Kritische Infrastrukturen (KRITIS) sichern das Funktionieren moderner Staaten, deshalb müssen sie regelmäßig überprüft werden. Die NCP engineering GmbH erklärt in einem Blog-Beitrag, worauf es bei den Prüfungen dieser lebensnotwendigen Systeme ankommt.
„KRITIS-Betreiber müssen viele Anforderungen erfüllen, um die Sicherheit ihrer Anlagen dauerhaft zu gewährleisten“, beginnt die NCP engineering GmbH den Blog-Beitrag. „Spätestens alle zwei Jahre ist zudem ein Nachweis in Form einer Prüfung zu erbringen, für die genaue Regelungen gelten.“ Zu den KRITIS zählen beispielsweise der Energiesektor, Finanzdienstleistungen, das Gesundheitswesen oder die Wasserversorgung. „Anlagen dieser Bereiche, die mehr als 500.000 Menschen versorgen, gelten für die Bundesrepublik Deutschland als kritisch“, so NCP. „Die Betreiber müssen solche Anlagen selbst identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Anschließend müssen sie nachweisen, dass sie dauerhaft für deren Sicherheit sorgen.
Das BSI-Gesetz
Im nächsten Abschnitt beleuchten die Blog-Autoren die Vorgaben, die das BSI den KRITIS-Betreibern macht. Paragraph 8a des BSI-Gesetzes verpflichtet sie zum Beispiel dazu, technische und organisatorische Maßnahmen zu ergreifen, die die „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ verhindern. „Dazu gehört seit dem 1. Mai 2023 auch der verpflichtende Einsatz von Systemen zur Angriffserkennung“, so NCP. Paragraph 8a besagt: „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Durchführung von Prüfungen
NCP ergänzt: „Betreiber Kritischer Infrastrukturen müssen durch regelmäßige KRITIS-Prüfungen (Audits) nachweisen, dass sie den ,Stand der Technik‘ einhalten.“ Für die spätestens alle zwei Jahre erforderlichen Prüfungen können die Betreiber externe Unternehmen (etwa TÜVIT) beauftragen, sie aber auch selbst durchführen. „Dabei müssen die festgestellten Sicherheitsmängel auch dem BSI gemeldet werden“, schreibt NCP. „Dies bedeutet in der Regel, dass das Bundesamt dann auch die Beseitigung der aufgeführten Mängel verlangt.“ Im weiteren Verlauf des Blogs informiert das Nürnberger Unternehmen beispielsweise darüber, wer KRITIS prüfen darf und welche Dokumentationsvorgaben existieren.