Merkmale und regulatorische Grundlagen kritischer Infrastrukturen (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwohl, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das IT-Sicherheitsgesetz verpflichtet deren Betreiber, Sicherheitsstandards zum Schutz der IT-Systeme, IT-Komponenten und IT-Prozesse einzuführen, um durch angemessene Vorkehrungen unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu sein.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) nach dem BSI-Gesetz hat insgesamt neun unterschiedliche Bereiche definiert, welche besonders schützenswert sind:

  • Energie
  • Wasser
  • Ernährung
  • Informations- und Kommunikationstechnik
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Staat und Verwaltung
  • Medien und Kultur

Nach §8a BSIG sind Betreiber Kritischer Infrastrukturen dazu verpflichtet mindestens alle zwei Jahre die Erfüllung der Anforderungen (bspw. die Kernforderung des IT-Sicherheitskatalogs: Betrieb eines ISMS nach ISO/IEC 27001) nachzuweisen. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich neben dem Sektor zusätzlich nach diversen Schwellenwerten.

Schwellenwerte der einzelnen Sektoren

Für nachfolgende Sektoren sind seit Mai 2016 in Korb I der BSI-KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Energie: Stromversorgung, Gasversorgung, Versorgung mit Kraftstoff und Heizöl und Fernwärme (Schwellenwerte)
  • Wasser: Öffentliche Wasserversorgung, Abwasserbeseitigung (Schwellenwerte)
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel (Schwellenwerte)
  • Informations- und Kommunikationstechnik: Sprach- und Datenübertragung, Datenspeicherung und Datenverarbeitung (Schwellenwerte)

Für folgende Sektoren sind seit Mai 2017 im Korb II der BSI- KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Finanz- und Versicherungswesen: Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen (Schwellenwerte)
  • Gesundheit: Medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten (Schwellenwerte)
  • Transport und Verkehr: Transport von Gütern, Transport von Personen im Nah- und Fernbereich (Schwellenwerte)

Der Sektor Staat und Verwaltung ist nicht im BSIG geregelt und verfügt daher über keine definierten Schwellenwerte. Nichtsdestotrotz ist die Handlungsfähigkeit staatlicher Einrichtungen Voraussetzung für das Vertrauen in die Handlungsfähigkeit des Staates und damit auch Garant für die Innere Sicherheit der Bundesrepublik Deutschland. Die Störung einzelner Institutionen würde sich negativ auf das Gemeinwohl auswirken, weshalb das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) 2005 in einem ersten Schritt ein Konzept zur Planung und zum Aufbau einer zuverlässigen Notstromversorgung erarbeitet hat. Folgende Branchen zählen zum Sektor Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschl. Katastrophenschutz

Ebenso verfügt der Sektor Medien und Kultur über keine Regelung im BSIG. Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion sind für die Meinungsbildung, sowie Warnung und Information der Bevölkerung in Krisen- und Notlagen von entscheidender Bedeutung. Sie haben damit eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes.  Weiterhin ist der Schutz und Erhalt von symbolträchtigen Bauwerken und Kulturgut von hoher psychologischer Bedeutung für die Gesellschaft. Gemäß des Haager Abkommens von 1954 müssen Kulturgüter geschützt und respektiert werden. Der Sektor Medien und Kultur beinhaltet folgende Branchen: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut und symbolträchtige Bauwerke.

Nachhaltige Verbesserung der IT-Sicherheit durch ibi systems iris

Mit ibi systems iris implementieren und betreiben Sie ein Informationssicherheitsmanagementsystem (ISMS) nach gängigen Standards wie ISO/IEC 27001. Insbesondere bei einer angestrebten Zertifizierung unterstützt Sie die ISMS- und GRC-Software „ibi systems iris“ vollumfänglich und umfassend.

Beginnend mit der Erfassung der IT-Infrastruktur (Assets, Prozesse) über die Durchführung von IT-Sicherheitsprüfungen bis hin zum Betrieb des Risiko-Managements haben Sie mit ibi systems iris ein effektives Tool zur Hand, das Ihnen bei Ihrer täglichen Arbeit eine enorme Aufwandsersparnis verspricht. Natürlich sind die Dokumentation, Steuerung und Planung von umfassenden Follow-up-actions ebenso wie ein individualisierbares und übersichtliches Reporting möglich.

Zurück zur Übersicht

____________________

Quellen:

  • Verordnung des Bundesministeriums des Innern (2016): Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-Kritisverordnung- BSI-KritisV), Online im Internet: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/BSI_Kritisverordnung_Final.pdf?__blob=publicationFile , Abfrage: 29.10.2018, 12:38 Uhr.