Schutz Kritischer Infrastrukturen: Wie sich KRITIS – Betreiber richtig absichern

KRITIS: unsere Grundversorgung

Bereits seit den leeren Büros der Corona – Pandemie, spätestens aber mit Beginn des russischen Angriffs auf die Ukraine, ist Kritische Infrastruktur (KRITIS) vielen ein Begriff. Einrichtungen, die der Kritischen Infrastruktur zugeordnet werden, spielen eine unverzichtbare Rolle für das Funktionieren unserer Gemeinschaft: Wasser- und Stromversorgung, Telekommunikation oder medizinische Versorgung sind so essenziell für unseren Alltag, dass Störungen oder Ausfälle schwerwiegende Folgen nach sich ziehen können. Firmen in Sektoren, die als KRITIS eingestuft werden, sollen daher ab 2024 ihre Absicherung durch die verpflichtende Umsetzung des KRITIS Dachgesetzes und der NIS – 2 Richtlinien verstärken. Zu diesen Sektoren gehören: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Medizin & Gesundheitswesen, Wasserversorgung, Nahrungsversorgung, IT & Telekommunikation, Weltraum, öffentliche Verwaltung, Entsorgung.

KRITIS – Dachgesetz und NIS – 2 – Richtlinie: Was müssen Betreiber beachten?

Der Gesetzgeber verpflichtet KRITIS-Betreiber zur Umsetzung folgender Maßnahmen:

KI-generiertes Bild, das eine Collage von Umspannwerken, Wasserwerken und technischen Regulatoren zeigt.
Quelle: Focusworks AI for teams
  • Prüfung der Kennzahlen und KRITIS-Relevanz einzelner Anlagen
  • Registrierung in der BSI – Datenbank mit Unternehmensdaten, Versorgungszahlen und Ansprechpartnern
  • Analyse und Bewertung von Risiken und Schutzmaßnahmen
  • Erstellen eines Plans mit technischen und organisatorischen Maßnahmen (TOMs) zur Resilienzstärkung
  • Umsetzung des Maßnahmenplans

Es stellen sich zunächst Folgefragen: Was ist Schutz für kritische Infrastruktur? Welche Maßnahmen sind zur Absicherung geeignet? Und wann ist ein Unternehmen kritische Infrastruktur?

Kommunaler Träger, Hidden Champion:

Als unfraglich kritisch gelten laut BSI KRITIS – Verordnung dabei Betriebe, die mindesten 500.000 Menschen im Jahr versorgen, seien dies Stromversorger, Krankenhäuser, etc. In Einzelfällen kann dieser Schwellenwert variieren. Abseits der KRITIS – Größenordnung sind jedoch nicht nur große Anlagen und Versorger gefährdet, sondern gerade regional auch Betriebe unterhalb des Schwellenwerts. Kommunale Wasserwerke, Umspannstationen, Kreiskrankenhäuser, Kläranlagen: Obwohl diese Einrichtungen oftmals zu klein sind, um als kritisch im Sinne des BSI eingestuft zu werden, spielen sie eine unverzichtbare Rolle in der örtlichen Versorgung. Diese kleineren Betreiber verfügen oftmals nicht über die Sicherheitsvorkehrungen von Großbetreibern.

Doch wenn ein Wasserversorgungsnetz aufgrund technischer Probleme oder sabotagebedingter Vorfälle ausfällt, führt dies nicht nur zu einer direkten Gefährdung der Gesundheit der Bürger, sondern kann auch wirtschaftliche Folgen wie Produktionsausfälle für die betroffene Region haben. Ähnliches gilt für kleine und mittlere Betriebe, die eine entscheidende Rolle in der Liefer- und Prozesskette kritischer Dienstleistungen spielen, sogenannte Hidden Champions. Das Bundesamt für Katatstrophenschutz stellt das in seiner Arbeitshilfe für den Bevölkerungsschutz anschaulich dar:

„Ein mittelständisches Unternehmen produziert die Vorstufe für ein Antibiotikum und ist hier
für der einzige Produzent in Europa. Ein Ausfall der Produktionsstätte hätte signifikante Auswirkungen
auf die kritische Dienstleistung „Gesundheitsversorgung“. Alle Menschen in der untersuchten Region
(sowie viele Millionen mehr) wären somit durch den Ausfall betroffen.

Bild eines laufenden Wasserhahns. Quelle: pixabay
Wasserversorgung
Bild von Strommasten vor Bergkulisse. Quelle: pixabay
Energienetz
Bild eines Operationssaals mit ärztlichem Personal. Quelle: pixabay
Medizin

Sicherheitstechnische Anforderungen

Für ein erfolgreiches IT Service Continuity und Business Continuity Management braucht es im Falle von KRITIS Betreibern also ein umfassendes Konzept, das auf der Risikoanalyse aufbaut. Somit muss ein Unternehmen nicht nur Cybersecurity bedenken, sondern es muss einen „angemessenen physischen Schutz der Räumlicheiten und kritischen Infrastruktur sicherstellen.“ als auch die physische Sicherheit der Objekte miteinbezieht. Bereits der Bereich der IT-Sicherheit ist eine komplexe Aufgabe, oftmals finden sich jedoch im Betrieb Fachkräfte mit entsprechenden Qualifizierungen. Bei der sicherheitstechnischen Ausstattung kann mangelnde Expertise und Erfahrung zu Fehlentscheidungen und vermeidbaren Mehrkosten führen. Ein Sicherungskonzept muss in seine Effektivität in regelmäßigen Audits unter Beweis stellen. Auf Betreiberseite bedeuten die Vorschriften also ein Maßnahmenpaket von der Planung bis zum Nachweis der Wartung:

  1. Einsatz von Alarmanlagen: Detektion von Einbruchversuchen durch Melder und Sensoren mit Verbindung zu einer Notrufzentrale.
  2. Zutrittskontrollsysteme: Begrenzung des Zugangs zu geschützten Bereichen. Kontrollieren Sie, wer Zutritt zu ihrem Objekt hat durch individuelle Transponder, biologische Merkmale oder Codes.
  3. Videoüberwachung: Aufzeichnung verdächtiger Aktivitäten sowie Live-Überwachung kritischer Bereicher
  4. Perimetersicherung: Smarte Detektion durch Lichtschranken und Sensoren noch bevor kritische Schutzbereiche betreten werden können.
  5. Sicherheitsbeleuchtung: Ausleuchtung kritischer Bereiche zur Abschreckung von Tätern.
  6. Notfalltraining: Regelmäßige Übungen zur reibungslosen Abwicklung in Krisensituationen
  7. Regelmäßige Wartung: Überprüfung und Instandhaltung aller Sicherheitsanlagen

Absicherung für höchste Ansprüche: Unsere Leistungen und Expertise

Mittermeier Sicherheitstechnik ist ihr Partner für alle Fragen rund um physische Sicherheit und die technische Umsetzung von Schutzmaßnahmen. Wir bringen nicht nur das notwendige Fachwissen mit, sondern gewährleisten auch die Einhaltung gesetzlicher Vorgaben. Technologien und Produkte aus dem EU-Ausland bringen Risiken mit sich, etwa durch unterschiedliche Standards, unzureichende Zertifizierungen oder Sicherheitslücken. Daher ist es bei der Absicherung Kritischer Infrastruktur wichtig, auf VdS-zertifizierte Hersteller in Europa zu setzen, die für hohe Sicherheitsstandards bekannt sind.

Ein Techniker prüft die Programmierung einer Code-Einrichtung mit einem Laptop
Reparatur & Instandhaltung
Blick über die Schulter eines Technikers, der blaue Kabel an einen Server anschließt
Installation & Montage
Mitarbeiter der Franz Mittermeier GmbH sitzen zur Projektbesprechung an einem langen Tisch mit Blick auf einen Monitor.
Beratung & Planung

Mittermeier Sicherheitstechnik: Wir wissen, wie sich Sicherheit anfühlt!

Sichern Sie Ihre Anlagen und handeln Sie frühzeitig!

Betreiber Kritischer Infrastruktur sollten frühzeitig mit der Planung und Projektierung ihres Sicherheitskonzepts beginnen, um Bußgelder aber auch Terminknappheit zu vermeiden. Setzen Sie auf professionelle Lösungen und handeln Sie rechtzeitig: Nehmen Sie zu uns Kontakt auf und lassen Sie sich unverbindlich beraten!

Unsere Dienstleistungen:


Robert Mittermeier

Der schnellste Weg zu Ihrer Sicherheit:
Rufen Sie uns an!

Franz Mittermeier GmbH
Georg-Wimmer-Ring 7
85604 Zorneding

T: +49 89 420 79 18 0
F: +49 89 420 79 18 29
info@mittermeier-alarm.de

…oder schreiben Sie uns!

    Häufig gestellte Fragen zu Sicherheitstechnik und Alarmanlagen für Kritische Infrastruktur:

    Wer legt fest, was KRITIS ist?

    Zur Definition kritische Infrastruktur gab es im Nachtreffen der Pandemie und im Aufkommen des Konflikts in der Ukraine eine lange Debatte. Seit 2021 wird an den abgrenzenden Kriterien gefeilt. Welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als Kritische Infrastrukturen im Sinne des gelten, definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI)

    Dabei geht das KRITS-Dachgesetz mit seinem Fokus auf physischer Sicherheit Hand in Hand mit den NIS-2 Regularien, die den Aufbau und Erhalt von Resilienz gegen Cyberangriffe zum Inhalt hat.

    Welche Sektoren und Unternehmen sind KRITIS?

    Zur KRITIS gehören:

    • Energie
    • Verkehr
    • Bankwesen
    • Finanzmarktinfrastrukturen
    • Gesundheit
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • öffentliche Verwaltung Weltraum
    • Lebensmittel
    • Schule und Kita

    Welchen Schutz brauche ich als KRITIS – Betreiber?

    Welcher Schutzumfang geeignet ist, leitet sich in erster Linie von den individuellen Gegebenheiten und Schutzzielen eines Betriebs ab. Um dies zu erfassen benötigt ein Betreiber ein umfassendes, krisensicheres Schutzkonzept, das sowohl eine Überwachung möglicher Sicherheitslücken zulässt (per Sensor oder Kamera), als auch den Zugang zu kritischen Bereichen beschränkt (Zutrittskontrolle, Perimetersicherung) und die Anlage samt Personal schützt (Brandmeldeanlage).

    Welche Anforderungen werden an die Absicherung von kritischer Infrastruktur gestellt?

    Statt exakten Vorgaben sieht das KRITIS-Dachgesetz vor, dass Betreiber technisch sicherheitsbezogene und organisatorische Maßnahmen implementieren müssen, die „dem Stand der Technik“ entsprechen. Den höchsten Sicherheitsstandard stellen im DACH – Gebiet die VdS-Richtlinien dar. Folgt man VdS – zertifizierten Produkten und anerkannten Errichterunternehmen ist man nicht nur fachlich gut beraten, sondern muss sich keine Sorgen über die Erprobtheit, Zulassung oder Herkunft der benutzten Produkte machen.