Kritische Infrastrukturen

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von KRITIS)
Anzeige
Wechseln zu: Navigation, Suche

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

In Deutschland werden folgende Sektoren den Kritischen Infrastrukturen zugeordnet:

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Bahn, Nahverkehr, Binnenschifffahrt, Straße, Postwesen)
  • Energie (Elektrizität, Kernkraftwerke, Mineralöl, Gas)
  • Gefahrstoffe (Chemie- und Biostoffe, Gefahrguttransporte, Rüstungsindustrie)
  • Informationstechnik und Telekommunikation (Telekommunikation, Informationstechnologie)
  • Finanz-, Geld- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen)
  • Versorgung (Gesundheits-, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittel- und Wasserversorgung, Entsorgung)
  • Behörden, Verwaltung und Justiz (staatliche Einrichtungen)
  • Sonstiges (Medien, Großforschungseinrichtungen sowie herausragende oder symbolträchtige Bauwerke, Kulturgut)[1]

Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI)

Spätestens ab 2003 wurde sich mit dem Thema Kritische Infrastrukturen zunächst bezüglich der Informationstechnik auf Bundesebene beschäftigt. Dabei wurde erst einmal versucht, Prozesse mit hoher IT-Abhängigkeit zu identifizieren. Im Ergebnis erfolgte dann im Sommer 2005 die Verabschiedung des Nationalen Plans zum Schutz der Informationsinfrastrukturen (NPSI), der im wesentlichen 3 Punkte beinhaltete:

  • Prävention und Reaktion: Informationsinfrastrukturen in Deutschland angemessen schützen und wirkungsvoll bei IT-Sicherheitsvorfällen handeln (CERTs)
  • Nachhaltigkeit: Setzen internationaler Standards (Common Criteria / ISO15408)


UP KRITIS und UP Bund

Der Umsetzungsplan KRITIS (UP KRITIS) und der Umsetzungsplan Bund (UP Bund) sind aus dem NPSI abgeleitete Arbeitsprogramme und wurden im Jahr 2005 beschlossen.

UP KRITIS

Da inzwischen alle Bereiche der Kritischen Infrastrukturen wie z.B. Telekommunikation, Energie, Verkehr oder Finanzwesen von dem Funktionieren der Informationstechnik abhängig sind, wurden die entsprechende Punkte in den UP KRITIS aufgenommen:

  1. Notfall- und Krisenübungen
  2. Krisenreaktion und -bewältigung
  3. Aufrechterhaltung kritischer Infrastrukturdienstleistungen
  4. Nationale und internationale Zusammenarbeit

Zur Ausgestaltung wurden Arbeitsgruppen aus Verwaltung und Wirtschaft gegründet.

Mitte 2014 wurde diese Kooperation der Bundesregierung mit den Betreiber Kritischer Infrastrukturen erneuert und in einem Dokument die Handlungsschwerpunkte für die nächsten Jahre festgelegt UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen". Mit dieser Fortschreibung wurden auch die Strukturen im UP KRITIS angepasst:

  • Der branchenübergreifenden Zusammenarbeit im Plenum wurden branchenspezifsche Arbeitskreise (sogenannte BAKs) hinzugefügt, um eine wesentliche breitere Durchdringung in die KRITIS-Sektoren zu ermöglichen.
  • Auch wurde ein Rat des UP KRITIS installiert, welcher eine politisch-stragetische Verzahnung ermöglicht und inhaltliche Impulse gibt.
  • Über die aktive Teilnahme an Arbeitskreisen hinaus besteht für KRITIS-Unternehmen nun auch die Möglichkeit einer loseren Anbindung, um auf das Informationsangebot (wie insb. Lageinformationen) zugreifen zu können.

UP BUND

Der UP Bund aus dem Jahr 2007 ist dagegen die verbindliche interne Sicherheitsleitlinie für den Schutz der Informationsinfrastrukturen in allen Behörden des Bundes. Für die Umsetzung ist jedoch jedes Ressort selbst verantwortlich. Im Jahr 2009 wurde zudem dem BSI per Gesetz neue Kompetenzen übertragen (zentrale Meldestelle für IT-Sicherheitsvorfälle, Auswertung von Protokolldaten an den Schnittstellen der Kommunikationstechnik des Bundes, Definition einheitlicher Sicherheitsstandards für die Bundesverwaltung). Im Jahr 2017 wurde UP Bund an die Entwicklungen der vergangenen Jahre insbesondere auf dem Gebiet der IT- und Cybersicherheit angepasst (UP Bund 2017)[2].


IT-Sicherheitsgesetz und Verordnungen

Die Bundesregierung hat am 17. Dez. 2014 das IT-Sicherheitsgesetz beschlossen. Es ist am 25. Juli 2015 in Kraft getreten. Das Gesetz verpflichtet unter anderem Betreiber Kritischer Infrastrukturen zur Umsetzung von Mindest-Sicherheitsstandards. Zudem sollen die Unternehmen IT-Sicherheitsvorfälle (mit (potenziellen) Auswirkungen auf die Versorgung) an das BSI melden. Mit der ersten der zur Präzisierung des Gesetzes erlassenen Verordnungen (Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)) können Betreiber Kritischer Infrastrukturen zunächst aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung anhand messbarer und nachvollziehbarer Kriterien prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen[3][4]. Für die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen ergab sich dies bereits direkt aus den entsprechenden Gesetzlichkeiten. Ende Mai 2017 hat die Bundesregierung der Änderungsverordnung für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen zugestimmt, die noch im Juni 2017 in Kraft treten soll[5].


Nationale Strategie zum Schutz Kritischer Infrastrukturen

Insgesamt wurde aber schnell deutlich, dass die Informationstechnik nur ein Bestandteil der Gesamtheit der Kritischen Infrastrukturen, neben den anfangs bereits erwähnten Bereichen, darstellt. In der Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) aus dem Jahr 2009 wurden die bekannten Vorstellungen aus dem IT-Bereich für den gesamten Bereich Kritischer Infrastrukturen weiterentwickelt. Das Krisenmanagement für die Kritischen Infrastrukturen wurde dabei im BBK angesiedelt (die KRITIS-Organisation bzw. Organisation der Gefahrenabwehr in Deutschland von öffentlicher Seite insgesamt ist im Beitrag KRITIS-Sicherheitsorganisation in Deutschland beschrieben).

Der Teil Schutz der Informationstechnik wurde zwischenzeitlich zur Cyber-Sicherheitsstrategie weiterentwickelt.


Veranstaltungen

Nach der Verabschiedung des IT-Sicherheitsgesetzes und den nachfolgenden Präzisierungen haben sich zahlreiche Informationsveranstaltungen etabliert. Darunter auch auf Dauer angelegte, regelmäßig wiederkehrende Kongresse.

Beispiele:


Europa

Die europäische Agentur für Netz- und Informationssicherheit ENISA hat Methoden für die Identifizierung von kritischen Informationsinfrastrukturdienstleistungen (CII ) und Vermögenswerten veröffentlicht, die in englischer Sprache verfügbar sind. (Methodologies for the identification of Critical Information Infrastructure assets and services). 2015 will ENISA auch weiterhin die Sicherheit und Stabilität der europäischen Netzwerke fördern. In diesem Jahr liegt der Fokus darauf, kritische Kommunikationsnetze, Verbindungen und Komponenten zu bewerten.[6]


Einzelnachweis

  1. Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen
  2. SecuPedia Aktuell: Neue Leit­li­nie für In­for­ma­ti­ons­si­cher­heit in der Bun­des­ver­wal­tung
  3. SecuPedia Aktuell: Be­stim­mung Kri­ti­scher Infrastrukturen
  4. SecuPedia Aktuell: Ers­te Ver­ord­nung zur Um­set­zung des IT-Si­cher­heits­ge­set­zes in Kraft ge­tre­ten
  5. SecuPedia Aktuell: Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen
  6. SecuPedia Aktuell: Wie kritisch ist eine kritische Informationsinfrastruktur?


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 4. September 2017 um 15:53 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Michael Pilgermann, Admin, Marit Blattner und Joachim Weber.

Anzeigen