Definition KRITIS | Kritische Infrastrukturen Was ist KRITIS?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

KRITIS ist die Abkürzung für kritische Infrastrukturen. Unter diese Klassifizierung von Infrastrukturen fallen Einrichtungen oder Organisationen, die für das Gemeinwesen von hoher Bedeutung sind und deren Ausfall schwerwiegende Folgen für die Gesellschaft und die staatliche Ordnung haben. KRITIS-Betreiber müssen Mindestanforderungen an die IT-Sicherheit erfüllen, die unter anderem im IT-Sicherheitsgesetz geregelt sind.

Firma zum Thema

Kritische Infrastrukturen (KRITIS) sind Unternehmen, Einrichtungen, Organisationen, Anlagen und Systeme, die eine große bedeutung für das staatliche Gemeinwesen haben.
Kritische Infrastrukturen (KRITIS) sind Unternehmen, Einrichtungen, Organisationen, Anlagen und Systeme, die eine große bedeutung für das staatliche Gemeinwesen haben.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung KRITIS steht für kritische Infrastrukturen. Bei diesen Infrastrukturen handelt es sich um Einrichtungen, Organisationen, Anlagen und Systeme, die für das staatliche Gemeinwesen von hoher Bedeutung sind. Ein Ausfall dieser Infrastrukturen hat schwerwiegende Folgen für die Gesellschaft und die staatliche Ordnung. Sind kritische Infrastrukturen gestört, kann dies beispielsweise zu Versorgungsengpässen, Störungen der öffentlichen Sicherheit, Problemen im Gesundheitswesen oder zu negativen Einflüssen des sozialen und wirtschaftlichen Wohlergehens führen. In Deutschland gehören Infrastrukturen aus den Sektoren Informationstechnik und Telekommunikation, Wasser, Energie, Transport und Verkehr, Ernährung, Staat und Verwaltung, Medien und Kultur, Finanz- und Versicherungswesen und Gesundheit zu den kritischen Infrastrukturen.

Aufgrund der hohen Bedeutung dieser Infrastrukturen für die Gesellschaft übt der Staat mit Hilfe von Gesetzen wichtige Kontrollfunktionen aus. Es sind mehrere Bundesbehörden wie das Bundesministeriums des Innern, für Bau und Heimat (BMI), das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Unter diesen Behörden übernimmt auf Bundesebene das BSI die Hauptverantwortung für den KRITIS-Schutz. KRITIS-Betreiber müssen hinsichtlich der IT-Sicherheit Mindestanforderungen erfüllen und haben rechtliche Pflichten, die im IT-Sicherheitsgesetz beschrieben sind. Dazu zählen zum Beispiel die Meldepflicht von Sicherheitsvorfällen oder der besondere Schutz der Netzwerke. 2021 erfolgte eine Überarbeitung dieses Sicherheitsgesetzes, das jetzt als IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) bezeichnet wird.

Die verschiedenen Sektoren kritischer Infrastrukturen

In Deutschland gehören Infrastrukturen dieser Sektoren zu den kritischen Infrastrukturen:

  • Energie: zum Beispiel Energieversorgung mit Heizöl, Kraftstoffen, Strom, Gas oder Fernwärme
  • Transport und Verkehr: zum Beispiel Personenverkehr, Güterverkehr, Luftverkehr, Straßen- und Schienenverkehr, Schifffahrt, Personennahverkehr, Logistik
  • Informationstechnik und Telekommunikation: zum Beispiel Datenübertragung, Sprachübertragung, Datenverarbeitung, Datenspeicherung
  • Gesundheit: zum Beispiel stationäre medizinische Versorgung, Versorgung mit Medizinprodukten, Labordiagnostik, Versorgung mit Arzneimitteln
  • Ernährung: zum Beispiel Lebensmittelproduktion, Lebensmittelverarbeitung, Lebensmittelhandel
  • Wasser: zum Beispiel Trinkwasserversorgung, Abwasserbeseitigung
  • Finanz- und Versicherungswesen: zum Beispiel Bargeldversorgung, Zahlungsverkehr, Abwicklung von Devisen- und Wertpapiergeschäften, Versicherungsdienstleistungen
  • Medien und Kultur: zum Beispiel Rundfunk, Presse, Kulturgut und Bauwerke
  • Staat und Verwaltung: zum Beispiel Regierung, Parlament, Justiz, Rettungswesen, Notfallwesen, Katastrophenschutz

Das IT-Sicherheitsgesetz

Das erste IT-Sicherheitsgesetz wurde 2014 verabschiedet und trat 2015 in Kraft. In diesem Gesetz werden KRITIS-Betreiber dazu verpflichtet Mindestsicherheitsstandards umzusetzen. Darüber hinaus definiert das Gesetz für die Betreiber eine Meldepflicht von IT-Sicherheitsvorfällen an das BSI. Zur weiteren Präzisierung des Gesetzes wurden BSI-Kritis-Verordnungen erlassen. Mit diesen Verordnungen ist es den Infrastrukturbetreibern beispielsweise möglich, anhand von Kriterien zu prüfen, ob ihre Infrastrukturen unter den Regelungsbereich des Gesetzes fallen.

2021 tritt mit dem IT-Sicherheitsgesetz 2.0 eine Neufassung des Gesetzes in Kraft. Unter anderem wird die Abfallwirtschaft zum kritischer Sektor. Darüber hinaus sind Infrastrukturen im besonderen öffentlichen Interesse definiert, die ebenfalls als kritische Infrastrukturen zu behandeln sind. Weitere Neuerungen des IT-SiG 2.0 sind deutlich höhere Geldbußen bei Verstößen, die Notwendigkeit zur Einrichtung von Security Information und Event Management Systemen (SIEM-Systemen) zur Angriffserkennung und Angriffsbewältigung sowie Mindeststandards für KRITIS-Kernkomponenten in Form von Vertrauenswürdigkeitserklärung der Komponentenhersteller und BSI-Sicherheitskennzeichen.

(ID:47386190)

Über den Autor