Definition KRITIS

Was KRITIS für Unternehmen bedeutet

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden.
Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden. (Bild: BSI)

Das IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Doch wer genau ist Teil von KRITIS? Und welche Konsequenzen hat das IT-Sicherheitsgesetz für andere Unternehmen?

Für KRITIS gibt es eine offizielle Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK): Kritische Infrastrukturen (KRITIS) sind demnach Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. BSI und BBK nennen auch eine ganze Reihe von Sektoren (und Branchen), die den Kritischen Infrastrukturen zugeordnet werden.

Alleine diese Definition hilft aber nicht: Gehören wir zu KRITIS oder nicht, diese Frage stellten sich viele Unternehmen spätestens dann, als das IT-Sicherheitsgesetz im Juli 2015 in Kraft getreten war. Insbesondere Unternehmen aus dem Mittelstand waren verunsichert. Die Abgrenzung des Geltungsbereiches des Gesetzes soll per Rechtsverordnung genauer festgelegt werden. Im Februar 2016 wurde der Entwurf einer entsprechenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßte den Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“, meldete aber sogleich Nachbesserungsbedarf an. Auch andere Verbände wie VDE (Verband der Elektrotechnik Elektronik Informationstechnik e.V.), VKU (Verband Kommunaler Unternehmen) oder DVGW (Deutscher Verein des Gas- und Wasserfaches e.V.) sehen den Bedarf einer weiteren Konkretisierung (pdf), wer genau zu KRITIS gehört.

Klar ist hingegen, wer zu UP KRITIS gehört oder gehören kann. Der UP KRITIS ist nach BSI-Definition eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Eine Teilnahme an UP KRITIS kann man beantragen, die Mitgliedschaft ist freiwillig. Deshalb gilt: Auch wenn man kein Mitglied im UP KRITIS ist, kann man unter die Vorgaben des IT-Sicherheitsgesetzes fallen.

Bedeutung und Empfehlung für Unternehmen

Bevor die „KRITIS-Verordnung“ nicht final vorliegt, lässt sich zwar sagen, dass bestimmte Branchen zwingend unter die Vorgaben des IT-Sicherheitsgesetzes fallen, ausschließen kann man ein bestimmtes Unternehmen aber nicht so einfach. Selbst auf Basis der KRITIS-Verordnung kann wohl nicht ausgeschlossen werden, dass es Unklarheiten bei der Zuordnung zu KRITIS geben wird.

Laut einer PwC-Umfrage sind sich 18 Prozent der Unternehmen unsicher, ob sie dem IT-Sicherheitsgesetz unterliegen. Betrachtet man die laufende Diskussion um das Thema KRITIS, dürfte die Zahl der Unternehmen, die sich unsicher sind, noch deutlich höher sein. Immerhin bietet zum Beispiel KPMG eine sogenannte Betroffenheitsanalyse, damit Unternehmen besser verstehen, ob sie vom Gesetzgeber als Betreiber einer Kritischen Infrastruktur (KRITIS) angesehen werden und welche Anforderungen des IT-Sicherheitsgesetzes sie erfüllen müssen.

Nicht nur KRITIS-Unternehmen sind betroffen

Wie zum Beispiel der Insider Talk zum IT-Sicherheitsgesetz ergab, betrifft das IT-Sicherheitsgesetz auch den Mittelstand in deutlicher Form, selbst dann, wenn ein Unternehmen nicht selbst zu KRITIS gezählt wird. Dies folgt insbesondere daraus, dass man erwarten kann, dass die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben werden, wie auch der Bundesverband der Deutschen Industrie (BDI) erklärt hat.

KRITIS und das IT-Sicherheitsgesetz sind somit für weitaus mehr Unternehmen ein Thema, als der bisherige Entwurf der KRITIS-Verordnung erwarten lässt. Unternehmen tun deshalb gut daran, sich einen Überblick über die Forderungen des IT-Sicherheitsgesetzes zu verschaffen, was zum Beispiel mit einer Tabelle des BSI gut möglich ist. Ebenso sollten Unternehmen die weitere Berichterstattung über KRITIS und das IT-Sicherheitsgesetz hier bei Security-Insider.de im Auge behalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Künstliche Intelligenz – Freund oder Feind?

KI in der Cybersecurity

Künstliche Intelligenz – Freund oder Feind?

Durch Algorithmen können Maschinen aus Erfahrung lernen und sich an neue Situationen anpassen, indem sie große Datenmengen verarbeiten. Dabei erkennen sie Muster in den Daten und können so menschenähnliche Aufgaben erfüllen. Phishing-Angriffe, die auf künstlicher Intelligenz basieren, können so zu einer strategischen Waffe in den Händen von Cyberkriminellen werden. lesen

Was echte KI-Security von Katzenbildern lernen kann

Künstliche Intelligenz im Sicherheitskontext

Was echte KI-Security von Katzenbildern lernen kann

Hacker finden meist schnell einen Weg, neue Technologien zu ihrem Vorteil zu nutzen und KI ist da keine Ausnahme. Um intelligenten Cyberangriffen die Stirn zu bieten, müssen Security-Anbieter schon heute Wege finden, das Potenzial der neuen Technologie tatsächlich auszuschöpfen. Ein möglicher Schlüssel hierzu findet sich an unerwarteter Stelle: in der Bilderkennung. lesen

Datenklau verschreckt Kunden

Geschäftsrisiko Cybercrime

Datenklau verschreckt Kunden

Immer wieder werden Daten im großen Stil geklaut oder missbraucht. Meist sind Unternehmen hier die lohnende Zielgruppe für Hacker. Die Fälle in den Schlagzeilen sind entsprechend vielfältig und häufig. Und es werden mehr, denn die Vernetzung von Unternehmen und Personen nimmt zu. Parallel dazu steigen die mobilen Zugriffe, das Rüstzeug der Angreifer wird immer ausgefeilter und die Preise im Dark Net sinken. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Trends der Cyber-Sicherheit

DSGVO, Cybercrime und Fachkräftemangel

Trends der Cyber-Sicherheit

Aus Sicht der Cybersicherheit war das vergangene Jahr sehr ereignisreich! Im Mai trat nach langer Vorbereitungszeit die DSGVO in Europa in Kraft. Ein Schritt, der zeigte, dass die Politik den Schutz der personenbezogenen Daten ihrer Bürger endlich ernst nimmt. Plötzlich sahen sich Unternehmen mit Konsequenzen konfrontiert, wenn sie sensible Daten nicht schützen. lesen

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Netzwerksicherheit bei den Berliner Wasserbetrieben

Segmentiertes Netz und restriktive Zugriffe

Netzwerksicherheit bei den Berliner Wasserbetrieben

Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen. lesen

Angriff aus der Dunkelheit

IT-Security Management & Technology Conference 2019

Angriff aus der Dunkelheit

Gefährliche Cyberangriffe bedrohen kritische Infrastrukturen wie Energieversorgung, Verkehr oder Krankenhäuser, stürzen Städte ins Chaos und gefährden Menschenleben. Szenen die man nur aus Filmen kennt geschehen längst so oder ähnlich in der realen Welt. Unternehmen müssen aus den Folgen von Cyberangriffen lernen, um sich effektiv schützen zu können. Dr. Nicolas Krämer berichtet vom Angriff auf das Lukaskrankenhaus in Neuss und gibt einen Ausblick auf die Lehren die daraus gezogen wurden. lesen

Mitarbeiter im Visier der Penetrationstester

Die fünf Phasen eines Penetrationstests

Mitarbeiter im Visier der Penetrationstester

IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus? lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44075860 / Definitionen)