Fällt der eigene Betrieb unter die diversen Vorgaben zu Kritischen Infrastrukturen (KRITIS)? Wer sich das als technischer Leiter fragt oder auch nur einen Zweifel hegt, hat scheinbar ein Informationsdefizit. Aber das lässt sich beheben: Dieser Beitrag klärt, was KRITIS ist, wer betroffen ist und wo man weitere Informationen und Hilfen erhalten kann.
Wir Menschen in der westlichen Zivilisation sind umgeben von vielen Infrastrukturen: Materiellen wie Straßen, Kanälen und Datenleitungen und immateriellen wie Bildungsangeboten und staatliche Strukturen. Fallen sie aus, wirkt sich das unmittelbar auf unser Leben aus – gerade erleben wir dies mit der Pandemie des Corona-Virus.
Besonders wichtig sind sogenannte Kritische Infrastrukturen (KRITIS), die die EU-Richtlinie 2008/114/EG im Jahr 2008 so definiert hat: Eine KRITIS ist eine „(...) Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung (...)“ ist. Gefährlich werden KRITIS kriegerische Handlungen, Terrorismus, natürliche Katastrophen, aber auch menschliches und technisches Versagen. Der Ausfall oder Beeinträchtigung von KRITIS hätte nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge.
Die Kritischen Infrastrukturen teilen sich in 9 Sektoren auf
In Deutschland hat das Bundesministerium des Inneren (BMI) 2009 definiert, in welche Sektoren sich Kritische Infrastrukturen einteilen lassen: Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Wasser. Die Sektoren werden nochmals in 29 Branchen unterteilt.
Aber nicht alle Anlagen, die zu den genannten Sektoren gehören, fallen unter die Kritischen Infrastrukturen. Die genannte EU-Richtlinie hat Kriterien für die Bereiche Transport und Energie festgelegt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in ihrer BSI-KRITIS-Verordnung Auswahlkriterien für Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr präzisiert und Schwellwerte sowie Berechnungsformeln vorgestellt. Ein Beispiel: Betrifft eine Betriebsstörung mehr als 500.000 Menschen, ist das Unternehmen als kritische Infrastruktur einzustufen.
Für KRITIS-Unternehmen besteht eine Schutzpflicht
Der Bundesregierung ist ein hoher Schutzlevel von KRITIS wichtig. Daher verpflichtet das IT-Sicherheitsgesetz alle Betreiber seit 2015 dazu, ihre EDV-Systeme auf dem aktuellen Stand der Technik zu halten. Alle zwei Jahre müssen dafür Nachweise in Form von durchgeführten Sicherheitsaudits, Prüfungen und Zertifizierungen erbracht werden. Hierzu galten in der Vergangenheit lange Übergangsfristen, die aber mittlerweile alle abgelaufen sind. Das heißt, diese Verpflichtungen sind aktuell gültig und einzuhalten.
Für die physische Sicherheit gibt es keine Verpflichtungen, sondern nur einen Leitfaden als Basisschutzkonzept (PDF, 56 Seiten). Neben Erläuterungen zu Gefährdungsarten und Empfehlungen für bauliche, organisatorische, personenbezogene und technische Schutzmaßnahmen beinhaltet es einen Fragenkatalog und ein Muster für eine Checkliste, mithilfe derer man alle wichtigen Bereiche wie Objektschutz, Personal, Organisation, Risikobewertungen und Notfallpläne überprüfen kann.
Unterstützung durch Experten der Sicherheitstechnik
Für die Umsetzung von baulichen Schutzmaßnahmen (wie etwa Rettungswege, Zutrittskontrolle, Schlüsselmanagement) ist es sinnvoll, sich an Sicherheitstechnik-Anbieter zu wenden, die über viel Erfahrung in dem Bereich verfügen und häufig schon bei der Planung von Neubauten Architekten und Planer unterstützen können. Sie kennen sowohl die KRITIS-Anforderungen als auch den aktuellen Stand der Sicherheitstechnik, können passgenaue Lösungen erarbeiten und bei Problemen durch ein dichtes Partnernetz schnell zur Stelle sein.
Ein Beispiel, wie Anbieter Sie bei der Konzeption und Aufrüstung von KRITIS-Anlagen unterstützen können, ist der aktuelle Ratgeber zum Thema „Fluchttürverschlüsse“ (PDF, 56 Seiten) von ASSA ABLOY.
Weitere Hilfen und Leitfäden
Neben den bereits genannten Hilfen bieten die beiden zuständigen Bundesbehörden, das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK, noch weitere Leitfäden zur Verfügung. Dies sind (direkte Links zum PDF):
- Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement
- Notstromversorgung in Unternehmen und Behörden
- Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz
- Covid-19: Handlungsempfehlungen für Unternehmen und Betreiber von KRITIS
- 10 Jahre „KRITIS-Strategie“ – Einblicke in die Umsetzung
Die Homepages der entsprechenden Behörden finden sich unter:
- Bundesamt für Sicherheit in der Informationsverarbeitung BSI
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK
- Bundesministerium des Inneren
- KRITIS-Webseite des Bundes
