, Ernährung, Finanzwesen sowie Verkehr angesiedelt. Die Bezeichnung "kritisch" unterstreicht ihre zentrale Signifikanz für das Leben und die Funktionsweise einer Gemeinschaft. Um die Widerstandsfähigkeit gegenüber Belastungen, darunter Naturkatastrophen, Cyberangriffe oder terroristische Aktivitäten, zu gewährleisten, sind Sicherheitsvorkehrungen für Kritische Basisinfrastrukturen, Bevölkerungsschutz und Gemeinwesen entscheidend. Die KRITIS-Regulierung bezieht sich auf die gesetzlichen Vorschriften, Verordnungen und Maßnahmen, die darauf abzielen, die Widerstandskraft kritischer Infrastrukturen und KRITIS-Anlagen gegen Angriffe zu garantieren.

 

Die Bedeutung Kritischer Infrastrukturen im Gemeinwesen

Kritische Infrastrukturen sind entscheidend für das Funktionieren der Gesellschaft und der Wirtschaft. Ihre Stabilität und Sicherheit sind von zentraler Bedeutung, da Störungen oder Ausfälle schwerwiegende Folgen für die Volkswirtschaft und nationale Security haben können. Die Rolle der KRITIS-Betreiber besteht daher darin, diese Systeme zu identifizieren, zu schützen und ihre Robustheit gegenüber Unsicherheiten wie Naturkatastrophen, Cyberangriffen oder terroristischen Aktivitäten sicherzustellen. Ein effektives Management von KRITIS-Betreibern ist daher essenziell, um die Funktionsfähigkeit einer Gemeinschaft aufrechtzuerhalten und mögliche Risikofaktoren zu minimieren.

 

Sektoren von Kritischen Infrastrukturen

Die Kritischen Infrastrukturen umfassen Sektoren wie Energie, Wasser, Gesundheitswesen, Finanzen, Informations- und Kommunikationstechnologie, Transport und Ernährung. Jeder Sektor ist entscheidend für das Funktionieren einer Allgemeinheit und ihre Störung kann erhebliche Auswirkungen auf das Alltagsleben, das Wirtschaftssystem und nationale Security haben. Es ist daher von großer Priorität, diese Einrichtungen zu identifizieren, zu schützen und ihre Belastbarkeit gegenüber Gefährdungen abzusichern.

 

Risiken für Kritische Infrastrukturen

Kritische Infrastrukturen sind verschiedenen Risiken ausgesetzt, darunter Naturkatastrophen wie Stürme und Erdbeben, menschliche Faktoren wie Unfälle oder absichtliche Sabotageakte, Cyberangriffe, terroristische Unsicherheitsfaktoren und Pandemien. Diese Bedrohungen können zu Störungen oder Ausfällen in den betroffenen Unternehmen oder Behörden führen und erhebliche Auswirkungen auf das Sozialgefüge, die Marktwirtschaft und nationale Sicherheit haben. Daher ist es entscheidend, präventive Maßnahmen zu ergreifen, um die Resilienz der Infrastrukturen zu stärken.

 

Schutzmaßnahmen und Sicherheitskonzepte für kritische Versorgungseinrichtungen

Zum Schutz kritischer Infrastrukturen werden unterschiedliche Maßnahmen und Sicherheitskonzepte eingesetzt. Dazu gehören unter anderem die Implementierung von physischen Sicherheitsvorkehrungen wie Zäunen und Überwachungssystemen, die Anwendung von Cyber-Sicherheitsmaßnahmen wie Firewalls und Verschlüsselungstechnologien, regelmäßige Risikoanalysen und -bewertungen sowie die Schulung des Personals für Notfallsituationen. Eine enge Zusammenarbeit zwischen Regierungsbehörden, Betreibern kritischer Infrastrukturen und anderen relevanten Akteuren ist ebenfalls entscheidend, um eine umfassende und wirksame Sicherheitsstrategie zu versichern.

 

Gesetzliche und regulatorische Rahmenbedingungen für kritische Versorgungssysteme

Das KRITIS-Dachgesetz ist ein rechtlicher Rahmen in Deutschland, der die Sicherheit und Resilienz kritischer Infrastrukturen regelt. Die gesetzlichen und regulatorischen Rahmenbedingungen für den Schutz kritischer Infrastrukturen variieren je nach Land und Sektor. In vielen Ländern gibt es spezifische Gesetze und Vorschriften, die Betreiber kritischer Infrastrukturen dazu verpflichten, angemessene Sicherheitsmaßnahmen zu implementieren und regelmäßige Sicherheitsaudits durchzuführen. Darüber hinaus können staatliche Stellen oder Behörden bestimmte Standards festlegen und die Einhaltung dieser Vorschriften überwachen. Diese Rahmenbedingungen dienen dazu, die Standhaftigkeit kritischer Infrastrukturen gegen diverse Problematiken zu stärken und den Bevölkerungsschutz zuzusichern.

 

KRITIS-Verordnung in Deutschland (BSI-KRITISV)

Die KRITIS-Verordnung (KRITISV) in Deutschland legt die Anforderungen für den Schutz kritischer Infrastrukturen fest. Sie verpflichtet Betreiber bestimmter Wirtschaftsbereiche, wie Energie, Wasser, Gesundheitswesen, Information Technology und Telekommunikation, angemessene Schutzmaßnahmen zu ergreifen und kontinuierlich zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht gem. BSI-Gesetz die Einhaltung dieser Verordnung und unterstützt die Betreiber bei der Umsetzung geeigneter Sicherheitskonzepte, um das Durchhaltevermögen gegenüber Cyberangriffen und anderen Risikolagen zu stärken.

 

IT-Sicherheitsgesetz (IT-SIG) für kritische Versorgungsinfrastrukturen

Das IT Sicherheitsgesetz (IT-SIG) in Deutschland ist ein rechtlicher Rahmen, der darauf abzielt, die Informationssicherheit von Informationstechnologie-Systemen in kritischen Infrastrukturen zu erhöhen. Es verpflichtet Betreiber kritischer Infrastrukturen, angemessenen Schutz zu implementieren, um Cyberangriffe zu verhindern und die Widerstandsfähigkeit gegenüber digitalen Risikoszenarien zu stärken. Das Gesetz sieht vor, dass Betreiber von kritischen Infrastrukturen Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik melden müssen und es unterstützt die Kooperation zwischen öffentlichen Stellen und privaten Unternehmen, um die IT-Sicherheit der Anlagen und Technik zu verbessern.

 

EU-Richtlinien (NIS2) für kritische Infrastrukturanlagen

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) ist eine legislative Initiative der Europäischen Union, die darauf abzielt, die Cybersecurity von Netzwerken und Informationssystemen innerhalb der EU zu stärken. Sie legt Mindestanforderungen für die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste fest und verlangt von den Mitgliedsstaaten, nationale Strategien zur Cybersicherheit zu entwickeln und umzusetzen. Die Richtlinie zielt darauf ab, die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern, um gemeinsame Bedrohungspotenziale zu bekämpfen, und die Resilienz gegenüber Cyberangriffen zu erhöhen. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist ein Gesetz in Deutschland, das darauf abzielt, die EU-Richtlinie als NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz zur Netz- und Informationssicherheit (NIS2) in nationales Recht umzusetzen (NIS2-Umsetzung).

 

IT-Infrastrukturreinigung für sicherheitskritische Informationstechnologie

Die IT-Infrastrukturreinigung bezieht sich auf den Prozess der systematischen Reinigung von IT-Geräten, Rechenzentren und anderer technischer Infrastruktur. Diese kritische Maßnahme ist obligatorisch, um die Effizienz, IT-Sicherheit und hygienische Integrität von IT-Systemen sicherzustellen. Die Reinigung umfasst die Entfernung von Staub, Schmutz und Ablagerungen, die die Leistung und Funktionalität der Geräte beeinträchtigen könnten. Neben der rein physischen Sauberkeit ist die IT-Infrastrukturreinigung auch wichtig, um Datenschutz- und Sicherheitsrichtlinien einzuhalten. Sie kann die Lebensdauer von Hardwarekomponenten verlängern und das Risiko von Fehlfunktionen oder Ausfällen verringern. Die IT-Infrastrukturreinigung ist besonders in sensiblen Bereichen wie Rechenzentren, Serverräumen, 19-Zoll-Racks, zentralen Serversysteme, Storage-, Switch- Anlagen, Equipment und Einrichtungen der Datenverarbeitung von großer KRITIS-Relevanz, um einen reibungslosen und sicheren Betrieb der EDV Technik und ICT Werkzeuge zu gewährleisten.

Links

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

BSI 200-4 Business Continuity Management - Community Draft

BSI 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO ist Informationssicherheit kein Zustand, sondern ein kontinuierlicher Prozess."