Systeme und Einrichtungen, die lebenswichtige Dienste wie Energieversorgung und Kommunikation bereitstellen, bilden das Rückgrat unserer Gesellschaft. In Zeiten der zunehmenden Digitalisierung und Vernetzung ist die Sicherung und Stärkung der Resilienz dieser sogenannten Kritischen Infrastrukturen von zunehmender Bedeutung, um die Daseinsversorgung sicherzustellen. Doch die Zahl der Cyberattacken in solchen Einrichtungen ist so hoch wie nie zuvor. Bestätigt wird diese Tendenz vom Bundesamt der Sicherheit in der Informationstechnik (BSI): Laut einem Bericht über die aktuelle IT-Sicherheit in Deutschland 2023 betreffen die meisten gemeldeten IT-Störungen im Gesundheitswesen den Bereich der technischen Informationssicherheit.
Für die Aufrechterhaltung der öffentlichen Sicherheit und Stabilität ist es wichtiger denn je, sowohl die digitale als auch die physische Sicherheit dieser Einrichtungen zu gewährleisten. In diesem Beitrag beleuchten wir, wie sich die Sicherheit und Resilienz Kritischer Infrastrukturen durch gezielte Maßnahmen erhöhen lässt, um diese vor Störungen und Angriffen zu schützen.
Zu Kritischen Infrastrukturen zählen vorwiegend Bereiche, die zur Aufrechterhaltung der Sicherheit, der Gesundheit oder wichtiger gesellschaftlicher Funktionen dienen. Diese Kritischen Infrastrukturen, kurz KRITIS, werden in festgelegte Sektoren unterteilt.
In Deutschland teilen Bund und Länder die Kritischen Infrastrukturen KRITIS in
10 Sektoren ein:
Privatwirtschaftliche Betriebe wie auch staatliche Einrichtungen fallen unter Kritische Infrastrukturen. Sie eint, dass sie von erheblicher Bedeutung für das Gemeinwesen sind. Bei einem Ausfall oder einer Störung drohen nachhaltig wirkende Engpässe bei der Versorgung der Bevölkerung. Den Themen Resilienz und Kritische Infrastruktur kommt daher große Bedeutung zu.
Kaum ein Bereich kommt heute ohne weitreichende IT-Unterstützung aus. Dies betrifft die Verwaltung von Prozessen und Abläufen, aber auch die Produktion oder die Steuerung von Anlagen. Störungen in der Informationstechnik können schnell zum Ausfall wichtiger Infrastrukturen führen. In KRITIS-Gebäuden muss die IT folglich einem besonderen Schutz unterliegen.
Der IT-Sicherheit kommt in Kritischen Infrastrukturen eine besondere Bedeutung zu. Hierzu zählt vor allem der Schutz vor Cyberangriffen, die heutzutage so häufig wie nie zuvor auftreten und auch KRITIS-Bereiche betreffen.
Die Gewährleistung der Sicherheit in Kritischen Infrastrukturen stellt die Informationstechnik in KRITIS-Betrieben vor spezifische Herausforderungen. Zu den vorrangigen Zielen gehört der Schutz sensibler Daten vor Cyberangriffen, die sowohl Manipulation als auch unautorisierten Zugriff umfassen können. Das erfordert ein mehrschichtiges Sicherheitskonzept, das Datensicherheit und Datenschutz in den Vordergrund stellt.
Eine zentrale Rolle spielt dabei die Ausfallsicherheit, die durch technische Redundanzen und Notfallpläne zu gewährleisten ist. So gewährleisten KRITIS-Betreiber die Kontinuität Kritischer Dienste auch bei technischen Störungen oder Angriffen. Die Einhaltung gesetzlicher Vorgaben, wie sie etwa durch das IT-Sicherheitsgesetz und dessen Aktualisierung im Jahr 2021 mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vorgeschrieben werden, setzt nicht nur die Implementierung von Maßnahmen zur Angriffserkennung voraus. Sie erfordert von Betreibern Kritischer Infrastrukturen auch eine proaktive und systematische Herangehensweise an die IT-Sicherheit.
Die gesetzlichen Regelungen betonen die Notwendigkeit einer umfassenden Sicherheitsstrategie, die sowohl präventive als auch reaktive Maßnahmen einschließt. Auf diesem Weg können KRITIS-Betreiber den vielschichtigen Bedrohungen der modernen Cyberlandschaft wirkungsvoll begegnen.
Betreiber haben die Möglichkeit, den Schutz Kritischer Bereiche durch eine Vielzahl an Maßnahmen zu gewährleisten, deren effektive Kombination eine umfassende Sicherheitsarchitektur schafft. Der physische Schutz von Anlagen stellt hierbei einen zentralen Aspekt dar. Zugleich gewinnen IT-basierte Sicherheitslösungen angesichts der digitalen Transformation zunehmend an Bedeutung. Diese integrierten Sicherheitskonzepte ermöglichen es, die Resilienz Kritischer Infrastrukturen gegenüber physischen Bedrohungen und Cyberbedrohungen signifikant zu verstärken.
Physische Sicherheitsmaßnahmen verhindern einen unerlaubten Zugang zu Kritischen Bereichen und den damit verbundenen Zugriff auf Infrastrukturen und Anlagen. Wirksame Zugangskontrollen bilden hierbei einen Schlüsselfaktor zum Schutz besonders zu sichernder Bereiche. Eine lückenlose Überwachung durch Kameras, Sicherheitssysteme und Wachpersonal gewährleistet Sicherheit.
Zugänge wie Türen und die damit verbundenen Zugangssysteme spielen eine besondere Rolle bei der physischen Sicherheit in KRITIS-Betrieben. In der Vergangenheit vernachlässigt wurden dabei Fluchttüren, die sich nur schwer elektronisch sichern ließen. Mit der Regelung DIN EN 13637 ergeben sich neue Möglichkeiten, wie die Sperrung oder zeitverzögerte Freigabe einer Fluchttür.
Die physischen Schutzmaßnahmen in Unternehmen mit KRITIS-Anlagen lassen sich durch IT-basierte Sicherheitslösungen ergänzen. Solche Systeme gewährleisten zum Beispiel, dass bestimmte Daten nur durch Zugriffsberechtigte eingesehen und verwendet werden können. Ein Informationssicherheits-Managementsystem, kurz ISMS, garantiert die Einhaltung der Vorgaben.
Betreiber Kritischer Infrastrukturen in Deutschland sind gesetzlich zum Betreiben eines ISMS verpflichtet. Ein Informationssicherheits-Managementsystem in Form des KRITIS ISMS dient unter anderem dem Risikomanagement in der IT-Sicherheit. Dazu regelt es die Überwachung und Umsetzung von Systemabläufen, Benutzerberechtigungen und vorgegebenen Richtlinien.
Die Sicherheitsstrategie bei der Umsetzung eines KRITIS ISMS orientiert sich in der Regel an bestimmten Standards und Richtlinien. Hierzu gehört die internationale Norm ISO 27001, die heute führend im Bereich ISMS ist. Das Regelwerk bildet einen Rahmen für das Management der IT-Sicherheit in KRITIS-Anlagen und die Kontrolle der festgelegten Anforderungen.
Bei der Betrachtung der Informationssicherheit in Kritischen Infrastrukturen müssen auch Cloud-Lösungen einbezogen werden. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, den Kriterienkatalog C5 geschaffen. Ebenfalls vom BSI entwickelt wurde der IT-Grundschutz, der Betreiber bei der Umsetzung des ISMS anhand von BSI-Standards unterstützt.
Es gibt vielfältige Leitlinien, Vorschriften und Normen, welche für KRITIS-Betriebe eine wichtige Rolle spielen. Diese sorgen dafür, die Sicherheit der Kritischen Infrastrukturen zu gewährleisten, wodurch sie einen Beitrag zur öffentlichen Grund- und Daseinsversorgung leisten.
Im Bereich Kritischer Infrastrukturen haben sich neben anderen Normen bereits seit Jahrzehnten interne Leitlinien zur Sicherheit etabliert. Diese Sicherheitsleitlinien geben in der Regel innerhalb des KRITIS-Betriebes spezifische Grundsätze, Verhaltensregeln und Anforderungen vor.
Die DIN EN 13637 bezieht sich auf elektronische Schließsysteme für Türen in Flucht- und Rettungswegen und legt spezifische Anforderungen für deren Betrieb und Zuverlässigkeit fest. Sie spielt eine wichtige Rolle bei der Sicherheit Kritischer Infrastrukturen, indem sie sicherstellt, dass im Notfall ein sicherer und schneller Zugang bzw. eine Evakuierung möglich ist, ohne die allgemeine Sicherheit der Einrichtung zu gefährden. Diese Norm trägt dazu bei, dass Schließsysteme sowohl im Alltagsbetrieb als auch in Krisensituationen eine Balance zwischen Sicherheit und Notfallzugänglichkeit gewährleisten.
In einem Interview mit Ulrich Rotenhagen, einem Experten für Rettungswegtechnik bei der ASSA ABLOY Sicherheitstechnik GmbH, erfahren Sie mehr über die Einführung der DIN EN 13637 Norm. Rotenhagen, der seit 2009 an der Entwicklung der Norm mitwirkte, erläutert, wie diese neue Regelung innovative Schutzmechanismen für Fluchttüren bietet, um den Zutritt von Unbefugten zu verhindern und gleichzeitig die Sicherheit zu erhöhen. Erfahren Sie mehr über die Notwendigkeit der Norm aufgrund technologischer und anforderungsspezifischer Entwicklungen seit der alten EltVTR-Richtlinie. Außerdem stellt Rothenhagen neue Funktionen vor, die Unternehmen effektiv vor dem Missbrauch von Rettungswegen schützen. |
Seit dem Jahr 2016 existieren darüber hinaus erstmals Cybersicherheitsvorschriften für die EU. Diese Sicherheitsrichtlinie der Europäischen Union ist heute als NIS1 oder auch NIS-Richtlinie bekannt. In puncto Resilienz und Kritische Infrastruktur enthält die Richtlinie verbindliche Vorgaben zum Schutz von IT-Systemen kritischer Anlagen. Ab Oktober 2024 tritt die NIS2-Richtlinie in Kraft – eine überarbeitete Version der ursprünglichen NIS-Richtlinie.
Die NIS2-Richtlinie löst die bisherige NIS-Richtlinie ab und liegt in der finalen Fassung voraussichtlich im Oktober 2024 vor. Bis dahin müssen die Mitgliedsstaaten der EU die Richtlinie in nationales Recht übertragen. Mit der neuen NIS2-Richtlinie strebt die Europäische Union ein verbessertes Niveau bei der Cybersicherheit an. Neben den ursprünglich betroffenen Sektoren müssen deutlich mehr Kritische Infrastrukturen künftig sicherheitsrelevante Maßnahmen umsetzen.
Die Bundesregierung plant, mit dem KRITIS-Dachgesetz ab 2024 die europäische Richtlinie zur Erhöhung der Resilienz Kritischer Entitäten (CER-Richtlinie) national umzusetzen. Diese entscheidende Richtlinie zielt darauf ab, einheitliche Standards für die Cybersicherheit sowie den physischen Schutz Kritischer Infrastrukturen innerhalb der EU-Mitgliedstaaten zu etablieren.
Das KRITIS-Dachgesetz wird somit weitreichende Vorgaben machen, die nicht nur die digitale Sicherheit, sondern auch den physischen Schutz von Anlagen und Systemen, die für die öffentliche Versorgung und Sicherheit essentiell sind, umfassen. Diese neuen Regelungen gelten für alle Betreiber Kritischer Infrastrukturen und sollen deren Resilienz gegenüber einer Vielzahl von cyberphysischen Bedrohungen stärken.
Bei cyberphysischen Attacken verschaffen sich Angreifer physisch Zugang zu gesicherten Bereichen, indem sie Schwachstellen in der IT-Sicherheit nutzen. ASSA ABLOY unterstützt Betreiber Kritischer Infrastrukturen bei der Umsetzung eines ganzheitlichen Sicherheitsansatzes im Rahmen der NIS2-Richtlinie mithilfe von digitalen Zutrittskontrollen und elektronischen Schließsystemen.
Sie wollen mehr über die wirksame Synergie von digitalen Zutrittskontrollen und elektronischen Schließsystemen erfahren oder sich über mögliche Schwachstellen in Ihrer Schließtechnik informieren? Downloaden Sie unser |
Die Zunahme von Cyberbedrohungen und die neuen Anforderungen im Rahmen der NIS2-Richtlinie machen deutlich, wie wichtig die Stärkung der Resilienz von KRITIS ist. ASSA ABLOY unterstützt Betreiber kritischer Infrastrukturen dabei, IT-Sicherheitslösungen mit physischen Sicherheitskonzepten zu etablieren – und so die komplexen Herausforderungen der heutigen Bedrohungslandschaft effektiv zu meistern.