Kritische Infrastrukturen: Welche Unternehmen die KRITIS-Verordnung betrifft

Auf Basis der KRITIS-Verordnung sollen Unternehmen prüfen, ob sie unter das IT-Sicherheitsgesetz fallen oder nicht. Diese Frage war lange offen, sodass der Entwurf der Verordnung überwiegend positiv kommentiert wird. Dabei vergessen viele, dass mehr Firmen betroffen sind, als die Verordnung vermuten lässt.

Nicht nur KRITIS sind sicherheitskritisch

Von Oliver Schonschek

Der kürzlich veröffentlichte Entwurf der KRITIS-Verordnung soll Betreiber kritischer Infrastrukturen in die Lage versetzen, anhand definierter Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Aus dem IT-Sicher­heits­gesetz selbst konnte dies bis auf einige Ausnahmen (wie Kernkraftwerke) nicht zweifelsfrei abgeleitet werden. Die KRITIS-Verordnung soll für die notwendige Klarheit sorgen.

Das IT-Sicherheitsgesetz soll klarer werden

Das Bundesinnenministerium hatte die Bundesländer, aber auch Verbände um eine Stellungnahme zum Entwurf gebeten. Gegenwärtig berichten die Medien nun, was verschiedene Verbände zum Entwurf der KRITIS-Verordnung gesagt haben. Dabei sind die Reaktionen überwiegend positiv. So schreibt zum Beispiel der DVGW (Deutscher Verein des Gas- und Wasserfaches e.V.), dass die „Vorschläge des Verordnungsgebers zur Ermittlung der kritischen Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz-BSIG) zu begrüßen sind“, und macht verschiedene Anmerkungen zur weiteren Konkretisierung. Auch die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) äußern grundsätzliche Zustimmung und sehen gewissen Nachbesserungsbedarf.

Anregungen sind gut und richtig. Aber aus den aktuellen Meldungen darf man keinesfalls schließen, dass die Fragen rund um das IT-Sicherheitsgesetz tatsächlich geklärt seien.

Was kritisch ist, bleibt eine kritische Frage

Nach der Veröffentlichung des IT-Sicherheitsgesetzes machten Fragen wie „Sind wir eine kritische Infrastruktur?“ die Runde. Laut einer PwC-Umfrage sind sich 18 % der Unternehmen unsicher, ob sie dem Gesetz unterliegen. Dieser Prozentsatz scheint aber die Untergrenze zu sein, wenn man an die zahlreichen Fragen der Unternehmen in den letzten Monaten denkt.

Das BSI selbst definiert kritische Infrastrukturen (KRITIS) als

„Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten.“

Das BSI hat zudem eine Tabelle zum IT-Sicherheitsgesetz veröffentlicht, in der Unternehmen nachsehen können, ob und wie sie von dem Gesetz betroffen sind. Abgesehen davon, dass die ebenfalls vom IT-Sicherheitsgesetz betroffenen Betreiber von Web-Angeboten, zum Beispiel Online-Shops, in der Tabelle nicht genannt werden, da sie nicht zu KRITIS gehören, darf eines nicht vergessen werden: Sicherheitskritisch sind nicht nur kritische Infrastrukturen.

Fazit: Sicher ist immer erst die ganze Kette

Für Online-Shops zum Beispiel gelten seit Inkrafttreten des IT-Sicherheitsgesetzes erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Die Betreiber solcher Web-Angebote brauchen nicht auf die finale KRITIS-Verordnung zu warten, sondern müssen bereits seit mehreren Monaten aktiv geworden sein. Zudem darf man nicht vergessen, was zum Beispiel der Bundesverband der Deutschen Industrie (BDI) bereits vor Längerem betont hat:

„Vermutlich werden die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben.“

Feststeht: IT-Sicherheit ist nur dann zu gewährleisten, wenn die Sicherheit aller IT-Systeme in einer Lieferkette oder in einem geschäftlichen Kunden-, Mitarbeiter- und Lieferantennetzwerk gewährleistet ist. Aus gutem Grund bezeichnet zum Beispiel die Studie „Threat Horizon 2016“ des Information Security Forums (ISF) die Sicherheitsmängel bei IT-Dienstleistern als bedeutendes IT-Sicherheitsrisiko. Die Erfahrung lehrt: Angreifer suchen sich das schwächste Glied in der Kette, das gilt auch und insbesondere für kritische Infrastrukturen. Aus diesem Grund muss jedes Unternehmen in der Lieferkette oder Servicekette einer kritischen Infrastruktur die IT-Sicherheit deutlich ernster nehmen – ob sie nun in der KRITIS-Verordnung genannt werden oder nicht.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links