Schutz Kritischer Infrastrukturen

Schutz Kritischer Infrastrukturen (KRITIS): 
IT-Systeme systemrelevanter Organisationen

Kritische Infrastrukturen (KRITIS) sind per Definition Einrichtungen, die für das staatliche Gemeinwesen von großer Bedeutung sind. Ihr Versagen, Ausfall oder ihre Beeinträchtigung wird zu einem dauerhaften Versorgungsengpass, erheblichen Schäden für die öffentliche Sicherung oder anderen schwerwiegenden Folgen wie dramatische Versorgungsengpässe führen. Der Schutz Kritischer Infrastruktur und der Netzwerk-Infrastruktur sind sehr wichtig, ein Wegfall darf nicht eintreten.

Die Gewährleistung des Schutzes dieser Strukturen ist die Kernaufgabe der nationalen und betrieblichen Sicherheitsvorkehrungen und das zentrale Thema der deutschen Sicherheitspolitik. Das umfasst die technische IT-Infrastruktur systemrelevanter Infrastrukturen.

 

Die Sicherheit kritischer Infrastrukturen beinhaltet insbesondere die IT Anlagen

 

Die Digitalisierung in Wirtschaft und Gesellschaft hat Deutschland grundlegend verändert

In nur wenigen Jahren hat die Digitalisierung in Politik und Unternehmen aller Standorte und Branchen, insbesondere von kritischen Infrastrukturen wie Verkehr, Versorgung, Transport, Gesundheit, Wasser, Ernährung, Finanz-, Gas, staatliche und öffentliche Verwaltung oder Versicherungswesen in Deutschland grundlegend verändert. Kommunikation, Wissenserwerb und neue Möglichkeiten für innovatives Gestaltung steuern zu mehr sozialen Interaktionen, neuen Geschäftsmodellen und neuen Bereichen für Forschung und Entwicklung.

Das Netzwerk zwischen Arbeitsprozessen, Abläufen und Produktionsprozessen wird enger und Innovationszyklen immer kürzer. Vernetzte elektronische Geräte beeinflussen zunehmend das tägliche Leben und die Arbeit der Menschen. Der grenzüberschreitende Cyberspace erfordert nicht nur für kritische Infrastruktur neue Ansätze.

 

Die Automatisierung eröffnet Chancen, aber auch ein Risiko für die Security

Die digitale Transformation eröffnet Chancen, aber es gibt auch Risiken, daher ist ein umfassender Schutz für kritische Informationen erforderlich. Im digitalen Zeitalter müssen auch die Handlungsfähigkeit und die Souveränität gewährleistet sein. Die zukunftsorientierte Cyber-Sicherheitsstrategie ermöglicht es, die enormen Chancen und das Potenzial des digitalen Wandels voll auszuschöpfen, indem es die damit verbundenen Risiken im Einklang mit den Interessen der Gesellschaft und Infrastrukturen beherrschbar macht.

In der modernen ITK spielen elektronische Datenverarbeitung, leistungsfähige Software und flexible Cloud-Lösungen eine zentrale Rolle. EDV-Systeme und leistungsstarke Rechner bilden die Basis für effiziente Anwendungen in Bereichen wie Elektrotechnik, Automatisierungstechnik und Elektronik. Stabile Netze und leistungsfähige Kommunikationsnetze ermöglichen eine sichere und schnelle Datenübertragung. Dabei ist umfassende Netzwerksicherheit essenziell. Moderne Firewalls bieten Secure Protection und tragen zur Prävention von Cyberangriffen bei. Eine zuverlässige Firewall-Strategie ist daher unverzichtbar für die Widerstandsfähigkeit sensibler Daten.

 

Der Schutz der IT-Infrastruktur ist ein zentraler Aufgabenschwerpunkt

Da kritische Struktur zunehmend auf Informations- und Kommunikationstechnik (IT/TK, IKT) angewiesen ist, ist der Basisschutz dieses Bereiches ein zentraler Aufgabenschwerpunkt. Um diese Infrastrukturen, Infrastrukturanlagen und Infrastruktureinrichtungen vollständig zu schützen, müssen der physische Schutz ausreichend berücksichtigt werden. Ausfallsicherheit (Resilienz) beschreibt die Fähigkeit eines Systems, Ereignissen standzuhalten oder sich an sie anzupassen, während seine Funktionen beibehalten oder schnell wiederhergestellt werden.

Cyber-Sicherheit ist essenziell für den Schutz kritischer Infrastrukturen und öffentlicher Dienstleistungen vor Cyberangriffen. Durch gezielte Angriffe auf Computer, Hardware und Datenverkehr nutzen Kriminelle Schwachstellen aus, um ein System zu kompromittieren. Effektive Solutions zur Erkennung solcher Bedrohungen sind entscheidend, um Ausfälle in einem Sektor zu verhindern. Besonders in einem kritischen Sektor ist die Gefahrenabwehr von Cyber-Bedrohungen unerlässlich, um die Stabilität der Infrastrukturen zu gewährleisten.

 

Gesetz zur Erhöhung der Informationssicherheit informationstechnischer Infrastruktursysteme

Im Juli 2015 wurde das erste IT-Sicherheitsgesetz, das Gesetz zur Erhöhung der Sicherung informationstechnischer Systeme, verabschiedet. Die deutsche Cybersicherheitsstrategie wurde 2016 neu verfasst. An diesem Prozess sind zahlreiche Akteure aus Wissenschaft und Zivilgesellschaft beteiligt. Der in UP-KRITIS institutionalisierte Dialog zwischen Politik und Volkswirtschaft begleitet diese wichtige Aufgabe mit mehr als 500 Mitgliedern. UP-KRITIS ist eine öffentlich-private Partnerschaft zwischen KRITIS-Betreibern, deren Verbände und den zuständigen staatlichen Stellen.

Das KRITIS-Dachgesetz und die BSI-KRITISVerordnung regeln die Sicherheit kritischer Infrastrukturen, zu denen auch die Landwirtschaft und Lebensmittel gehören. Ein stabiles System ist essenziell, damit diese Sektoren zuverlässig funktionieren und mögliche Konsequenzen von Ausfällen minimiert werden. Die Systemrelevanz von IT-Sicherheit zeigt sich insbesondere in der Zuverlässigkeitssicherung vor Sabotage, die durch geeignete Vorsorgemaßnahmen verhindert werden kann. Die Landesregierung arbeitet dabei eng mit dem BSI-KritisV und dem BSIg zusammen, um Anlagenkategorien abzusichern. Managed Services können helfen, Risiken für Personen und Betriebe zu reduzieren.

 

Infos über systemrelevante Einrichtungen und Berufe

Notwendige Unternehmen, Behörden, kritische Strukturen oder Berufe eines Landes gelten als systemrelevant, die eine so essentielle wirtschaftliche oder infrastrukturelle Rolle spielen. Ihre Insolvenz oder Systemrisiken können nicht hingenommen, ihre Dienstleistung muss besonders geschützt werden. So gilt ein Rechenzentrum (RZ), Data Center oder Serverraum dieser Infra-Struktur als hochkritischer Sicherheitsbereich und bedarf eines besonderen Schutzes.

Die KRITIS-Verordnung stellt eine Verordnung zum Schutz kritischer Infrastrukturen dar und erfordert von Unternehmen der IT-Branche eine zuverlässige Umsetzung von Schutzkonzepten. Dies ist besonders für die Informationstechnologie (Information Technology) und die Informatik von Relevanz, da moderne Technologien, wie künstliche Intelligenz, in Netzwerken zunehmend eingesetzt werden. Unternehmen müssen gemäß BSI-Standard und IT-Grundschutz ihre Ausstattung optimieren und regelmäßige Prüfung durchführen. Um die Betreuung, Pflege und den Support sicherzustellen, sind innovative Lösungen notwendig, um Verbraucher effektiv mit sicheren Leistungen zu versorgen.

 

Betreiber müssen ihre Netzwerk-Infrastruktur mit IT-Sicherheit angemessen absichern

Betreiber dieser digitaler Infrastruktur sind nach dem IT-Sicherheitsgesetz verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche Informations- und Kommunikationstechnik nach dem Stand der Technik angemessen abzusichern. Informationssicherheit beschreibt die Attribute von Informationsverarbeitungs- und Speichersystemen (technisch oder nicht technisch), um strukturelle Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Sichere EDV, IT Technik, Komponeneten und Prozesse verhindert Gefahren oder Bedrohungen, vermeidet Verluste und minimiert Gefährdungen für kritische Infrastruktur.

Die IT-Security spielt eine zentrale Rolle in der Konzernsicherheit, Anlage- und Unternehmenssicherheit, insbesondere im Kontext der NIS2-Richtlinie. Die Härtung von Infrastrukturen, Ressourcen und Sicherheitstechnik erfordert moderne IT-Sicherheitslösungen, die eine zuverlässige Angriffserkennung gewährleisten. Ein IT-Sicherheitsvorfall kann schwerwiegende Störungen oder Karastrophen bringen, weshalb Compliance-Vorgaben den Zugriff auf sensible Daten und struktureller Infrastruktur regeln.

In Land und Kommunen sind neben technischen Mitteln wie Brandschutz auch umfassende Safety-Konzepte erforderlich, um wesentliche Sicherheiten der Region zu gewährleisten und jede Gefahr zu minimieren. Moderne Technology trägt entscheidend dazu bei, die digitale und physische Safety zu verbessern.

 

Kritische Infrastrukturen kritis Schutz

19-Zoll-Racks im Rechenzentrum (RZ) für den Betrieb der IT-Infrastruktur wie Server, Storages, Switches, Technik, Netzwerk und Komponenten.

 

Übersicht Kritische Infrastrukturen (KRITIS)

KRITIS = kritische Infrastruktur: Im Sinne der EU-Richtlinie sind Anlagen oder KRITIS-Systeme, die von wesentlicher Wichtigkeit für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen sind. Die Störung oder Zerstörung dieser Infrastrukturen hätte im Bereich der Gesundheit, der Security und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung und Daseinsvorsorge erhebliche negative Auswirkungen. Sektoren, Infra-Struktur und Bereiche der KRITIS nach BSI-KritisV und KRITIS-Strategie.

  • Kritische Infrastrukturen der Mindestversorgung, Energie und Forschung,
  • Energie: Elektrizität, Gas, Mineralöl Industrie,
  • Wasser: Wasserversorgung, Abwasserbeseitigung,
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel,
  • Informations- und Kommunikationsstechnik, Telekommunikation,
  • Medizinische Grundversorgung, Arzneimittel und Impfstoffe, Labore,
  • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister,
  • Transport und Verkehr: Luftverkehr, Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik,
  • Staat: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz,
  • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke.

Die Energieversorgung steht vor zunehmenden Herausforderungen, insbesondere durch Versorgungsengpässen und steigende Sicherheitsanforderungen. Netzbetreiber, Stadtwerke und Energieversorger müssen durch gezielte Integration erneuerbarer Energien sowie eine effiziente Nutzung von Wärme, Strom und Investitionen in Infrastruktur die Stabilität der Stromversorgung sicherstellen. Eine Unterbrechung kann gravierende Beeinträchtigungen haben, insbesondere für das Gesundheitswesen und andere systemrelevante Bereiche.

Daher sind für Infrastrukturen eine fundierte Risikoanalyse, ein effektives Risikomanagement und die Implementierung eines Basisschutzkonzepts essenziell, um den Schutzbedarf zu decken und auf eine akute Gefahrenlage angemessen zu reagieren. Zudem müssen organisatorische Mittel und eine zuverlässige Ersatzversorgung gewährleistet sein, um eine potenzielle Gefährdung zu minimieren.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weitere Links, Publikationen und Quellen zu Sicherheitsmaßnahmen für Struktur- und KRITIS-Anlagen:

Pflichten für KRITIS-Betreiber: Pflichten für KRITIS-Betreiber.

Rechtsgrundlagen für KRITS-Betreiber: Rechtsgrundlagen für KRITIS-Betreiber.

IT-Störungen melden: IT-Störungen melden.

IT-Sicherheit auf dem Stand der Technik umsetzen: "Stand der Technik" umsetzen.

KRITIS-Gefahren (BBK): KRITIS-Gefahren.

KRITIS-Betreiber (BSI): BSI für KRITIS-Betreiber.

Leitfaden Krisenmanagement (BMI): Leitfaden Krisenmanagement.

Krisenbewältigung, Baukasten KRITIS (BBK): Krisenbewältigung, Baukasten KRITIS.

Normen und Standards helfen beim Krisenmanagement: Normen und Standards helfen beim Krisenmanagement.

Bundesamt für Sicherheit in der Informationstechnik (BSI): Kritische Infrastrukturen

Partner bei Risikominimierung Kritischer Infrastrukturen, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Zahlen und Fakten: BMI Themen Bevölkerungsschutz

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BKK: BBK Bund

Cybersicherheit: Bundesministerium der Verteidigung: Cybersicherheit

Bevölkerungsschutz - Wikipedia: Bevölkerungsschutz und Zivilschutz

 

Schutzkonzepte: Zielsetzung zur Erhaltung kritischer Infrastrukturen (KRITIS)

Durch spezifische Maßnahmen, Grundlagen, Aufgaben und Empfehlungen für kritische Infrastrukturbereiche und Netzwerke werden als Basisschutzkonzept die Ziele Prävention, Reaktion und Nachhaltigkeit zur Vorsorge eines Unternehmens festgelegt.

  • Förderung der Robustheit von IKT-Komponenten und Infrastructure in Prozessen,
  • Austausch aktueller Vorkommnisse,
  • Sicherheitspolitik, Strategien der Bundesregierung und Mitglieder,
  • Gemeinsame Bewertung des Cybersicherheitsstatus,
  • Entwickeln gemeinsamer Dokumente und Positionen,
  • Aufbau und Erweiterung der Krisenmanagementstrukturen,
  • Koordinierte Krisenreaktion und -bewältigung,
  • Durchführung von Notfall- und Krisenübungen,
  • Gemeinsames Handeln gegenüber Dritte,
  • Zivilschutz, Terrorismus, Vorsorge,
  • Vermeidung von Störungen un deren Folgen,
  • Kritische Verkehrsinfrastrukturen, Bildung, Organisation, Information,
  • Krisenmanagement Bund und Länder, Bundesministerium,
  • Bevölkerungsschutz der Bevölkerung,
  • Infos und Publikationen der kritischen Infrastrukturen,
  • Kommunale, regionale und nationale Sektoren und Seiten der Basisversorgung in der Heimat,
  • Cybersicherheit im öffentlichen Bereich und zivile Projekte,
  • Unterstützung der Jugend und Sport,
  • Rechliche Rahmen, Termine und Schritte,
  • Einbindung Bundeskanzleramt und Kommission europäischer Veranstaltungen,
  • Resililienz der Ressourcen, Einsatz geeigneter Maßnahmen,
  • Masterplan, Barrierefreiheit, Services und Security,
  • Veröffentlichungen über zivile Themen,
  • Projekte der BBK zum Thema Cybersicherheit und Forschung in Europa,
  • Sozioökonomische Projekte, Prozesse, Strategie, Aspekte und Mobilität,
  • Ziel ist ein internationales Programm der öffentlichen Versorgung.
  • Resilienz zur Stärkung der Informationssysteme und Cloud.

 

Infrastruktur- und Cyber-Sicherheit

Cyber-Sicherheit für Infrastruktur ist eine nationale Aufgabe, die eine über politische Ressortgrenzen übergreifende Zusammenarbeit erfordert. Neben der territorialen Integrität und Souveränität Deutschlands hat die deutsche Sicherheits- und Verteidigungspolitik eine weitere Aufgabe, die gelöst werden muss: die Verteidigung der deutschen Network Security im Cyberspace. Bei der Bekämpfung von Anlage- und Cyberrisiken baut die Bundesregierung Kooperationen und Partnerschaften auf. In ihrer Cyber-Sicherheitsstrategie definiert sie Maßnahmen zum Basisschutzkonzept der Kommunikationstechnologie.

 

ISMS

Ein Informationssicherheits-Managementsystem (ISMS) präzisiert die Regeln und Methoden zur Gewährleistung der Datensicherheit. ISMS bestimmt technische Regeln, Verfahren, Maßnahmen und Werkzeuge, durch den der sichere IT Betrieb (Prozesse) für Hardware und Komponenten der Infrastruktur und Mobilität gesteuert, überwacht, gewährleistet und optimiert werden kann. IT-Risiken sollen identifizierbar und beherrschbar sein.

 

Schutzziele für Netzwerksicherheit und Datensicherheit

Informationen sind ein wertvolles Gut und müssen geschützt werden, um wirtschftliche Schäden und finanzielle Verluste zu vermeiden. Das Ziel der Infrastruktursicherheit besteht darin, das Risiko auf ein für die Organisation akzeptables Maß zu reduzieren. Network Security dient dem Schützen von Informationen aller Arten und Quellen. Dazu gehören Informationen, die sich in den Köpfen der Beteiligten befinden, sowie Daten auf Papier und elektronisch in Systemen und Netzwerken verarbeitet.

Die Informationssicherheit verfolgt einen breiteren Ansatz als die IT-Security, der hauptsächlich die elektronische Speicherung von Dateien und die Verarbeitung von IT-Systemen umfasst. Die drei wesentlichen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Die Definitionen der Begriffe werden vom BSI erläutert.

 

Betriebssicherheit kritischer Infrastruktur durch Sauberkeit im Serverraum

In Stäuben, Betriebsverunreinigungen und industriellen Verschmutzungen können häufig erhöhte Konzentrationen korrosiver und ätzender wasserlöslicher Verbindungen vorliegen. Insbesondere Baustaub enthält einen hohen Anteil an abrasiver Substanzen, die der Netzwerk-Infrastruktur schwer schaden und zu Störungen führen kann. Eine Kontamination mit Stäuben kann in Verbindung mit Luftfeuchtigkeit leitende Verbindungen, Kurzschlüsse und Hitzestau verursachen und den IT-Anlagen schwer schädigen.

IT-Sicherheitsmaßnahmen bedeuten im Umgang mit Sicherheitslücken deren schnellstmögliche Behebung. Je nach Art und Ausmaß der Verschmutzung oder des Schadens werden unterschiedliche Methoden angewendet. Wir sorgen mit Dienstleistungen nachhaltig für mehr Grundschutz der Infrastruktur in Serverräumen, Data Center und Rechenzentren (RZ) mit einer professionellen Rechenzentrum Reinigung für Geschäftskunden und vieles mehr. Sprechen Sie uns an.

Links

 

 

Details