Libelle IT-Glossar Teil 11: KRITIS - Was gilt als kritische Infrastruktur?

Seit Mai 2021 ist KRITIS und das damit verbundene IT-Sicherheitsgesetz 2.0 (IT-SiG) wieder in aller Munde. Das IT-SiG 2.0 erweitert das Gesetz um einen wichtigen Teil des Wirtschaftssektors Abfall und Entsorgung. Die KRITIS Verordnung bring für die betroffenen Unternehmen einige gesetzliche Pflichten mit sich.

Doch was genau bedeutet KRITIS überhaupt und welche Unternehmen betrifft das genau? Im folgenden Blogbeitrag klären wir diese Fragen und geben ein Einblick wie Software-Lösungen, wie zum Beispiel Libelle BusinessShadow® betroffende Unternehmen bei der Herausforderung KRITIS unterschützen können. 

Was bedeutet KRITIS?

KRITIS ist die Abkürzung für „Kritische Infrastrukturen“. Hierbei liegt der Fokus auf Einrichtungen und Organisationen bei deren ein Ausfall nachhaltige Auswirkungen für das staatliche Gemeinwesen hat. Solche Auswirkungen können Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere erhebliche Störungen sein. (Quelle)

Im BSI-Gesetz findet sich folgende Definition:

„Organisationen sind Betreiber Kritischer Infrastruktur gemäß § 10 Absatz 1 BSIG, wenn sie einem der sieben Sektoren aus den §§ 2 bis 8 der BSI-Kritisverordnung angehören (alle obigen außer Medien und Kultur sowie Staat und Verwaltung), kritische Dienstleistungen gem. § 1 Absatz 3 BSI-Kritisverordnung erbringen und dabei die in der BSI-Kritisverordnung definierten Schwellenwerte überschreiten.“(Quelle)

Wer fällt unter KRITIS?

Im Jahr 2009 wurden in der „Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)“ Sektoren bestimmt, bei welchen laut des Gesetzes solche kritischen Infrastrukturen vorliegen. In Deutschland fallen aktuell ca. 1.700 Unternehmen unter die KRITIS Verordnung. Diese sind alle innerhalb der im Schaubild gezeigten Wirtschaftssektoren zu finden. (Quelle)

Welche Pflichten haben KRITIS-Betriebe?

Mit Blick auf das BSI-Gesetz (BSIG) sind die betroffenen Unternehmen gemäß des IT-Sicherheitsgesetzes zur Einhaltung folgender Punkte verpflichtet:

• Benennung einer offizielle Kontaktstelle für die betriebene kritische Infrastruktur
• Meldung von IT-Störungen oder anderen erheblichen Beeinträchtigungen
• Umsetzung von IT-Sicherheit auf dem „Stand der Technik"
• Nachweis alle zwei Jahre gegenüber dem BSI, dass die oben genannten Maßnahmen eingehalten werden (Quelle)

Ernstfall Cyber-Kriminalität

Gerade Unternehmen, welche in den entsprechenden Sektoren tätig sind, scheinen ein lukratives Ziel für Cyber-Attacken zu sein, da sie ein hohes Schadenpotenzial in Bezug auf die Gesellschaft haben.

Ein Beispiel hierfür wäre der Hackerangriff 2020 auf einem deutschen Klinikum. Gerade im medizinischen Sektor kann eine derartige, kriminelle Handlung lebensgefährlich sein. Die für die Notfallversorgung wichtige Klinikum fiel dafür 13 Tage aus. Das medizinische Personal konnte nicht richtig auf Röntgenbilder und Computertomogramme zugreifen. Daten mussten sogar per Stift und Papier und per USB-Stick übertragen werden. Erst einen Monat nach dem Angriff konnte die Uniklinik wieder so viele Patienten versorgen wie zuvor.

Umso wichtiger ist deshalb eine Absicherung der IT. Dabei liegt die Herausforderung in der hohen Komplexität der IT-Systeme und dem möglichst langen Lebenszyklus der Informationsinfastrukuturen der Betriebe. Die BSI-Kritisverordnung und die damit verbunden Pflichten sollen dabei helfen, Unternehmen auf den Ernstfall vorzubereiten.

Mit unserer Lösung Libelle BusinessShadow® sorgen Sie für automatisiertes Disaster Recovery und bestmögliche Hochverfügbarkeit. Spiegeln Sie Datenbanken, SAP®-Landschaften und andere Applikationssysteme zeitversetzt und schützen Sie Ihr Unternehmen so vor den Folgen von Hardware- und Anwendungsfehlern, Sabotage oder anderen Fehlern.

Sie möchten noch mehr zu Begriffen aus der IT lernen? Im Zusammenhang mit dem Begriff KRITIS spielt die Hochverfügbarkeit und Business Continuity eine wichtige Rolle. Doch was genau bedeuten diese Begriffe? Erfahren Sie dazu mehr auf unserem Libelle IT Blog und folgen Sie uns auf LinkedIn und Facebook für regelmäßige Updates.