Cyber Security für kritische Infrastruktur (KRITIS) ist unverzichtbar

Cyber Security für kritische Infrastruktur (KRITIS) ist unverzichtbar

Cyberangriffe sind heute das größte Geschäftsrisiko. Für Betreiber kritischer Infrastrukturen geht es aber um noch viel mehr: Wenn ihre Systeme ausfallen, hat das weitreichende Folgen für die gesamte Gesellschaft. Im schlimmsten Fall stehen Menschenleben auf dem Spiel. Daher gelten für KRITIS-Organisationen besondere Anforderungen an die Cyber Security. Diese sind im IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 2.0 definiert. Bei Verstößen drohen Geldstrafen von bis zu 20 Millionen Euro.

KRITIS-Verordnung 2.0: Das sollten Sie wissen

Die KRITIS-Verordnung 2.0 (manchmal auch KRITIS-Verordnung 1.5 genannt) ist seit Januar 2022 in Kraft. Sie konkretisiert Schwellenwerte, Anlagen und Vorgaben aus dem IT-Sicherheitsgesetz 2.0. Das sollten KRITIS-Betreiber beachten:

  • Systeme zur Angriffserkennung

    Bei den technischen und organisatorischen Sicherheitsmaßnahmen fordert das IT-SiG 2.0 explizit Systeme zur Angriffserkennung. KRITIS-Betreiber müssen diese bis spätestens Mai 2023 einführen und bei einem Audit nachweisen können. Wie die technische Umsetzung aussehen soll, ist nicht genauer spezifiziert. Das BSI hat aber eine Orientierungshilfe veröffentlicht. Axians berät Sie gern, welche Lösung am besten für Ihr Unternehmen geeignet ist.

  • Strengere Meldepflichten

    KRITIS-Betreiber müssen sich unmittelbar beim BSI registrieren und eine Kontaktstelle benennen. Sie müssen dem BSI erhebliche Störungen melden und Informationen dazu zur Verfügung stellen. Das setzt voraus, dass man überhaupt in der Lage ist, Vorfälle zu erkennen. Außerdem müssen Betreiber den Einsatz von kritischen Komponenten beim Innenministerium anzeigen. Was zu den kritischen Komponenten zählt, wird gesetzlich festgelegt. Bisher gibt es nur Vorgaben für den Telekommunikations-Sektor.

  • Höhere Bußgelder

    Bei vorsätzlichen oder fahrlässigen Verstößen gegen das IT-SiG 2.0 drohen für Unternehmen deutlich höhere Bußgelder als zuvor: bis zu 2 Millionen EUR und bis zu 20 Millionen EUR als juristische Person (Organ).

Jetzt Beratungstermin vereinbaren!

Zählt Ihr Unternehmen zur kritischen Infrastruktur?

Viele Unternehmen sind sich gar nicht bewusst, dass sie KRITIS sind. Denn mit der KRITIS-Verordnung 2.0 wurden Schwellenwerte gesenkt. Außerdem sind zwei neue Sektoren hinzugekommen: die Siedlungsabfallentsorgung und Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI). Übrigens: Auch UBI-Lieferanten, die von wesentlicher Bedeutung sind, müssen künftig die geforderten Sicherheitsstandards erfüllen.

Mit weiteren Verschärfungen ist zu rechnen

In der aktuellen geopolitischen Situation ist das Risiko für Cyberangriffe auf kritische Infrastrukturen erheblich gestiegen. Laut Bitkom entsteht in der deutschen Wirtschaft jährlich ein Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Die Attacken auf die Northstream Pipelines und die Kabel der Deutschen Bahn sind nur zwei aktuelle Beispiele, die zeigen, dass sich die Bedrohungslage in Deutschland weiter verschärft.

Daher hat das Bundesamt für Sicherheit in der Informationstechnik zu erhöhter Wachsamkeit und Reaktionsbereitschaft aufgerufen. Der Gesetzgeber wird seine Vorgaben in den nächsten Jahren weiter verschärfen und die KRITIS-Verordnung ausweiten. Auch für Unternehmen, die heute noch nicht KRITIS sind, lohnt es sich daher, die eigene Sicherheitsaufstellung gründlich zu überprüfen.

Axians berät Sie gern, ob in Ihrem Unternehmen Handlungsbedarf besteht. Unsere Security-Spezialist:innen unterstützen Sie bei der Umsetzung einer individuell abgestimmten, KRITIS 2.0-konformen Sicherheitsarchitektur.

Ihre Pflichten als KRITIS-Betreiber

  • Identifikation von KRITIS-Anlagen
  • Registrierung als KRITIS
  • KRITIS-Meldepflichten
  • KRITIS-Geltungsbereich
  • KRITIS-Prüfungen

Die Pflichten im Detail

  • Identifikation von KRITIS-Anlagen:
    Gehören Sie zu den KRITIS-Betreibern? Das müssen Sie selbst erkennen!
  • Registrierung als KRITIS:
    Wenn Sie KRITIS sind, müssen Sie sich beim BSI registrieren und den Einsatz kritischer Komponenten beim Innenministerium melden.
  • KRITIS-Meldepflichten:
    Sie müssen in der Lage sein, dem BSI Informationen zu IT-Störungen, Angriffen und Vorfällen zu melden.
  • KRITIS-Geltungsbereich:
    Sie müssen KRITIS-Anlagen definieren und den Scope im Unternehmen festlegen.
  • KRITIS-Prüfungen:
    Sie müssen die Umsetzung der Cyber-Security-Maßnahmen alle zwei Jahre durch Prüfungen gegenüber dem BSI nachweisen.

 

Cyber Security für KRITIS

Im IT-Sicherheitsgesetz 2.0 sind technische und organisatorische Maßnahmen für das Management von Cybersicherheit, Risiken, Kontinuität und Technologien vorgeschrieben. Explizit sind Systeme zur Angriffserkennung gefordert. Bei der Wahl der konkreten Maßnahmen und Standards sind Sie als KRITIS-Betreiber relativ frei, müssen aber Lösungen in folgenden Bereichen vorhalten

  • ISMS: Information Security Management System zur Festlegung grundlegender Verantwortungen und Rollen.
  • IAM: Identity und Access Management zur Definition von Rollen, Berechtigungen und Prozessen in der KRITIS-Anlage.
  • BCMS: Business Continuity Management System und IT-Notfallmanagement, um Ausfallrisiken von Assets zu mindern und die Kritikalität von Prozessen zu analysieren.
  • Risiko-Management: Klare Vorgaben und Governance zum Umgang mit IT-Risiken.
  • Asset-Management: Inventarisierung und organisierte Verwaltung der Assets in der KRITIS-Anlage.
  • Angriffserkennung: Security Information and Event Management (SIEM) und Security Operations Center (SOC) bieten Prozesse und Technologien, um Cyberangriffe zu erkennen und darauf zu reagieren.

 

Jetzt Beratungstermin vereinbaren!

Die 5 Phasen eines Cyberangriffs

1. Aufklären (Monate vor der Erkennung)

  • Potenzielle Ziele finden
  • Infos sammeln
  • Social Engineering
  • Fake Firma aufsetzen für Spear-Phishing

2. Eindringen und Präsenz (Monate vor der Erkennung)

  • Tools hochladen
  • Berechtigungen prüfen
  • Remote-Access sicher stellen

3. Ausbreiten (Wochen vor der Erkennung)

  • Weitere Systeme infizieren
  • Berechtigungen ausbauen
  • Netzwerk komplett kartografieren

4. Privilegien eskalieren (Tage vor der Erkennung)

  • Sicherheitsfreigaben checken
  • Kontrolle über Zugangssysteme übernehmen
  • Zugriff auf Zieldaten (Files, Mails, DMS)

5. Angriff (Tag Null)

  • Daten extrahieren
  • Systeme korrumpieren/zerstören , Daten verschlüsseln

6. GAME OVER

  • Reputation zerstört
  • Daten vernichtet
  • Ziel ausgeschaltet

Unsere Leistungen

Setzen Sie bei KRITIS-Security auf ausgezeichnete Partner!

Axians zählt laut ISG Provider Lens zu den führenden Anbietern für Managed Security Services, Strategic Security Services und Technical Security Services. Wir vereinen Expertise in Netzwerktechnik, IT und OT Security. Dabei arbeiten wir eng mit unseren VINCI Schwesterunternehmen Actemium (Automatisierungstechnik) und Omexom (Energietechnik) zusammen. In der Zusammenarbeit mit Axians können Sie auf zertifizierte, nachweisbare Qualität vertrauen: ISO 9001 Qualitätsmanagement, ISO 14001 Umweltmanagement, ISO 27001 Informationssicherheit, ISO 45001 Arbeits- und Gesundheitsschutz.

Informationsanfrage

*“ zeigt erforderliche Felder an

Constent*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Cyber Security für kritische Infrastruktur: Die wichtigsten Fragen und Antworten

  • Was versteht man unter KRITIS?

    KRITIS ist die Abkürzung für kritische Infrastruktur. Darunter versteht man Anlagen und Systeme, die von wesentlicher Bedeutung für die Gesellschaft sind – zum Beispiel die Trinkwasserversorgung, die Energieversorgung, die Lebensmittelversorgung, das Gesundheitswesen, Transport und Verkehr sowie die Abfallentsorgung. Betreiber kritischer Infrastruktur unterliegen bis auf wenige Ausnahmen dem IT-Sicherheitsgesetz.

  • Was ist die KRITIS-Verordnung?

    Die KRITIS-Verordnung regelt in Deutschland, welche Einrichtungen, Anlagen oder Teile davon zur kritischen Infrastruktur zählen. Sie konkretisiert das IT-Sicherheitsgesetz und definiert Vorgaben zur Umsetzung. Die KRITIS-Verordnung wurde 2016 verabschiedet und 2021 überarbeitet. Seit Januar 2022 ist die neue KRITIS-Verordnung 2.0 in Kraft.

  • Ist mein Unternehmen KRITIS? Was gehört zur kritischen Infrastruktur?

    Die KRITIS-Verordnung hat ursprünglich acht Sektoren definiert. Mit der Novelle 2021 kommen zwei weitere Sektoren hinzu: die Siedlungsabfallentsorgung und Unternehmen im besonderen öffentlichen Interesse (UBI). Ob ein Unternehmen KRITIS ist, hängt zudem von der Größe der betriebenen Anlage ab. Hierfür legt die KRITIS-Verordnung Schwellenwerte fest. Bisher lag der Regelschwellenwert meist bei 500.000 versorgten Personen. Mit der Überarbeitung von 2021 ist dieser in vielen Bereichen gesunken, sodass jetzt auch kleinere Unternehmen betroffen sind.

  • Was gehört nicht zur kritischen Infrastruktur?

    Unternehmen, die nicht in die zehn KRITIS-Sektoren fallen, gelten nicht als KRITIS-Betreiber. Das trifft auch auf Anlagen zu, die unter dem definierten Schwellenwert liegen. Die Sektoren „Medien und Kultur“ sowie „Staat und Verwaltung“ zählen zwar zur kritischen Infrastruktur, unterliegen jedoch nicht dem IT-Sicherheitsgesetz.

  • Wer entscheidet über kritische Infrastruktur?

    Für die Sicherheit der kritischen Infrastruktur sind die jeweiligen Betreiber zuständig. Verantwortlich für die Gesetzgebung und Regulierung ist das Innenministerium. Ihm untersteht das Bundesamt für Sicherheit in der Informationstechnik (BSI), das als zentrale Behörde für die Cybersicherheit kritischer Infrastrukturen in Deutschland fungiert. Außerdem ist auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe in den Schutz kritischer Infrastrukturen eingebunden.

  • Welche Anforderungen stellt das BSI an KRITIS-Betreiber?

    KRITIS-Betreiber müssen IT-Sicherheit nach „Stand der Technik“ umsetzen und dies alle zwei Jahre gegenüber dem BSI nachweisen. Außerdem müssen sie eine Kontaktstelle für die betriebene kritische Infrastruktur benennen. IT-Störungen oder erhebliche Beeinträchtigungen der kritischen Infrastruktur sind dem BSI zu melden. Dabei müssen KRITIS-Betreiber auf Nachfrage auch Informationen zur Verfügung stellen, die für die Bewältigung der Störung nötig sind.

  • Was bedeutet das für Unternehmen, die ihre Infrastruktur gerade modernisieren wollen und unter die Anforderungen des BSI fallen?

    Cyber Security muss von Anfang an integraler Bestandteil der Modernisierung sein. Unternehmen sollten prüfen, ob ihre geplanten Maßnahmen den Anforderungen der KRITIS-Verordnung entsprechen, und gegebenenfalls Lücken schließen. Axians bietet dafür zum Beispiel eine Gap-Analyse.

  • Wie gut sind Deutschlands Infrastrukturen vor Cyberattacken geschützt?

    In der aktuellen geopolitischen Situation warnt das BSI vor einem erhöhten Risiko für Cyberangriffe auf kritische Infrastrukturen in Deutschland. Bisher gab es zum Glück nur kleinere Vorfälle. Die meisten Attacken konnten abgewehrt werden. KRITIS-Betreiber sollten jedoch besonders wachsam sein und ihre Sicherheitsaufstellung prüfen.

  • Was verlangt das IT-Sicherheitsgesetz von KRITIS-Unternehmen?

    Betreiber kritischer Infrastrukturen sind gemäß § 8a Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um ihre informationstechnischen Systeme, Komponenten oder Prozesse zu schützen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.

  • KRITIS-Betreiber sollen „den Stand der Technik einhalten.“ Was genau ist das und wer legt den aktuellen Stand fest?

    Cyber Security entwickelt sich ständig weiter. Das BSI legt daher bewusst keine konkreten Technologien fest, sondern spricht etwas schwammig von „Stand der Technik“. Damit sind Maßnahmen gemeint, die nach aktuellem Entwicklungsstand wirksam sind und sich in der Praxis bewährt haben. Als Orientierungshilfe können nationale und internationale Standards dienen.

  • Ist eine ISO 27001 Zertifizierung für KRITIS-Betreiber nicht bereits ausreichend?

    Die internationale Norm ISO/IEC 27001 deckt nur einen Teil der Anforderungen ab, die KRITIS-Betreiber umsetzen müssen. Daher reicht eine ISO 27001-Zeritfizierung nicht aus, um die KRITIS-Verordnung 2.0 zu erfüllen.

  • Welche Security-Maßnahmen müssen KRITIS-Betreiber umsetzen?

    Auf organisatorischer Seite sind zum Beispiel ein ISMS (Information Security Management System), Risiko Management und Business Continuity Management Pflicht. Bei den technischen Maßnahmen gilt: Sie müssen angemessen und auf Stand der Technik sein. Das BSI macht nur wenige konkrete Vorgaben. Dazu zählen zum Beispiel Schwachstellenmanagement, Verschlüsselung und seit der KRITIS Verordnung 2.0 auch Systeme zur Angriffserkennung. Für einige KRITIS-Sektoren wurden branchenspezifische Sicherheitsstandards B3S erarbeitet, die als Orientierungshilfe dienen können.

  • Was heißt das IT-SIG 2.0 konkret für betroffene Unternehmen und ihre CIOs?

    Unternehmen müssen feststellen, ob sie nach der neuen KRITIS-Verordnung 2.0 zu den KRITIS-Betreibern gehören. Ist dies der Fall, müssen sie sich unmittelbar beim BSI registrieren und überprüfen, ob sie selbst und auch ihre Subunternehmer die Anforderungen an die IT-Sicherheit erfüllen. Ist dies nicht der Fall, müssen sie Lücken schließen, denn bei vorsätzlichen oder fahrlässigen Verstößen gegen das IT-SIG 2.0 drohen hohe Bußgelder.

  • Gibt es eine Übergangsfrist für die verpflichtende Umsetzung der Vorgaben nach dem IT-Sicherheitsgesetz?

    Das IT-Sicherheitsgesetz 2.0 ist bereits seit Mai 2021 in Kraft, die KRITIS-Verordnung 2.0 seit Januar 2022. Die meisten Vorgaben gelten bereits jetzt verbindlich. Für die Einführung von Systemen zur Angriffserkennung haben KRITIS-Betreiber noch bis Ende April 2023 Zeit. Unternehmen, die neu unter die KRITIS-Verordnung fallen, sollten umgehend mit der Umsetzung der Maßnahmen beginnen. Spätestens zwei Jahre nach ihrer Registrierung beim BSI müssen sie nachweisen, dass sie die Anforderungen erfüllen.

  • Was passiert, wenn wir nicht rechtzeitig zertifiziert sind?

    Bei vorsätzlichen und fahrlässigen Verstößen gegen das IT-Sicherheitsgesetz drohen für Unternehmen Bußgelder von bis zu 2 Millionen Euro und bis zu 20 Millionen Euro als juristische Person (Organ).