Inhaltsverzeichnis
Wer ist KRITIS?
KRITIS steht für Kritische Infrastrukturen — Anlagen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit verursachen würde. In Deutschland definiert das BSI die KRITIS-Sektoren und die konkreten Schwellenwerte.
Die betroffenen Sektoren umfassen: Energie (Strom, Gas, Fernwärme, Mineralöl), Wasser (Trinkwasser, Abwasser), Transport und Verkehr (Straße, Schiene, Luftfahrt, Schifffahrt), Gesundheit (Krankenhäuser, Labore, Pharma), Digitale Infrastruktur (Rechenzentren, DNS, Internetknoten, TK-Netze), Ernährung (Lebensmittelproduktion und -verteilung) sowie Finanz- und Versicherungswesen.
Die Schwellenwerte sind sektorbezogen — als grobe Orientierung gilt häufig die Versorgung von mindestens 500.000 Menschen als Richtwert. Mit NIS2 wurden die Kategorien erweitert: Neben den klassischen KRITIS-Betreibern (jetzt "wesentliche Einrichtungen") gibt es nun auch "wichtige Einrichtungen" mit ähnlichen, aber leicht abgestuften Pflichten.
Wichtig für die Lieferkette: Auch kleinere Unternehmen, die als Zulieferer oder Dienstleister für KRITIS-Betreiber tätig sind, geraten durch die Lieferkettenpflichten von NIS2 in den Fokus. Ein IT-Dienstleister, der die Netzwerkinfrastruktur eines Krankenhauses betreut, trägt Mitverantwortung für dessen Sicherheitsniveau.
Was IT-Sicherheitsgesetz 2.0 und NIS2 fordern
Das IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) und die europäische NIS2-Richtlinie, die in Deutschland mit dem NIS2UmsuCG umgesetzt wird, definieren einen verbindlichen Pflichtenkatalog für KRITIS-Betreiber:
Meldepflichten
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Bekanntwerden beim BSI gemeldet werden — eine Frühwarnung, die auch bei noch unklarer Lage erfolgen soll. Innerhalb von 72 Stunden ist ein detaillierter Bericht fällig. Diese Fristen sind kurz und erfordern vorbereitete Meldeprozesse. Wer keine etablierten Abläufe hat, wird diese Fristen unter Stress nicht einhalten können.
Risikomanagementsysteme
KRITIS-Betreiber müssen ein dokumentiertes Risikomanagementsystem vorhalten, das die IT-Sicherheitsrisiken für ihre kritischen Dienste systematisch erfasst, bewertet und behandelt. Das ist keine einmalige Aufgabe — Risikoanalysen müssen regelmäßig aktualisiert werden, insbesondere nach signifikanten Änderungen der Infrastruktur oder der Bedrohungslage.
Sicherheitsaudits und Nachweispflicht
Alle zwei Jahre müssen KRITIS-Betreiber Sicherheitsaudits, Penetrationstests oder Zertifizierungen durchführen und dem BSI nachweisen. Das BSI kann diese Nachweise einfordern und bei Mängeln Maßnahmen anordnen. Die Audits müssen durch qualifizierte und anerkannte Stellen durchgeführt werden.
Geschäftsführerhaftung
NIS2 führt eine persönliche Haftung von Geschäftsführern und Vorständen ein. Bei grob fahrlässiger Verletzung der Sicherheitspflichten können Bußgelder und Haftungsansprüche auch gegen natürliche Personen geltend gemacht werden. Das ist ein fundamentaler Wandel gegenüber der bisherigen Rechtslage, bei der Haftung primär die juristische Person traf.
BSI-Grundschutz vs. ISO 27001
KRITIS-Betreiber stehen vor der Frage, welchen Rahmen sie für ihr Informationssicherheits-Managementsystem (ISMS) nutzen sollen. Die zwei dominierenden Optionen sind BSI-Grundschutz und ISO 27001.
BSI-Grundschutz
Der BSI-Grundschutz ist ein deutsches Framework, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und gepflegt wird. Das BSI-Grundschutz-Kompendium bietet detaillierte Bausteine für nahezu alle relevanten IT-Systeme und Prozesse. Vorteil: Es ist sehr konkret und umsetzungsorientiert, es gibt klare Handlungsempfehlungen. Nachteil: Es ist umfangreich und ressourcenintensiv in der vollständigen Umsetzung. Empfohlen für: Behörden, öffentliche Einrichtungen, Betreiber mit starkem Deutschland-Fokus und BSI-Aufsicht.
ISO 27001
ISO 27001 ist der internationale Standard für ISMS. Er ist risikoorientiert und flexibler als der BSI-Grundschutz — das ISMS muss auf die spezifischen Risiken der Organisation abgestimmt sein. Eine Zertifizierung nach ISO 27001 wird international anerkannt und ist für Unternehmen mit internationalen Geschäftsbeziehungen oder Kunden außerhalb Deutschlands oft vorteilhafter. Die BSI-Standards sind mit ISO 27001 kompatibel — eine Kombination ist möglich.
Für KRITIS-Betreiber empfiehlt das BSI die Nutzung des BSI-Grundschutzes als Basis. Für Unternehmen, die ISO 27001 bereits haben oder anstreben, ist ein Mapping auf die BSI-Anforderungen möglich.
Die häufigsten KRITIS-Sicherheitslücken in der Praxis
In der Praxis zeigen sich immer wieder dieselben strukturellen Schwachstellen, wenn wir KRITIS-Umgebungen analysieren:
Fehlende OT/IT-Trennung
Operational Technology (OT) — Steuerungssysteme für physische Prozesse wie Pumpen, Ventile, Turbinen — ist in vielen KRITIS-Umgebungen nicht ausreichend vom IT-Netz getrennt. Ein Angreifer, der ins IT-Netz eindringt, kann so auf Steuerungssysteme zugreifen. Die Folgen eines Angriffs auf OT sind potenziell katastrophal — nicht nur für Daten, sondern für physische Prozesse und die öffentliche Versorgung.
Altsysteme ohne Patching
Viele KRITIS-Umgebungen betreiben Systeme, die seit Jahren keine Sicherheitsupdates erhalten haben — weil der Hersteller keine Updates mehr liefert, weil ein Patch einen laufenden Prozess stören würde oder weil keine Testumgebung vorhanden ist. Diese Systeme sind bekannten Schwachstellen ausgesetzt und müssen durch Kompensationsmaßnahmen (Netzwerksegmentierung, Monitoring, Whitelist-Firewall) geschützt werden.
Keine Netzwerksegmentierung
Flache Netzwerke, in denen alle Systeme miteinander kommunizieren können, ermöglichen die laterale Bewegung von Angreifern. Eine kompromittierte Workstation kann dann direkt auf Steuerungssysteme, Datenbankserver oder Backup-Systeme zugreifen. Segmentierung begrenzt den Schaden eines erfolgreichen Einbruchs erheblich.
Fehlende Notfall- und Wiederanlaufpläne
Business Continuity Management (BCM) und Notfallpläne sind in vielen Organisationen vorhanden — aber nicht getestet. Ungeprüfte Notfallpläne sind wertlos. Regelmäßige Übungen, in denen ein Angriffsszenario durchgespielt wird, sind Pflicht und Teil der NIS2-Anforderungen.
Spezifische KI-Risiken für KRITIS
Künstliche Intelligenz bringt für KRITIS-Betreiber neue Risikodimensionen, die in bestehenden Sicherheitskonzepten noch selten adressiert sind:
KI-gestützte Angriffe: Angreifer nutzen KI zur Automatisierung von Phishing-Kampagnen, zur schnelleren Analyse kompromittierter Systeme und zur Entwicklung von Exploits. Die Angriffsgeschwindigkeit steigt, die Erkennungshürde wird höher.
Deepfakes in kritischen Prozessen: CEO-Fraud und Business Email Compromise werden durch KI-generierte Audio- und Video-Deepfakes verstärkt. Ein gefälschter Videoanruf des "Geschäftsführers", der eine Überweisung oder Zugangsdatenherausgabe anweist, ist heute mit geringem Aufwand produzierbar. KRITIS-Prozesse, die auf Identitätsverifikation angewiesen sind, brauchen robuste Out-of-Band-Verifizierungsverfahren.
Autonome Systeme ohne ausreichende menschliche Kontrolle: KI-Systeme, die in kritische Prozesse eingebunden werden — etwa zur automatisierten Netzwerksteuerung oder Anomalieerkennung —, müssen klare Eskalationspfade und menschliche Überwachung behalten. Ein fehlkonfiguriertes oder manipuliertes KI-System kann in KRITIS-Umgebungen direkte physische Konsequenzen haben.
Wie Koreva KRITIS-Betreiber unterstützt
Koreva bietet KRITIS-Betreibern und deren Zulieferern strukturierte Unterstützung auf dem Weg zur Compliance:
- GAP-Analyse: Wir erfassen Ihren aktuellen Sicherheitsstand und vergleichen ihn systematisch mit den Anforderungen von NIS2, ITSiG 2.0 und BSI-Grundschutz. Das Ergebnis ist ein priorisierter Maßnahmenplan — keine 200-seitige Studie, sondern klare Handlungsempfehlungen.
- Penetrationstest nach BSI IT-GS: Wir führen technische Sicherheitstests durch, die den Anforderungen des BSI entsprechen und als Nachweis gegenüber der Aufsichtsbehörde dienen können.
- NIS2-Compliance-Check: Strukturierter Review aller NIS2-Pflichtanforderungen — Meldeprozesse, Risikomanagement, Lieferkettenanforderungen, Dokumentation.
- Lokale KI-Systeme ohne Cloud-Abhängigkeit: Für KRITIS-Betreiber, die KI-Anwendungen einsetzen möchten, ohne Daten an Cloud-Anbieter zu übertragen, implementieren wir lokale LLM- und KI-Systeme auf eigener Infrastruktur.