KRITIS | Kritische Infrastruktur | IT-Security

byon communicate produkte it secruity kritis umspannwerk

Was ist KRITIS?

KRITIS ist eine Bezeichnung des BSI für die kritische Infrastruktur in Deutschland. Dazu zählt die Versorgung mit notwendigen Gütern sowie Dienstleistungen wie Strom, Wasser, Gas, Nahverkehr, medizinischer Versorgung oder auch IT-Technologie.  

Unternehmen, die zu KRITIS gehören müssen nachweisen, dass sie entsprechende Vorkehrungen zum Schutz vor Cyberangriffen getroffen haben. Neue gesetzliche Änderungen wie die NIS2-Richtlinie und das KRITIS-Dachgesetz für Resilienz bringen spezifische Prüfungszyklen mit sich. Auch die DORA-Verordnung betrifft KRITIS-Betreiber, Finanzunternehmen und IKT-Drittdienstleister.

Wie bedeutsam kritische Infrastrukturen sind, erkennt man erst, wenn es zu Störungen kommt. Daher gilt es, diese Infrastrukturen schon im Vorfeld gegen Computerkriminalität abzusichern. Wir prüfen die IT-Infrastruktur Ihres Unternehmens oder Ihrer Organisation und bringen Sie gemäß der gesetzlich geltenden Anforderungen auf den neusten Stand.

Wer gehört zu KRITIS?

Wenn Ihr Unternehmen zu den betroffenen Sektoren, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind gehört, dann ist es Teil von KRITIS. Ob Ihr Unternehmen dazu gehört, können Sie durch folgende Eckdaten ermitteln:

Informieren Sie sich in der BSI-KritisV – Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz, ob ihr Unternehmen in einem der hier aufgeführten Sektoren enthalten ist.
Außerdem gibt es bestimmte Schwellenwerte zu beachten. Die Berechnungsformeln zu deren Ermittlung finden Sie im Teil 2 des BSI KritisV unter Punkt 8: BSI-KritisV – Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz.

Näheres können Sie auf der Website des BSI herausfinden:

Zur BSI Website

byon communicate produkte it secruity kritis sektoren brancheneinteilung

byon communicate produkte it secruity kritis tabelle

Welche Anforderungen gelten für KRITIS?

Für den Schutz der KRITIS Unternehmen wurden eine ganze Reihe an Sicherheitsmaßnahmen und Schutzmechanismen definiert. Diese reichen vom Schutz vor Angriffen, über Schutz vor Schadprogrammen bis hin zur Prävention und Behandlung von Sicherheitsvorfällen.

Wie können wir Ihr Unternehmen beim Thema KRITIS unterstützen?

Die folgenden technischen Lösungen können bei der Umsetzung der KRITIS Anforderungen helfen:

byon communicate produkte itsecruity laptop man

SIEM – Security Information and Event Management

SIEM ist einer der wichtigsten Pfeiler innerhalb der byon security fabric und bietet Funktionen wie Sicherheitsanalysen in Echtzeit, Threat Intelligence oder selbst lernende Inventarisierung. Alles das wird in einer übersichtlichen grafischen Oberfläche zusammengeführt.

Aktive und passive Erkennungsmethoden zur Erstellung einer Inventarisierung
KI-gestützte Erkennung von Verhaltensanomalien -> Schutz vor bekannten und unbekannten Bedrohungen
Erkennung von ungewöhnlichen und auffälligen Verhaltensmustern
Grafische Visualisierung von Beziehungen zwischen Benutzern und Geräten für noch schnellere Reaktionsmöglichkeiten bei Bedrohungen

EDR / XDR - Endpoint Detection and Response

Endpoint Detection and Response (EDR) kombiniert ein kontinuierliches Monitoring, fortschrittliche Analysen von Endpunkten, Netzwerken und der Cloud und erweiterte Korrelation in Echtzeit, um verdächtige Aktivitäten auf Host- und Endpunkt-Verbindungen zu erkennen und darauf zu reagieren.

Fortgeschrittene Angriffe lassen sich mit Security-Einzelprodukten nur schwer erkennen. Durch die Analyse von Sicherheits-Feeds aus Ihrer gesamten security fabric, die Korrelation zugehöriger Ereignisse zu Vorfällen und die weitere Untersuchung kann EDR/XDR sofort übergreifende Aktionen starten, um den Angriff und weitere Aktivitäten zu blockieren.

byon communicate produkte itsecruity smartphone

Sie interessieren sich für unsere byon security Lösungen um Ihre KRITIS Anforderungen umzusetzen?

Nehmen Sie gerne mit uns Kontakt auf und zusammen erarbeiten wir eine passende Lösung für Ihr Unternehmen.

FAQ

Welche Sektoren und Branchen zählen in Deutschland zu den kritischen Infrastrukturen und warum sind sie bedeutend?

In Deutschland gibt es 9 KRITIS-Sektoren, für die jeweils branchenspezifische Sicherheitsstandards entscheidend sind, um ein funktionierendes staatliches Gemeinwesen zu sichern. Dazu gehören die Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Siedlungsabfallentsorgung, Medien und Kultur, Staat und Verwaltung, sowie Transport und Verkehr. Diese Sektoren sind bedeutend, da sie essenzielle Dienstleistungen erbringen, deren Ausfall zu erheblichen Versorgungsengpässen und Gefährdungen der Gesellschaft und öffentlichen Sicherheit führen könnte. KRITIS-Betreiber dieser Infrastrukturen müssen daher für deren sicheren und zuverlässigen Betrieb sorgen.

Welche Gefahren und Bedrohungen bestehen für kritische Infrastrukturen (KRITIS) in Deutschland und wie wird diesen begegnet?

Kritische Infrastrukturen sowie kritische Dienstleistungen in Deutschland sind vielfältigen Gefahren ausgesetzt, darunter Naturkatastrophen (z.B. Stürme, Hochwasser), technisches Versagen, Cyber-Angriffe, Stromausfälle, Epidemien und Pandemien und Terrorismus. Ein All-Gefahren-Ansatz wird angewendet, um alle potenziellen Risiken zu berücksichtigen und Resilienz zu fördern. Besondere Aufmerksamkeit gilt den Abhängigkeiten zwischen Sektoren, die zu Domino- und Kaskadeneffekten führen können. Dadurch können Ausfälle und erhebliche Störungen in einem Bereich der kritischen Dienstleistungen und Infrastrukturen andere Sektoren beeinträchtigen und dramatische Folgen für die Gesellschaft und öffentliche Sicherheit nach sich ziehen.

Welche gesetzlichen und rechtlichen Rahmenbedingungen bestehen in Deutschland und der EU zum Schutz kritischer Infrastrukturen (KRITIS)?

In Deutschland gibt es keine einheitliche KRITIS-Verordnung, sondern verschiedene Fachgesetze wie das Raumordnungsgesetz und das Zivilschutz- und Katastrophenhilfegesetz. Ein neues KRITIS-Dachgesetz soll diese Regelungen harmonisieren. Auf EU-Ebene gibt es Richtlinien wie die CER-Richtlinie und die NIS2-Richtlinie, die den Schutz und die Resilienz kritischer Infrastrukturen fördern. Zudem existieren nationale Gesetze wie das IT-Sicherheitsgesetz und das BSI-Gesetz, die die Cybersicherheit und den Schutz kritischer Infrastrukturen stärken.

Die EPSKI-Richtlinie von 2008:  Die EPSKI-Richtlinie (RL 2008/114/EG) wurde 2008 verabschiedet, um kritische Infrastrukturen in den Sektoren Energie und Transport zu identifizieren, deren Ausfall erhebliche Auswirkungen auf mindestens zwei EU-Mitgliedstaaten hätte. Ziel ist es, diese Infrastrukturen durch geeignete Maßnahmen zu schützen.
Richtlinie über die Resilienz kritischer Einrichtungen (CER-RL):  Die CER-Richtlinie, verabschiedet am 14. Dezember 2022, ersetzt die EPSKI-Richtlinie. Sie umfasst mehr Sektoren (u.a. Gesundheit, Banken, digitale Infrastruktur) und sieht vor, nationale sowie europaweit bedeutende kritische Infrastrukturen zu identifizieren und zu schützen. Zusätzlich werden die Mitgliedstaaten verpflichtet, Maßnahmen zur Verbesserung der Resilienz umzusetzen.
Die NIS-Richtlinien:  Die erste NIS-Richtlinie (2016) zielt darauf ab, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie fordert Mindestsicherheitsanforderungen und Meldepflichten für KRITIS-Betreiber und Betreiber digitaler Dienste. Die NIS-2-Richtlinie (2022) erweitert diese Anforderungen und muss bis Oktober 2024 in nationales Recht umgesetzt werden (NIS2-Umsetzungsgesetz).
Das IT-Sicherheitsgesetz:  Das IT-Sicherheitsgesetz (IT-SiG) von 2015 und das IT-Sicherheitsgesetz 2.0 von 2021 legen den Rechtsrahmen für Cyber- und IT-Sicherheit bei KRITIS in Deutschland fest. Sie erweitern die Befugnisse des Bundesamtes für Sicherheit in der IT und führen die BSI-Kritisverordnung ein, die kritische Infrastrukturen rechtsverbindlich identifiziert und Sicherheitsanforderungen festlegt.