Informationssicherheit bei Kritischen Infrastrukturen

Energieversorger & Co. schützen

von - 13.03.2023
Foto: Shutterstock / LeoWolfert
Kritische Infrastrukturen geraten zunehmend ins Visier von Angreifern. Wegen ihrer Bedeutung gelten für sie strenge Sicherheitsregeln.
Anschlag auf die Nord-Stream-Pipeline, Sabotage am Kabelnetzwerk der Deutschen Bahn oder Ransomware-Angriffe auf Krankenhäuser, die zum Ausfall der Notfallversorgung führen – die Attacken auf Kritische Infrastrukturen (KRITIS) nehmen zu. Erfolgreiche (Cyber-)Angriffe auf KRITIS-Betreiber können für die Bevölkerung gravierende Folgen haben. Sie reichen von großflächigen Stromausfällen über Störungen der Wasserversorgung bis zum längerfristigen Ausfall des Internets. 
Mit Beginn des russischen Angriffskriegs gegen die Ukraine rückte der Schutz Kritischer Infrastrukturen verstärkt in den Fokus der öffentlichen Aufmerksamkeit. Doch bislang war glücklicherweise „eine übergreifende Angriffskampagne gegen deutsche Ziele […] nicht ersichtlich“, heißt es im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach gab es im Zusammenhang mit dem Krieg „nur“ kleinere Vorfälle wie den Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation. Insgesamt verzeichnete das BSI im vergangenen Jahr 452 Meldungen über Angriffe aus dem KRITIS-Bereich, 2019 waren es 252 – Tendenz also steigend. Laut BSI ist die Cyberbedrohung derzeit so hoch wie nie. Angesichts ihrer Bedeutung für die Allgemeinheit verpflichtet der Gesetzgeber Kritische Infrastrukturen zu besonderen Schutzmaßnahmen. Doch wer gehört dazu?
Das BSI definiert zehn KRITIS-Sektoren von Energie bis Staat, IT und TK bis Abfallentsorgung.
(Quelle: BSI )
Das BSI definiert Kritische Infrastrukturen als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Aktuell gibt es zehn KRITIS-Sektoren, darunter Energie, Gesundheit und Wasser (siehe Grafik auf Seite 69), die sich teils noch einmal in verschiedene Branchen untergliedern.
Kent Andersson
Geschäftsführer Ausecus
Foto: Ausecus
„Wir sind gesetzlich auf einem richtigen Weg, doch die Schwellenwerte für KRITIS reichen bei Weitem nicht aus.“

Problematische Schwellenwerte

Zentrale Rechtsgrundlage ist das BSI-Gesetz (BSIG), das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSI-KritisV) beschreibt die einzelnen Sektoren näher. Die Schwellenwerte sind darin meist so zugeschnitten, dass eine Untergrenze von 500.000 Einwohnern versorgt wird. Nur Einrichtungen oder Anlagen sind KRITIS, die diese Werte überschreiten (erhebliche Größenordnung). Die Schwellenwerte werden regelmäßig überprüft und angepasst. Zuletzt wurde der Schwellenwert für Stromerzeugung mit installierter Netto-Nennleistung (elektrisch) von 420 Megawatt (MW) auf 104 MW gesenkt. Ein Kraftwerk unter dieser Leistung ist nicht KRITIS.
„Der gesenkte Schwellenwert ist ein guter Schritt, da auch kleinere Kraftwerke für die Stromversorgung der Bevölkerung relevant sind. Wir sind hier grundsätzlich auf einem richtigen Weg, doch die Schwellenwerte reichen bei Weitem nicht aus“, sagt Kent Andersson, Geschäftsführer bei Ausecus, einem IT-Sicherheitsdienstleister für Kritische Infrastrukturen und Industrie mit Sitz in Augsburg. Besonders kritisch sieht er die Schwellenwerte für Wasser und Abwasser, die erst ab 500.000 Einwohnern gelten. Denn damit gilt nur etwa 1 Prozent der rund 5500 Wasserwerke als KRITIS-Betreiber mit entsprechend hohen Sicherheitsanforderungen.
Relevante Gesetze für KRITIS-Betreiber
Für KRITIS-Betreiber gelten angesichts ihrer großen Bedeutung für das All­gemeinwohl spezielle Sicherheitsanforderungen. Hier eine Übersicht der wichtigsten Gesetze:
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG): Nach § 8a haben KRITIS-Betreiber besondere Pflichten für ihre IT-Sicherheit
  • Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSI-KritisV): Nähere Beschreibung der einzelnen Sektoren und Schwellenwerte zur KRITIS-Bestimmung
  • Die NIS-Richtlinie (Network Information Security). Erste EU-weite Rechtsvorschrift über Cybersicherheit. Ziel ist ein gleichmäßig hohes Sicherheitsniveau von Netz- und Informationssystemen in der gesamten Europäischen Union. Die künftige Version NIS 2 definiert insgesamt 18 KRITIS-Sektoren in zwei Kategorien (wesentliche und wichtige Einrichtungen) und verzichtet auf Anlagen-Schwellenwerte. Die Regulierung mit strengeren Vorgaben an Cybersecurity trifft dann auch mittlere Firmen ab 50 Mitarbeitern oder einem Jahres­umsatz von 10 Millionen Euro
  • IT-Sicherheitsgesetz (erfüllt viele Vorgaben der NIS-Richtlinie): Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
  • Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) mit Fokus auf physischer Sicherheit. Diese neue Vorschrift soll die Widerstandsfähigkeit Kritischer Infrastrukturen gegen Bedrohungen wie Naturgefahren, Terroranschläge oder einer Pandemie stärken
Seite
  1. Teil: Energieversorger & Co. schützen
  2. Teil: NIS 2: Übergeordnetes EU-Recht
  3. Teil: Systeme zur Angriffserkennung
  4. Teil: „Das ist kein strukturierter Katastrophenschutz“
  5. Teil: Bündel an Schutzmaßnahmen
Verwandte Themen

Mehr zum Thema