Informationssicherheit in kritischen Infrastrukturen

Informationssicherheit in kritischen Infrastrukturen

Wir unterstützen KRITIS-Unternehmen in allen Aspekten der Informationssicherheit

Versorger, die kritische Infrastrukturen (KRITIS) wie Treibstoff, Strom oder Wasser bereitstellen, sind unverzichtbar. Längere Versorgungsunterbrechungen würden die Stabilität der Gesellschaft ernsthaft gefährden.

Weil die Versorgungsstabilität so wichtig ist, hat der Staat gesetzliche Vorgaben geschaffen. KRITIS-Unternehmen müssen hohe Anforderungen an die Informationssicherheit erfüllen. Es wird eine hohe Cyber-Resilienz gefordert, um den zunehmenden Cyber-Bedrohungen begegnen zu können. Im Ergebnis gelten komplexe regulatorische Rahmenbedingungen, deren Erfüllung fundiertes Know-how erfordert.

Kostenlose Erstberatung anfordern

Grundlegendes zum Thema

Was Sie darüber wissen sollten

Informationssicherheit in kritischen Infrastrukturen Hintergrund

Organisationen und Einrichtungen gehören zu den Kritischen Infrastrukturen, wenn Störungen oder Ausfälle in der Versorgung zu einer Beeinträchtigung der öffentlichen Sicherheit führen oder ähnlich kritische Folgen zu erwarten sind.

Kritische Infrastrukturen werden in verschiedene Branchen und Sektoren unterteilt:

  • Wasser
  • Energie
  • Ernährung
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Siedlungsabfallentsorgung
  • Medien und Kultur
  • Staat und Verwaltung
  • Transport und Verkehr

Die Zuordnung eines Versorgungsunternehmens zu den kritischen Infrastrukturen ist vom Betreiber eigenverantwortlich zu prüfen. Es findet keine automatische Überprüfung durch den Staat statt. Vielmehr müssen Betriebe eine Selbsteinschätzung vornehmen. Prüfbögen zur Identifizierung bzw. zur Sektorzuordnung und der Ermittlung branchenspezifischer Schwellenwerte stellt das BSI zur Verfügung.

Die Cyber-Bedrohung ist größer denn je

Störungen und Ausfälle kritischer Infrastrukturen haben enorme Auswirkungen auf die Gesellschaft. Leider sind sie deshalb wichtige Angriffsziele für Cyberkriminelle mit finanziellen Interessen oder politischen Absichten. Die Angreifer scheuen keinen Aufwand und verfügen über erstklassige Ressourcen, oft im Rahmen sogenannter Advanced Persistent Threats (APT), um ihre Ziele zu erreichen.

Für die Betreiber kritischer Infrastrukturen stellt dies eine enorme Bedrohung dar. Es bedarf geeigneter Strategien und Maßnahmen, um die notwendige Cyber-Resilienz aufzubauen und zu erhalten.

Gesetzliche Anforderungen

Betreiber kritischer Infrastrukturen müssen auf nationaler Ebene strenge Anforderungen erfüllen, insbesondere nach dem BSI-Gesetz (BSIG) und der BSI-Kritisverordnung (BSI-KritisV). Darüber hinaus sind sektorspezifische Spezialgesetze wie das Energiewirtschaftsgesetz (EnWG) zu berücksichtigen.

Auf europäischer Ebene gelten weitere gesetzliche Anforderungen, darunter die NIS 2-Richtlinie (Directive on Security of Network and Information Systems) und die CER-Richtlinie (RCE Directive on the Resilience of Critical Entities). Aus Letzter soll das deutsche KRITIS-Dachgesetz hervorgehen.

Die gesetzlichen Rahmenbedingungen stellen Versorger vor eine immense Herausforderung, nämlich die Sicherstellung eines höchstmöglichen Niveaus an Informationssicherheit. Hierfür müssen sie weitreichende Maßnahmen ergreifen, die sich nicht auf technische Aspekte beschränken. Erst durch regelmäßige Risikoanalysen, Investitionen in moderne Sicherheitstechnologien, eine enge Zusammenarbeit mit den Behörden und eine kontinuierliche Sensibilisierung der Mitarbeiter können KRITIS-Unternehmen ihre Resilienz stärken.

Die gesetzlichen Anforderungen beschränken sich keineswegs auf die Pflicht, Sicherheitsmaßnahmen zu ergreifen. In einigen Bereichen, wie beispielsweise der IT-Sicherheit, besteht gemäß § 8a BSIG auch eine Nachweispflicht. Betreiber kritischer Infrastrukturen sind demnach verpflichtet, die gemäß § 8a Abs. 1 BSIG geforderten angemessenen organisatorischen und technischen Vorkehrungen nach dem Stand der Technik regelmäßig nachzuweisen. So verlangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) beispielsweise regelmäßige Nachweise über Zertifizierungen und Rezertifizierungen. Darüber hinaus sind Betreiber nach § 8b BSIG verpflichtet, erhebliche IT-Störungen oder Sicherheitsvorfälle unverzüglich an das BSI zu melden.

Relevanz für die Praxis

Was bedeutet das für Sie?

Informationssicherheit in kritischen Infrastrukturen Praxis

Werden die gesetzlichen Anforderungen nicht oder nur unzureichend erfüllt, liegt mit hoher Wahrscheinlichkeit ein Verstoß vor. Dieser kann je nach Bereich und zugrundeliegendem Gesetz unterschiedlich geahndet werden. Bei Verstößen im Bereich der Informationssicherheit drohen Bußgelder bis zu zwei Millionen Euro.

Gefahren und Angriffsziele

Aufgrund ihrer hohen gesellschaftlichen Bedeutung sind KRITIS Unternehmen als Angriffsziele zu betrachten. Angriffe finden häufiger denn je statt. Dabei handelt es sich überwiegend um Cyber-Angriffe, die von organisierten kriminellen Gruppen oder staatlich unterstützten Akteuren ausgehen. Häufigstes Ziel ist die Erpressung von Geldern, beispielsweise durch den Einsatz von Ransomware oder die Verschlüsselung von Daten auf den Systemen der Opfer.

Laut dem Lagebericht zur IT-Sicherheit des BSI gehören Versorgungsunternehmen zu den am häufigsten attackierten Einrichtungen in Deutschland. Die Angriffsarten reichen von gezielten Phishing-Kampagnen über Ransomware bis hin zu Zero-Day-Exploits. Solche Angriffe sind als extrem gefährlich einzustufen. Heutige IT-Strukturen im Versorgungsumfeld sind in der Regel umfangreich und komplex, so dass Eingriffe von außen die Infrastruktur zum Erliegen bringen können.

Das Bedrohungsspektrum für Versorgungsunternehmen ist keineswegs auf Cyber-Angriffe beschränkt. Es ist viel breiter:

Herausforderung Details

Natürliche Gefahren
  • Dürren
  • Erdbeben
  • Epidemien, Pandemien
  • Starkniederschläge, Hochwasser
  • Stürme, Tornados

Anthropogene Gefahren
  • Cyberangriffe
  • Krieg
  • Sabotage
  • Systemversagen
  • Terrorismus
  • Unfälle

Von der Herausforderung zur Lösung

Maßnahmen zur Erhöhung der Informationssicherheit

IT-Systeme im KRITIS-Umfeld sind als kritische Informationsstrukturen anzusehen. Ihr Schutz (Critical Information Infrastructure Protection, kurz CIIP) ist von hoher Bedeutung. Die Absicherung kann erreicht werden, indem sich die Versorger der Informationssicherheit verpflichten. Mit einer solchen Entscheidung wird auf eine nachhaltige Lösung gesetzt, die ein dauerhaft hohes Sicherheitsniveau gewährleisten soll. Zentrale Elemente dieser Schutzstrategie orientieren sich an anerkannten Standards wie ISO/IEC 27001 und dem IT-Grundschutz-Kompendium des BSI:

  • Risikoanalyse: Sie ist ein mehrstufiger Prozess, um potenzielle Bedrohungen und Schwachstellen identifizieren, die kritischen Systeme und Daten gefährden könnten. Nach Ermittlung und Bewertung der Risiken ist es möglich, geeignete Maßnahmen zur Risikominimierung zu entwickeln.
  • ISMS: Einführung eines Informationssicherheits-Managementsystems, um einen ganzheitlichen Ansatz zu verfolgen und über einen Regelkreis die Aufrechterhaltung des Schutzniveaus zu gewährleisten.
  • ISB: Benennung eines Informationssicherheitsbeauftragten, der der sich um entscheidende Belange kümmert und unter anderem als Ansprechpartner zur Verfügung steht.
  • Zertifizierung: Eine Zertifizierung gemäß BSI Grundschutz sowie später folgende Rezertifizierungen weisen das erreichte Schutzniveau nach.

Unser Angebot

Ihr Partner und Dienstleister in Sachen Informationssicherheit

Informationssicherheit in kritischen Infrastrukturen Angebot

Wir stehen KRITIS-Unternehmen zur Seite und unterstützen sie in allen Fragen der Informationssicherheit. Unser Ziel ist es, gemeinsam mit Ihnen Lösungen zu entwickeln, die auf Ihre spezifischen Bedürfnisse zugeschnitten sind.

Unsere Beratungsleistungen decken folgendes Spektrum ab:

  • Unterstützung bei der Auswahl des passenden Zertifizierungsstandards
  • Durchführung von Struktur-, Schutzbedarfs- und Risikoanalysen
  • Modellierung des Informationsverbundes
  • Überprüfung und Optimierung Ihres ISMS
  • Durchführung interner Audits
  • Erstellung und Überprüfung Ihrer Dokumentation
  • Projektunterstützung, Coaching und Schulungen

Ihr Partner für Infosec im KRITIS-Umfeld

Die Herold Unternehmensberatung ist Ihr Partner für Informationssicherheit in kritischen Infrastrukturen. Wir begleiten Sie ganzheitlich – von der Prüfung einer möglichen KRITIS-Einstufung über den Aufbau eines ISMS bis zur Vorbereitung auf eine Zertifizierung oder die technische Umsetzung. Unsere Berater verfügen über fundierte Erfahrung in regulierten Umfeldern und arbeiten eng mit einem spezialisierten Partnernetzwerk. Im Mittelpunkt stehen praxisgerechte Lösungen, die Ihre Anforderungen zuverlässig und effizient erfüllen. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung und erfahren Sie, wie Sie Informationssicherheit in kritischen Infrastrukturen wirksam umsetzen.
C&P Capeletti & Perl – Gesellschaft für Datentechnik mbH
COMET Feuerwerk GmbH
tonies GmbH
Thüga SmartService GmbH
Robert Lindner GmbH
MRK Media AG
MILES GmbH
Friedrich-Loeffler-Institut – Bundesforschungsinstitut für Tiergesundheit
DRK-Kreisverband Lübeck e. V.
Diamant Fahrradwerke GmbH
Erlenbacher Backwaren GmbH
Froneri Schöller GmbH
André Beaujean

Bereit für den nächsten Schritt?

Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.

Kostenlose Erstberatung anfordern