Sicherheitsstrategie für Kritische Infrastrukturen
Moderne, hoch entwickelte und technologisierte Gesellschaften sind auf eine zuverlässige Infrastruktur angewiesen. Störungen und Ausfälle können erhebliche volkswirtschaftliche Schäden nach sich ziehen und weite Teile der Bevölkerung unmittelbar betreffen.
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Neben den Sektoren Energie und Gesundheit, zählen unter anderem auch Informationstechnik und Telekommunikation sowie die Wasserversorgung zu den Bereichen, die überlebensnotwendige Infrastrukturen bereitstellen.
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Neben den Sektoren Energie und Gesundheit, zählen unter anderem auch Informationstechnik und Telekommunikation sowie die Wasserversorgung zu den Bereichen, die überlebensnotwendige Infrastrukturen bereitstellen.
Technische Basisinfrastrukturen
Energie
Energieversorger, Stadtwerke, Verteilernetzbetreiber
Wasser
Wasserversorgung, Klärwerkbetreiber, Wasserkraftwerkbetreiber
Transport und Verkehr
Flughafen- und Bahnbetreiber, ÖPNV
Informations- und Kommunikationstechnologie
Mobilfunkanbieter, Telekommunikationsprovider
Energieversorger, Stadtwerke, Verteilernetzbetreiber
Wasser
Wasserversorgung, Klärwerkbetreiber, Wasserkraftwerkbetreiber
Transport und Verkehr
Flughafen- und Bahnbetreiber, ÖPNV
Informations- und Kommunikationstechnologie
Mobilfunkanbieter, Telekommunikationsprovider
Dienstleistungsinfrastrukturen
Staat und Verwaltung
Bundesministerien, Einwohnermeldeämter
Gesundheit
Krankenhäuser, Rettungsdienste, Katastrophenschutz
Finanz- & Versicherungswesen
Banken, Versicherungen
Ernährung
Lebensmittelkonzerne, Lebensmittelhändler
Medien und Kultur
Rundfunk- und Fernsehanstalten
Bundesministerien, Einwohnermeldeämter
Gesundheit
Krankenhäuser, Rettungsdienste, Katastrophenschutz
Finanz- & Versicherungswesen
Banken, Versicherungen
Ernährung
Lebensmittelkonzerne, Lebensmittelhändler
Medien und Kultur
Rundfunk- und Fernsehanstalten
Zwischen beiden Infrastrukturbereichen bestehen grundsätzlich erhebliche Abhängigkeiten, da nahezu alle Dienstleistungsinfrastrukturen der weitgehend uneingeschränkten Verfügbarkeit der technischen Basisinfrastrukturen bedürfen. Aber auch umgekehrt sind technische Basisinfrastrukturen auf Dienstleistungsinfrastrukturen wie etwa ein stabiles Rechtssystem oder ein funktionsfähiges Notfall- und Rettungswesen im Krisenfall angewiesen.
Um den zunehmenden Gefahren durch Cyberattacken effektiv begegnen zu können, hat das Bundesministerium des Innern ein IT-Sicherheitsgesetz auf den Weg gebracht. Mit dem IT-Sicherheitsgesetz werden die Betreiber von Kritischen Infrastrukturen verpflichtet, Ihre IT-Infrastruktur besser vor Hacker-Angriffen zu schützen und nach Mindeststandards auszurüsten. Spätestens zwei Jahre nach Inkrafttreten dieser Rechtsverordnung müssen Betreiber von Kritischen Infrastrukturen sowohl angemessene organisatorische als auch technische Vorkehrungen eingeführt haben, um Störungen der IT-Infrastruktur zu vermeiden. Neben der obligatorischen Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik ist zudem die Einhaltung bestimmter Mindeststandards für die IT-Sicherheit von den Betreibern nachzuweisen. Dieser Nachweis ist alle 2 Jahre zu erneuern und stellt sicher, dass die Anforderungen nach dem IT-Sicherheitsgesetz noch erfüllt werden.
Als Grundlage für die Einführung der organisatorischen Anforderungen sind die notwendigen Maßnahmen in ISO 27001 beschrieben. Die technischen Vorkehrungen sollten gemäß ISA 99 ausgelegt und der Stand der Technik berücksichtigt werden.
Betroffene Unternehmen sollten beginnen, sich eingehend mit der IT-Sicherheitsthematik sowie den gesetzlichen Anforderungen und den möglichen Projektaufwänden zu beschäftigen. Mit der Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sollte, gerade auch mit Blick auf mögliche Haftungsrisiken, beispielsweise gegenüber Vertragspartnern, zeitnah begonnen werden. Je nachdem, wie gut ein Unternehmen hier bisher aufgestellt ist, kann ein Projekt zur Einführung eine Informationssicherheitsmanagementsystems einen Zeitraum von 12 Monaten oder mehr beanspruchen. Darüber hinaus dient die Etablierung von IT-Sicherheit im Unternehmen grundsätzlich nicht nur der Erfüllung gesetzlicher Pflichten, sondern sollte ein generelles strategisches Ziel zum Schutze kritischer Geschäftsprozesse und werthaltiger Assets sein.
Um den zunehmenden Gefahren durch Cyberattacken effektiv begegnen zu können, hat das Bundesministerium des Innern ein IT-Sicherheitsgesetz auf den Weg gebracht. Mit dem IT-Sicherheitsgesetz werden die Betreiber von Kritischen Infrastrukturen verpflichtet, Ihre IT-Infrastruktur besser vor Hacker-Angriffen zu schützen und nach Mindeststandards auszurüsten. Spätestens zwei Jahre nach Inkrafttreten dieser Rechtsverordnung müssen Betreiber von Kritischen Infrastrukturen sowohl angemessene organisatorische als auch technische Vorkehrungen eingeführt haben, um Störungen der IT-Infrastruktur zu vermeiden. Neben der obligatorischen Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik ist zudem die Einhaltung bestimmter Mindeststandards für die IT-Sicherheit von den Betreibern nachzuweisen. Dieser Nachweis ist alle 2 Jahre zu erneuern und stellt sicher, dass die Anforderungen nach dem IT-Sicherheitsgesetz noch erfüllt werden.
Als Grundlage für die Einführung der organisatorischen Anforderungen sind die notwendigen Maßnahmen in ISO 27001 beschrieben. Die technischen Vorkehrungen sollten gemäß ISA 99 ausgelegt und der Stand der Technik berücksichtigt werden.
Betroffene Unternehmen sollten beginnen, sich eingehend mit der IT-Sicherheitsthematik sowie den gesetzlichen Anforderungen und den möglichen Projektaufwänden zu beschäftigen. Mit der Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sollte, gerade auch mit Blick auf mögliche Haftungsrisiken, beispielsweise gegenüber Vertragspartnern, zeitnah begonnen werden. Je nachdem, wie gut ein Unternehmen hier bisher aufgestellt ist, kann ein Projekt zur Einführung eine Informationssicherheitsmanagementsystems einen Zeitraum von 12 Monaten oder mehr beanspruchen. Darüber hinaus dient die Etablierung von IT-Sicherheit im Unternehmen grundsätzlich nicht nur der Erfüllung gesetzlicher Pflichten, sondern sollte ein generelles strategisches Ziel zum Schutze kritischer Geschäftsprozesse und werthaltiger Assets sein.