Maximale Sicherheit für Kritische Infrastrukturen (KRITIS)
Klare Abläufe regeln die Funktion unserer Wirtschaft und Gesellschaft. Dies funktioniert nur, indem sich Branchen und Sektoren miteinander vernetzen und so auch Abhängigkeiten entstehen. Fast keine Branche kann ohne die Zusammenarbeit mit anderen Branchen oder Teilnehmenden der Gesellschaft die entsprechende Leistung erbringen. Damit dies gewährleistet ist, hat das IT-Sicherheitsgesetzt bzw. die KRITIS-Verordnung besondere Anforderungen für Kritische Infrastrukturen (kurz: KRITIS) definiert. Erfahren Sie, was genau eine Kritische Infrastruktur ist und wie innerhalb eines Rechenzentrums die Sicherheitsstandards umgesetzt werden.
Was ist eine Kritische Infrastruktur?
Eine Kritische Infrastruktur erfüllt mit ihrer Leistung wichtige Aufgaben für unsere Wirtschaft und Gesellschaft. Daher werden diese besonders geschützt, da bereits kleinste Störungen, Unregelmäßigkeiten oder sogar Ausfälle zu negativen Auswirkungen führen und die Funktionen von Unternehmen und auch Privatpersonen beeinträchtigen. Mit den besonderen Anforderungen und Regularien wird die Versorgung, Leistung und der Ablauf innerhalb einer Gesellschaft sichergestellt. Dieses Ziel erfordert eine hohe Verfügbarkeit an die IT-Infrastruktur sowohl für die Hardware, Software und allen weiteren Komponenten. Durch die schnelle technologische Entwicklung und die zunehmende Digitalisierung steigen auch die Anforderungen und Abhängigkeiten der Infrastrukturen zueinander. Jede Infrastruktur ist physisch oder virtuell vernetzt und ein Ausfall würde gleich mehrere Branchen betreffen. Als Beispiel dient hier die Stromversorgung. Jede Branche benötigt Strom für ihr Angebot und bei einem Ausfall würde die Produktion stillstehen, Patient:innen könnten nicht versorgt werden und der Einkauf im Supermarkt ist nicht mehr möglich.
Damit auch in Kristen-Zeiten eine Versorgung stattfindet, sind die Anforderungen und Regularien für KRITIS-Betreiber auf Grundlage der folgenden Gesetze/Verordnungen geregelt:
- IT-Sicherheitsgesetz
- KRITIS-Verordnung
- BSI-Gesetz
KRITIS-Sektoren
Die folgenden Branchen und Sektoren unterliegen u. a. den Regelungen des IT-Sicherheitsgesetzes, der KRITIS-Verordnung und dem BSI-Gesetz.
Energie: Die Leistungen der Energiebranche sind die Versorgung mit Strom, Gas und Fernwärme - von der Industrie bis hin zu Privatpersonen. Dadurch entsteht ein hoher Bedarf am Angebot für andere Sektoren. Zusätzlich steht diese Branche vor der Herausforderung, eine optimale Versorgung zu gewährleisten und gleichzeitig auch die Auswirkungen auf die Umwelt zu verbessern z. B. in Form von erneuerbaren Energien.
Informationstechnik und Telekommunikation: Durch die zunehmende Digitalisierung steht die ITK-Branche permanent vor neuen Herausforderungen. Die Leistung muss verbessert werden und gleichzeitig die Verfügbarkeit gewährleistet sein. Der Fokus der ITK-Branche liegt zum einen in der Übertragung von Sprache und Daten sowie die Verarbeitung und Speicherung von Daten. Gerade für die Einhaltung der geltenden Gesetze ist diese Branche von großer Wichtigkeit.
Wasser: Für Privatpersonen deckt die Versorgung ein Grundbedürfnis des Menschen. Doch auch für die Industrie ist die Ressource Wasser ein wichtiger Bestandteil, damit eine fortlaufende Produktion gewährleistet ist. Ausfälle in der Versorgung würden zu weitreichenden Folgen führen.
Ernährung: Die Versorgung der Gesellschaft mit Nahrung und dem Einkaufen im Supermarkt erfordern eine zuverlässige IT und eine permanente Verfügbarkeit. Ebenfalls sind im Lebensmitteleinzelhandel auch Lieferketten und das Verkehrsnetz beeinflussende Faktoren.
Gesundheit: Zu dieser Branche zählen u. a. Krankenhäuser, Arztpraxen, Apotheken, Labore sowie der Rettungsdienst. Dieser Sektor erfordert ein umfassendes Sicherheitskonzept, da bei einem Ausfall die Gefährdung des Lebens auf dem Spiel stehen kann.
Finanz- und Versicherungswesen: Die Verfügbarkeit finanzieller Mittel ermöglicht das Funktionieren unseres Wirtschaftskreislaufes. Neben der Versorgung mit Bargeld ist zudem ein umfassendes IT-Sicherheits-Konzept erforderlich.
Transport und Verkehr: Die Voraussetzung für reibungslose Logistik-Prozesse ist die Organisation des Straßen-, Schienen- und Luftverkehrs.
Öffentliche Hand: Das Funktionieren einer Gesellschaft und die Sicherstellung der öffentlichen Ordnung erfolgen u. a. im Parlament, in der Regierung sowie im Land und in Kommunen. Dadurch ergibt sich die Handlungsfähigkeit einer Gesellschaft.
Medien und Kultur: Diese Branche umfasst neben dem Rundfunk auch Zeitungen, Museen sowie Bibliotheken und diese sind für die Meinungsbildung innerhalb einer Gesellschaft verantwortlich.
Anforderungen an KRITIS-Betreiber
Für KRITIS-Betreiber gelten besondere Anforderungen, die erfüllt werden müssen. Zu diesen zählen:
1. Die Benennung einer Kontaktstelle, die jederzeit 365 Tage im Jahr erreichbar ist.
2. Störungen und Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Kontaktperson des Unternehmens oder der Einrichtung entscheidet, ob ein Vorfall gemeldet werden muss. Meldungen erfolgen grundsätzlich, wenn eine Störung einen Ausfall verursacht. Ebenfalls erfolgt eine Meldung bei Störungen, die zu einem Ausfall führen können.
3. Die Digitale Transformation und die technologische Entwicklung erfolgen mit einer hohen Geschwindigkeit, was auch zu Anpassungen der IT-Infrastruktur führt. Damit die IT-Sicherheit eingehalten werden kann, muss die Technik auf einem gewissen Stand sein, damit Leistung und Sicherheit erfüllt werden.
4. Damit die Anforderungen von KRITIS-Betreibern eingehalten werden und eine kontinuierliche Verbesserung sichergestellt ist, muss ein Maßnahmenkatalog entwickelt werden. Mit den definierten Maßnahmen sollen die Anforderungen und die IT-Sicherheit im Einklang mit der Entwicklung von Technologien und der Digitalisierung sein.
5. In regelmäßigen Abständen (alle zwei Jahre) findet ein Sicherheitsaudit statt zur Sicherstellung der Erfüllung aller Regularien und für die Ermittlung von Verbesserungspotenzialen.
Diese Anforderungen erfordern für Betreiber Kritischer Infrastrukturen ein permanentes Vorgehen und empfehlenswert ist hier die Hinzuziehung eines Juristen.
Neben den Regelungen für KRITIS-Sektoren ist die Etablierung eines Risikomanagements von Vorteil. Das Risikomanagement befasst sich mit der Ermittlung und Maßnahmen für den Umgang mit Risiken. Im Rahmen einer Risikoanalyse werden potenziell mögliche Risiken identifiziert sowie deren mögliche Eintrittswahrscheinlichkeit. Das Ziel ist die Entwicklung von Maßnahmen zur kontinuierlichen Verbesserung. Zusätzlich können Risiken und Gefahren von einem anderen Blickwinkel beleuchtet werden, indem die Auswirkungen betrachtet werden, die im Ernstfall entstehen. Zum Beispiel Umweltgefahren, Risiken für Mitarbeitende, Risiken, die Auswirkungen auf das Leben haben.
Einen Schritt weiter kann auch ein Krisenmanagement aufgebaut werden. Ziel ist die Entwicklung eines klaren Plans, wie im Ernstfall vorzugehen ist. Auf organisatorischer Ebene wird die Aufbauorganisation angepasst, indem Zuständigkeiten und Verantwortungen im Unternehmen definiert werden. Innerhalb der Ablauforganisation sind Maßnahmen, Prozesse und die Kommunikationswege in der Organisation definiert.
Information Security Management System (ISMS)
Das Risikomanagement und Krisenmanagement kann auch innerhalb eines Information Security Management System (kurz: ISMS) erfolgen. Dieses System verfolgt die kontinuierliche Verbesserung zur Sicherstellung der IT-Sicherheit im Unternehmen. Bei der Umsetzung eines ISMS werden technische und organisatorische Maßnahmen angepasst und es gibt drei primäre Ziele:
1. Vertraulichkeit: Kritische Daten sind umfassend geschützt. Dies betrifft Zugriffs- und Zugangsregelungen.
2. Integrität: Bei den Daten im Unternehmen wird deren Richtigkeit gewährleistet und sind somit vor Manipulationen geschützt.
3. Verfügbarkeit: Der Zugriff auf Daten kann jederzeit erfolgen und ist vor Angriffen geschützt sowie bei Störungen weiterhin vorhanden.
TelemaxX und KRITIS
Als IT-Service Provider mit einem umfassenden Portfolio bestehend aus Rechenzentrumsleistungen, Telekommunikationsdiensten und IT-Services, verfügen wir über einen breiten Kundenstamm aus den unterschiedlichsten Branchen und somit auch KRITIS-Betreibern. Für KRITIS-Betreiber ist besonders wichtig: Eine hohe Verfügbarkeit der Services sowie der Schutz vor Cyberangriffen. Hierfür haben unsere Services verschiedene Serviceklassen mit Verfügbarkeiten von bis zu 99,99 %. Neben der Verfügbarkeit verfügen zahlreiche Kund:innen auch über redundante Konzepte, um jederzeit handlungsfähig zu sein.
Unsere 5 Hochsicherheits-Rechenzentren werden regelmäßig an die neuen Sicherheitsanforderungen angepasst und unterlaufen diverse Tests für Zertifizierungen. Für das Management der Informationssicherheit sind unsere Rechenzentren (IPC1, IPC3, IPC4 und IPC 5) ISO/IEC 27001:2017 zertifiziert. Zusätzlich bescheinigte die Zertifizierungsstelle der TÜV Informationstechnik GmbH für unser IPC 5 die Erfüllung aller Anforderungen der EN 50600 Verfügbarkeitsklasse 4 und die Erfüllung aller Anforderungen für hohen Schutzbedarf des Trusted Site Infrastructure Kriterienkatalogs.
Kennzeichnend für all unsere Services ist made in Germany und daher ist auch unsere TelemaxX Cloud und die Colocation Services fair.digital zertifiziert und erfüllen somit die Kriterien Datenschutz, Fairness und Transparenz.