In diesem Artikel lesen Sie,

• welche Branchen zu den Kritischen Infrastrukturen (KRITIS) zählen und welchen Risiken sie ausgesetzt sind,
• was sich mit dem IT-Sicherheitsgesetz 2.0 ändert,
• warum auch Zulieferer und Dienstleister KRITIS-Anforderungen genügen müssen und was es zu beachten gilt.

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“: So definiert die Bundesregierung Kritische Infrastrukturen in ihrer KRITIS-Strategie und stufte in der Vergangenheit neun Sektoren als unverzichtbar für das gesellschaftliche Zusammenleben ein: die Nahrungsmittel-, Energie- und Wasserversorgung, das Gesundheitswesen, Transport und Verkehr, den Staat und die Verwaltung, IT und Telekommunikation, Medien und Kultur ebenso wie das Finanz- und Versicherungswesen. Mit dem  IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das im Mai 2021 in Kraft getreten ist, kommt zusätzlich der Bereich Entsorgung hinzu. Für Unternehmen und Organisationen aus diesen Bereichen gilt: Ausfälle sind kaum oder gar nicht tolerierbar, zumindest sobald die betreffenden Betriebe definierte Schwellenwerte für die Versorgung einer größeren Anzahl an Bürgerinnen und Bürger überschreiten.

Für die KRITIS-Betreiber bedeutet das wiederum, dass ihre Infrastrukturen aufgrund der lebenswichtigen Bedeutung für Menschen und Gesellschaft besonders verletzlich sind. Und dass sie diese besonders schützen müssen. Zu den größten Bedrohungen für Kritische Infrastrukturen zählt das Bundesministerium des Inneren (BMI) Naturereignisse wie Stürme, Brände oder Erdbeben, ebenso technisches und menschliches Versagen. Auch Anschläge, Kriminalität und Krieg gehören zu den Gefahren, die KRITIS-Betreiber in ihren Risikoanalysen, bei Präventions- und Schutzkonzepten berücksichtigen müssen.

Quelle: Bundesministerium des Inneren
 

Hinzu kommt: Die Einrichtungen der einzelnen KRITIS-Bereiche sind teils stark voneinander abhängig. Ausfälle in einem der Sektoren können zu einem Dominoeffekt führen und auch Einrichtungen anderer Branchen beeinträchtigen. In der stark technologisierten und digitalisierten deutschen Industriegesellschaft ist dies besonders bei Dienstleistungen aus dem IT- und Telekommunikationsbereich eine Gefahr. Daher regelt das IT-Sicherheitsgesetz die Anforderungen an KRITIS-Betreiber, aber auch an deren Dienstleister und Lieferanten. Zugleich beschreibt es die Aufgaben und Befugnisse des Staats. Welche Unternehmen ab welcher Größe von dem Gesetz betroffen sind, geht aus der ebenfalls aktualisierten KRITIS-Verordnung 2.0 (KRITIS-V 2.0) hervor. Sie erweitert den Kreis der KRITIS-Anlagen und definiert neue Schwellenwerte.

Bereits das IT-Sicherheitsgesetz 1.0 richtete sich an mehrere Adressaten, in der neuen Fassung kommen nun zusätzliche Betriebe hinzu:

• Betreiber Kritischer Infrastrukturen, für die keine Ausnahmeregelung gilt, müssen ihre IT nach „dem Stand der Technik“ absichern und alle zwei Jahre überprüfen lassen.
• Telekommunikationsunternehmen müssen Sicherheitsvorkehrungen treffen und Vorfälle sowohl an das BSI melden als auch ihre Kundinnen und Kunden bei Schwachstellen warnen und aufzeigen, wie man diese beseitigen kann.
• Betreiber von Webangeboten wie Online-Plattformen oder Cloud-Computing-Services
• Das BSI erhält mit dem IT-SiG 2.0 erweiterte Befugnisse, um die Sicherheit im KRITIS-Bereich zu überprüfen.
• Neu: Unternehmen im besonderen öffentlichen Interesse, auch wenn sie keinem der definierten KRITIS-Sektoren angehören.
• Neu: Zulieferer und Dienstleister von KRITIS-Betreibern

Entsprechend sollten auch Betriebe, die mit Krankenhäusern, Energieversorgern oder Verwaltungseinrichtungen zusammenarbeiten, ihre IT-Sicherheit umfassend auf den Prüfstand stellen. Denn auch für sie gilt das IT-SiG 2.0 – unter anderem bei der Cloud-Nutzung. Etwa dann, wenn sie Unternehmens-Apps oder ein ERP-System aus der Cloud nutzen und dort Wartungsdaten verarbeiten, die auf Schwachstellen eines KRITIS-Betriebs hindeuten könnten. 

Diese Kriterien sollte die Cloud-Strategie von Unternehmen für die Zusammenarbeit mit KRITIS-Betreibern erfüllen:

• Die eigene Cloud-Strategie und -Nutzung ist in ein umfassendes Information Security Management System (ISMI) eingebettet.
• Ein zuverlässiges Incident Management System deckt auch Cloud-bezogene Vorfälle ab und definiert ein klares Vorgehen.
• Die eigenen Systeme und Infrastrukturen werden regelmäßig auf Schwachstellen geprüft und gemäß der vom IT-SiG vorgegebenen Kritikalitätsstufe ans BSI gemeldet.
• Kommunikation und Datenaustausch mit dem Auftraggeber und dem Cloud-Anbieter können kryptografisch ablaufen.
• Die Verträge mit dem Cloud-Anbieter werden standardmäßig von einem Rechtsanwalt für Datenschutz auf Compliance-Verstöße und internationale Abhängigkeiten überprüft.
• Die Systeme des Cloud-Providers müssen ausreichend gegen die oben genannten Gefahren – zum Beispiel Brände, Stürme oder fremden Zugriff – geschützt sein.
• Der Cloud-Provider verfügt über eine zuverlässige Backup-Strategie, die den Verlust von Daten konsequent verhindert und bietet umfangreiche Abwehrstrategien, darunter Anti-DDoS, WAF, IDS, Firewall as a Service und Backup as a Service.
• Der Cloud-Dienstleister stellt ein gehärtetes Betriebssystem zur Verfügung und gewährleistet Datenportabilität.
• Alle Systemzugriffe und Netzwerkverbindungen werden lückenlos protokolliert, um unbefugte Zugriffsversuche zu identifizieren.
• Die Leistungen der Rechenzentrumsbetreiber, Service Provider, Netzanbieter und Cloud-Provider kommen aus einer Hand, sodass im Störfall klare Zuständigkeiten herrschen.
• Die genutzte Cloud-Infrastruktur wird georedundant in Rechenzentren in Europa betrieben, sodass Daten und Anwendungen jederzeit verfügbar sind – selbst wenn ein Standort ausfällt.

Um für den Stör- oder Katastrophenfall gewappnet zu sein, sollten Unternehmen einen umfassenden Disaster-Recovery-Plan aufsetzen. Darin legen sie gemeinsam mit ihrem Service-Provider alle notwendigen Schritte zur Wiederherstellung von Netzwerken, Servern und Daten, aber auch Endgeräten und Konnektivität fest. Auf diese Weise kann der Betrieb auch dann nahezu unterbrechungsfrei weiterlaufen, wenn Infrastrukturen, Informationen oder Dienste gelöscht, verschlüsselt oder unbrauchbar sind. 

Damit Daten und Anwendungen auch dann zur Verfügung stehen, wenn es an einem Rechenzentrumsstandort zu Ausfällen – etwa durch Naturgewalten – kommt, bieten Cloud-Provider wie die Open Telekom Cloud Georedundanz. So spiegeln die Twin-Core-Rechenzentren der Open Telekom Cloud in Amsterdam die deutsche Anlage in Magdeburg/Biere. Zwischen den beiden Standorten liegen mehr als 500 Kilometer. Damit liegt die Open Telekom Cloud deutlich über der Empfehlung für Kritische Infrastrukturen des BSI. Diese sieht einen Mindestabstand von 200 Kilometern zwischen den Standorten vor. 
Funktionalitäten wie der Storage Disaster Recovery Service aus der Open Telekom Cloud schützen Nutzerinnen und Nutzer durch kontinuierliche Datensynchronisation zwischen zwei Verfügbarkeitszonen zusätzlich vor Datenverlust.