Im Fokus der Hacker/innen: Kritische Infrastrukturen (KRITIS)

KRITIS- Organisationen: Hohe Bedeutung für das staatliche Gemeinwesen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert sog. „Kritische Infrastrukturen“ wie folgt: Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Aktuell sind 10 Sektoren der Wirtschaft als KRITIS-relevant definiert (z.B. „Energie“, „IT und TK“ oder „Medien und Kultur“). Sofern eine Organisation einen gewissen Schwellenwert überschreitet, unterliegt sie der KRITIS-Regulierung. Diese Schwellenwerte sind in der „BSI-Kritisverordnung“ definiert. So beträgt dieser Schwellenwert z.B. für Rechenzentren (zum Housingbetrieb) 3,5 MW „vertraglich vereinbarte Leistung“.

KRITIS-Organisationen haben sich beim BSI als solche zu registrieren und insb. ein IT-Sicherheitsniveau nach dem "Stand der Technik" umzusetzen. Dies wiederum ist alle zwei Jahre dem BSI gegenüber nachzuweisen.

Unternehmen im besonderen öffentlichen Interesse

HINWEIS: Diese Kategorie bildet den aktuellen Stand der Gesetzgebung ab. Sie wird mit dem kommenden NIS2 Umsetzungsgesetz voraussichtlich abgelöst werden durch die Kategorien "Wichtige Einrichtungen" und "Besonders wichtige Einrichtungen". Mehr dazu auch im Artikel NIS2 (Themen).

Unterhalb der als kritische Infrastruktur (KRITIS) definierten Sektoren und Unternehmen wurde mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) eine weitere Gruppe von Unternehmen definiert, die besondere Pflichten hinsichtlich ihrer IT-Sicherheit umzusetzen hat: Es handelt sich um die sogenannten „Unternehmen im besonderen öffentlichen Interesse“.

Unterschiedliche Kategorien von Unternehmen

Dabei handelt es sich gem. § 2 Absatz 14 BSIG um drei Kategorien von Unternehmen:

• UBI 1 (AWV-UBI) sind Hersteller / Entwickler von Gütern im Sinne von § 60 Außenwirtschaftsverordnung (AWV), also Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind.

• UBI 2 (Wertschöpfungs-UBI) sind die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen.

• UBI 3 (Störfall-UBI) sind Betreiber „eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung" oder Betreiber, die, "nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Die Unternehmen „UBI 1“ und „UBI 3“ sind bereits per Gesetz klar definiert. Welche Unternehmen genau in die Kategorie „UBI 2“ fallen, muss noch per Rechtsverordnung genau festgelegt werden.

Alle in eine der drei Kategorien fallenden Unternehmen haben sich zu registrieren und eine Kontaktstelle zu benennen. Weiterhin unterliegen sie einer Meldepflicht bei Sicherheitsvorfällen. Die Unternehmen der Kategorie „UBI 1“ und „UBI 2“ unterliegen zudem der Pflicht, eine Selbsterklärung zur IT-Sicherheit abzugeben.

Dabei werden

• aktuelle Zertifizierungen im Bereich IT-Sicherheit,

• sonstige Sicherheitsaudits, Prüfungen, Normen oder Standards im Bereich IT-Sicherheit,

• ggf. Maßnahmen zum angemessenen Schutz besonders schützenswerter informationstechnischer Systeme, Komponenten und Prozesse

• sowie die behandelten Themen im IT-Sicherheitsmanagement sowie deren Umsetzungsgrad abgefragt
  

Beim letzten Punkt geht es darum, nachzuweisen, dass man umfangreiche Standards zur IT-Sicherheit aus dem BSI-Grundschutz eingeführt bzw. darzulegen, zu welchem Grad man sie eingeführt hat.