Die Sicherung und der Schutz Kritischer Infrastrukturen (KRITIS) ist ein zentrales Element nationaler Sicherheitsstrategien, um die Funktionsfähigkeit lebenswichtiger Dienste und Einrichtungen zu gewährleisten. In Deutschland werden diese unter dem Akronym KRITIS zusammengefasst und in spezifische Sektoren und Branchen unterteilt, um eine gezielte und effektive Schutzstrategie zu ermöglichen.
Die Einteilung der Kritischen Infrastrukturen in Deutschland erfolgt in 10 Sektoren. Jeder Sektor beinhaltet spezifische Branchen, die für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Funktionen von besonderer Bedeutung sind. Zu den Sektoren zählen:
- Energie
- Wasserversorgung
- Ernährung
- Informationstechnik und Telekommunikation
- Gesundheit
- Finanz- und Versicherungswesen
- Transport und Verkehr
- Staat und Verwaltung
- Medien und Kultur
- Siedlungsabfallentsorgung (hinzugekommen im Jahr 2021)
Angesichts der komplexen Sicherheitsanforderungen in den Bereichen der Kritischen Infrastrukturen sind innovative Methoden und Techniken gefragt. Hierbei sind spezifische Herausforderungen beim Schutz essentieller weitläufiger Areale zu meistern. In unserer Serie von KRITIS Strategien bis KRITIS Air-Gap offline IP-System geben wir wertvolle Einblicke um das Situationsbewusstsein zu schärfen und die Widerstandsfähigkeit solcher Einrichtungen zu erhöhen.
KRITIS-Richtlinie 2008/114 der EU als wesentliche Schutzsäule
Die Richtlinie 2008/114/EG der Europäischen Union, allgemein bekannt als KRITIS-Richtlinie, markiert einen entscheidenden Meilenstein im Rahmen des Europäischen Programms zum Schutz Kritischer Infrastrukturen (EPCIP). Sie zielt darauf ab, die Identifikation und den Schutz von Infrastrukturen von wesentlicher Bedeutung für das Funktionieren der Gesellschaft und der Wirtschaft innerhalb der EU-Mitgliedstaaten zu verbessern. Im Hinblick steigender Bedrohungen durch Terrorismus, Naturkatastrophen und technische Unfälle ist die Sicherstellung der Resilienz Kritischer Infrastrukturen von zentraler Bedeutung für die Sicherheit und das Wohlergehen der europäischen Bevölkerung.
Die Richtlinie fördert die Entwicklung eines harmonisierten Rahmens für den Schutz essentieller Dienste und Einrichtungen, die für das gesellschaftliche und wirtschaftliche Wohlergehen innerhalb der EU von entscheidender Bedeutung sind. Die kontinuierliche Anpassung und Weiterentwicklung dieses Rahmens in Reaktion auf sich wandelnde Bedrohungslandschaften wird entscheidend sein, um die Resilienz und Sicherheit der Europäischen Union in den kommenden Jahren zu gewährleisten.
Hintergrund und Entstehung
Die KRITIS-Richtlinie wurde am 8. Dezember 2008 verabschiedet und trat in einer Zeit in Kraft, in der die Europäische Union eine verstärkte Koordination und Kooperation zwischen den Mitgliedstaaten im Bereich der nationalen Sicherheit anstrebte. Das Hauptziel der Richtlinie ist es, einen gemeinsamen Ansatz für den Schutz Kritischer Infrastrukturen zu etablieren, deren Ausfall oder Beeinträchtigung erhebliche negative Folgen für mindestens zwei Mitgliedstaaten haben könnte.
Anwendungsbereich und Zielsetzungen
Der Anwendungsbereich der KRITIS-Richtlinie erstreckt sich auf Sektoren und Untersektoren, die als kritisch für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Funktionen identifiziert wurden. Dazu gehören insbesondere die Bereiche Energie (Strom und Öl) und Verkehr (Luft-, Schienen-, See- und Straßenverkehr). Die Richtlinie fordert die Mitgliedstaaten auf, eine Strategie zur Identifizierung und Benennung von Betreibern Kritischer Infrastrukturen innerhalb dieser Sektoren zu entwickeln und umzusetzen.
Schlüsselaspekte der Richtlinie zum Schutz Kritischer Infrastrukturen
Ein wesentlicher Aspekt der KRITIS-Richtlinie ist die Verpflichtung der Mitgliedstaaten, Nationale Kontaktstellen (NKS) für den Schutz Kritischer Infrastrukturen einzurichten. Diese dienen als zentrale Anlaufstellen für die Koordination und den Informationsaustausch sowohl auf nationaler als auch auf EU-Ebene. Die Richtlinie legt außerdem fest, dass Betreiber Kritischer Infrastrukturen angemessene Sicherheitsmaßnahmen ergreifen und signifikante Sicherheitsvorfälle melden müssen.
Herausforderungen und Weiterentwicklung
Die Umsetzung der KRITIS-Richtlinie in den Mitgliedstaaten hat unterschiedliche Herausforderungen aufgezeigt, darunter die Variabilität der nationalen Sicherheitsstandards und die Notwendigkeit einer verbesserten grenzüberschreitenden Zusammenarbeit. Infolgedessen hat die Europäische Kommission weitere Initiativen und Richtlinien ins Leben gerufen, um die Kohärenz und Wirksamkeit des Schutzes Kritischer Infrastrukturen in der EU zu stärken, wie etwa die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie).
Schutz Kritischer Infrastrukturen: Die Rolle des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielt eine zentrale Rolle beim Schutz Kritischer Infrastrukturen in Deutschland. Diese umfassen Einrichtungen und Dienste, die für das Funktionieren der Gesellschaft essentiell sind, wie Energieversorgung, Wasserversorgung, Gesundheitswesen, Transport und Verkehr sowie Informationstechnik und Telekommunikation. Aufgrund der zunehmenden Digitalisierung und Vernetzung dieser Bereiche ist der Schutz vor Cyberbedrohungen von entscheidender Bedeutung.
Risikoanalyse und Prävention
Das BSI analysiert kontinuierlich die Bedrohungslage im Cyberraum und identifiziert potenzielle Risiken für kritische Infrastrukturen. Durch die frühzeitige Erkennung von Schwachstellen und Bedrohungen können präventive Maßnahmen ergriffen werden, um die Sicherheit der Systeme zu erhöhen und Ausfälle zu vermeiden.
Entwicklung von Sicherheitsstandards
Das BSI entwickelt und veröffentlicht technische Richtlinien, Standards und Empfehlungen für die Sicherheit von Informationstechnologien, die in kritischen Infrastrukturen eingesetzt werden. Diese Standards dienen als Orientierungshilfe für Planungsbüros wie Betreiber um IT-Systeme gemäß dem aktuellen Stand der Technik aufzubauen und abzusichern.
Beratung und Unterstützung beim Schutz Kritischer Infrastrukturen
Das BSI berät Betreiber Kritischer Infrastrukturen bei der Implementierung von IT-Sicherheitsmaßnahmen und unterstützt sie bei der Entwicklung von Sicherheitskonzepten. Dabei arbeitet das BSI eng mit den zuständigen Branchenverbänden und Aufsichtsbehörden zusammen.
Notfallmanagement und Reaktion auf Vorfälle
Im Falle von Sicherheitsvorfällen oder Cyberangriffen auf kritische Infrastrukturen koordiniert das BSI die Reaktion und unterstützt die betroffenen Einrichtungen bei der Bewältigung der Situation. Das BSI betreibt das Nationale IT-Lagezentrum, das als zentrale Anlaufstelle für Informationen zu IT-Sicherheitsvorfällen dient und die Kommunikation zwischen den beteiligten Akteuren erleichtert.
Förderung der Resilienz
Das BSI initiiert und unterstützt Forschungs- und Entwicklungsprojekte, die darauf abzielen, die Resilienz Kritischer Infrastrukturen gegenüber Cyberbedrohungen zu stärken. Dazu gehört auch die Förderung von Technologien, die eine schnelle Wiederherstellung der Systeme nach einem Ausfall ermöglichen.
Internationale Zusammenarbeit
Cyberbedrohungen sind oft grenzüberschreitend, weshalb das BSI auf internationaler Ebene mit Partnerbehörden und Organisationen zusammenarbeitet. Dieser Austausch trägt dazu bei, globale Sicherheitsstandards zu entwickeln und gemeinsam gegen Cyberbedrohungen vorzugehen.
Vielschichtigkeit der Bedrohungslandschaft
Der Schutz Kritischer Infrastrukturen (KRITIS) ist eine zentrale Herausforderung für die nationale Sicherheit und das öffentliche Wohlergehen. Kritische Infrastrukturen umfassen essentielle Dienste und Einrichtungen wie Energieversorgung, Wasserwirtschaft, Verkehrssysteme, Gesundheitswesen und Informations- und Kommunikationstechnologien, deren Ausfall oder Beeinträchtigung erhebliche negative Auswirkungen auf die Gesellschaft haben kann. Der Schutz dieser Infrastrukturen vor vielfältigen Bedrohungen stellt Regierungen, Betreiber und Sicherheitskräfte vor eine Reihe von Herausforderungen.
Eine der größten Herausforderungen beim Schutz Kritischer Infrastrukturen ist die Vielschichtigkeit und Dynamik der Bedrohungslandschaft. Cyberangriffe, Terrorismus, Naturkatastrophen und technische Störungen können die Funktionsfähigkeit Kritischer Infrastrukturen beeinträchtigen. Insbesondere Cyberangriffe haben sich als eine zunehmend prävalente Bedrohung herausgestellt, die die Sicherheit und Integrität von Steuerungssystemen gefährden kann.
Interdependenzen zwischen Sektoren
Die starke Vernetzung und Abhängigkeit zwischen verschiedenen Sektoren Kritischer Infrastrukturen erhöht die Komplexität ihres Schutzes. Ein Ausfall in einem Sektor kann kaskadierende Effekte auf andere Sektoren haben, was die Identifikation und Absicherung von Schwachstellen erschwert. Die Interdependenz erfordert eine integrierte Sicherheitsstrategie, die über die Grenzen einzelner Sektoren hinausgeht.
Technologische Fortschritte und Innovation
Während technologische Innovationen das Potenzial haben, die Effizienz und Leistungsfähigkeit Kritischer Infrastrukturen zu verbessern, bringen sie auch neue Sicherheitsrisiken mit sich. Die Integration von IoT-Geräten, Cloud-Diensten und anderen innovativen Technologien erweitert die Angriffsfläche und schafft neue Angriffspunkte für Cyberkriminelle.
Ressourcenbeschränkungen
Die Sicherstellung eines angemessenen Schutzes Kritischer Infrastrukturen erfordert erhebliche finanzielle, personelle und technologische Ressourcen. Insbesondere kleinere Betreiber und öffentliche Einrichtungen stehen vor der Herausforderung, mit begrenzten Budgets umfassende Sicherheitsmaßnahmen zu implementieren. Dieser Spagat zwischen Anforderung und Kosten, in Zeiten angespannter Haushaltslagen, wird häufig zwangsläufig zum Nachteil der eingesetzten Technik entschieden.
Rechtliche und regulatorische Rahmenbedingungen
Die Entwicklung und Durchsetzung rechtlicher und regulatorischer Rahmenbedingungen, die den Schutz Kritischer Infrastrukturen gewährleisten, ohne dabei die operative Effizienz zu beeinträchtigen, stellt eine weitere Herausforderung dar. Die Balance zwischen Sicherheitsanforderungen und unternehmerischer Freiheit zu finden, erfordert einen sorgfältigen Abwägungsprozess.
Bewusstsein und Ausbildung
Ein adäquates Bewusstsein für Sicherheitsrisiken und entsprechende Ausbildungsprogramme für Mitarbeiter sind essenziell für den Schutz Kritischer Infrastrukturen. Die Sensibilisierung für potenzielle Bedrohungen und die Schulung in präventiven Sicherheitsmaßnahmen sind entscheidend, um menschliches Versagen und Insider-Bedrohungen zu minimieren.
Herausforderungen beim Schutz Kritischer Infrastrukturen
Physische Bedrohungen: Naturkatastrophen, terroristische Angriffe und menschliches Versagen können direkte Schäden an Infrastrukturen verursachen.
Cyberbedrohungen: Cyberangriffe auf Computersysteme Kritischer Infrastrukturen können zu Ausfällen, Datenverlust und Manipulation führen.
Interdependenzen: Die zunehmende Vernetzung zwischen verschiedenen Infrastruktursektoren erhöht das Risiko von Dominoeffekten im Falle eines Ausfalls. Interdependenz bei technischen Systemen bezieht sich auf eine Situation, in der zwei oder mehr Systeme in einer Weise miteinander verbunden oder voneinander abhängig sind, dass das Funktionieren, die Leistung oder der Zustand eines Systems direkten Einfluss auf ein anderes oder mehrere andere Systeme hat. Diese gegenseitigen Abhängigkeiten können in verschiedenen Formen auftreten und haben bedeutende Auswirkungen auf die Stabilität, Sicherheit und Effizienz der beteiligten Systeme.
Technologischer Wandel: Die schnelle Entwicklung neuer Technologien erfordert kontinuierliche Anpassungen der Sicherheitsmaßnahmen.
Strategien zum Schutz Kritischer Infrastrukturen
Bedarfsermittlung und Risikobewertung: Eine umfassende Risikobewertung ist der erste Schritt zur Identifizierung potenzieller Bedrohungen und Schwachstellen. Basierend auf dieser Analyse können gezielte Maßnahmen zur Risikominimierung entwickelt und implementiert werden.
Physischen Barrieren: Zu den physischen Sicherheitsmaßnahmen gehören der Zugangsschutz, die Überwachung kritischer Bereiche, die Verstärkung von Gebäuden und Infrastrukturen sowie die Bereitstellung von Notfall- und Wiederherstellungsplänen.
Systemredundanz und Cybersicherheit: Die Schaffung redundanter Systeme und die Diversifizierung von Versorgungswegen und -quellen erhöhen die Resilienz Kritischer Infrastrukturen gegenüber Ausfällen und Angriffen. Angesichts der zunehmenden Bedrohung durch Cyberangriffe ist die Gewährleistung der Cybersicherheit von Steuerungs- und Kommunikationssystemen von entscheidender Bedeutung. Dazu gehören die Implementierung von Firewalls, Verschlüsselung, regelmäßige Sicherheitsüberprüfungen, ein Patch-Management wie Firmware- und Softwareupdates.
Am Anfang die wichtigsten Schritte: Bedarfsermittlung und Risikoanalyse
Bedarfsermittlung und Risikobewertung sind zwei grundlegende Prozesse, die im Bereich der Sicherheits- und Risikomanagementstrategien eine zentrale Rolle spielen. Diese Prozesse ermöglichen es Organisationen, ihre Ressourcen effizient zu planen, potenzielle Risiken zu identifizieren und Maßnahmen zu ergreifen, um diese Risiken zu minimieren.
Bedarfsermittlung: Ein strategischer Ansatz
Die Bedarfsermittlung, oft auch als Bedarfsanalyse bezeichnet, ist der Prozess der Identifizierung und Analyse der Anforderungen oder Bedürfnisse einer Organisation oder eines Projekts. Ziel ist es, ein klares Verständnis der notwendigen Ressourcen, Technologien, Kompetenzen und Strategien zu erlangen, um die gesetzten Ziele effektiv zu erreichen. Dies kann von der Bestimmung des Personalbedarfs über die Einschätzung notwendiger technischer Ausstattungen bis hin zur Analyse finanzieller Ressourcen reichen.
Schritte der Bedarfsermittlung: Das Bedürfnis verstehen, den Bedarf ermitteln
Ganz am Anfang einer Bedarfsermittlung steht die Zieldefinition, also die Klärung der Ziele und Ergebnisse, die erreicht werden sollen. In dieser Phase ist es oftmals bereits ratsam sich kompetenten Rat beispielsweise beim BSI, den kriminalpolizeilichen Beratungsstellen oder externen Sicherheitsexperten einzuholen. In jedem Fall gehört zur Bedarfsermittlung eine umfangreiche Datensammlung in welcher alle spezifischen Anforderungen festgehalten werden. In einem weitern Schritt erfolgt die Bedarfsanalyse.
Diese beinhaltet die Auswertung der gesammelten Daten, um spezifische Anforderungen und Prioritäten zu identifizieren. Im Anschluss wird ein Aktionsplan aufgestellt. Der Aktionsplan umfasst die Entwicklung eines Plans zur Erfüllung der identifizierten Bedürfnisse unter Berücksichtigung der verfügbaren Ressourcen. Ein wesentlicher Baustein neben der Bedarfsermittlung ist die Risikobewertung, also die Beleuchtung von allen Seiten unter Einbezug aller Eventualitäten.
Risikobewertung: Vorbereitung auf das Unerwartete
Die Risikobewertung ist ein systematischer Prozess zur Identifizierung und Analyse potenzieller Risiken, die die Zielerreichung beeinträchtigen könnten. Durch die Bewertung der Wahrscheinlichkeit des Auftretens eines Risikos und der potenziellen Auswirkungen können präventive Strategien entwickelt werden, um diese Risiken zu minimieren oder zu vermeiden.
Schlüsselelemente der Risikobewertung
Grundlegende Risikoidentifikation durch Ermittlung potenzieller Risiken, die die Organisation oder das Projekt beeinflussen könnten. Risikoanalyse durch Bewertung der Wahrscheinlichkeit des Eintretens der identifizierten Risiken und deren möglicher Auswirkungen. Ein weiterer Schritt ist die Risikopriorisierung durch Klassifizierung der Risiken nach ihrer Dringlichkeit und ihrem Schweregrad, um Prioritäten für die Risikominderung festzulegen. Zudem muss die Erarbeitung von Risikominderungsstrategien berücksichtigt werden. Diese beinhalten die Entwicklung und Implementierung von Strategien zur Reduzierung der identifizierten Risiken, einschließlich präventiver Maßnahmen und Notfallplänen.
Integration von Bedarfsermittlung und Risikobewertung
Die Integration von Bedarfsermittlung und Risikobewertung ermöglicht es Organisationen, eine umfassende Strategie für die erfolgreiche Durchführung ihrer Projekte und Operationen zu entwickeln. Durch die Kombination beider Prozesse können Organisationen sicherstellen, dass sie nicht nur die notwendigen Ressourcen und Maßnahmen zur Zielerreichung identifizieren, sondern auch vorbereitet sind, potenzielle Hindernisse und Risiken effektiv zu managen. Da es sich in der Regel um Spezialtechniken handelt ist es ratsam entsprechende Experten hinzuzuziehen.
Die Bedarfsermittlung ist die erste Phase eines Projekts in welcher wichtigste Weichen gestellt werden. In diesem ersten Schritt werden erfahrungsgemäß oftmals viele Fehler gemacht welche sich zu einem späteren Zeitpunkt negativ auf die Ausführungszeit wie die Kosten auswirken. Immer wieder gibt es den Hauptfehler, dass der eigentliche Bedarf am Anfang nicht richtig fixiert wird, sondern sich über die Laufzeit eines Projekts entwickelt.
Dies ist insofern problematisch, weil wichtige Parameter wie Flächen- und Platzbedarf sowie Infrastrukturmaßnahmen mit fortschreitender Baumaßnahme immer schwieriger werden realisiert zu werden. Zudem bedarf es einer stetigen Planungsanpassung was mit nicht unerheblichen Kosten verbunden sein kann.
Man stelle sich vor, eine Bedarfsermittlung und Risikobewertung ergibt, dass die großen Freiflächen um eine Liegenschaft videotechnisch nicht überwacht werden müssen. Nachdem die Planungen für alle Gewerke abgeschlossen und die Bauaufträge vergeben sind, stellt sich heraus, um die Sicherheit der Liegenschaft zu gewährleisten, dass für die umliegenden Freiflächen ein Videoüberwachungssystem in der Qualitätsstufe ERKENNEN mit 125 Pixel pro Meter flächendeckend benötigt wird.
Solche späten tiefgreifenden Erkenntnisse werden jedes Projekt nahe dem ursprünglichen Startpunkt wieder zurücksetzen. Liegenschaften der Kritischen Infrastrukturen sind häufig sehr weitläufig, beherbergen viel Technik und haben ganz besondere Anforderungen welche es zu hinterfragen gilt. In diesem Zusammenhang ist es wichtig Nutzer zu Beginn beim Schutz Kritischer Infrastrukturen aktiv professionell mit Weitblick zu unterstützen.
Unsere Erfahrungen zeigen, dass vor allem bei Techniken wie der Videoüberwachung, Radar- und LiDAR-Systemen, Einbruch- und Brandmelde, Perimeter-Sicherung, Schwesternruf und Zellenkommunikation sowie Personen-Notsignal und BOS-Funk diejenigen wenigen Planungsbüros am geeignetsten sind welche auch gleichzeitig als Sachverständige aktiv agieren. Bei diesen Bürokonstellationen existiert nach unserer Erkenntnis das vertiefte Verständnis um die zugrundeliegenden Normen und gleichzeitig die Erfahrungen zur Umsetzung dieser spezifischen anspruchsvollen technischen Systeme.
Fazit
Der Schutz Kritischer Infrastrukturen vor einer Vielzahl von Bedrohungen ist eine komplexe und fortwährende Aufgabe. Sie erfordert eine koordinierte Anstrengung insgesamt. Durch die Entwicklung umfassender Sicherheitsstrategien, die Stärkung der Resilienz Kritischer Infrastrukturen und die kontinuierliche Anpassung an die sich wandelnde Bedrohungslandschaft kann der Schutz dieser lebenswichtigen Systeme verbessert werden.
Bedarfsermittlung und Risikobewertung sind unverzichtbare Werkzeuge im Arsenal jeder Organisation und zugleich die ersten und wichtigsten Schritte jeder Maßnahme. Durch die sorgfältige Analyse der Anforderungen und potenziellen Risiken können Organisationen nicht nur ihre Ressourcen effizienter einsetzen, sondern auch proaktiv auf Herausforderungen reagieren und die Wahrscheinlichkeit unerwarteter Störungen minimieren. Häufig ist es sinnvoll bereits im Zuge der Bedarfsermittlung externe Spezialisten mit zu integrieren um die passgenaue auf den Bedarf zugeschnittene Technik zu erhalten.
NUTZUNG | HAFTUNG
Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte.