Sind Sie Betreiber einer Kritischen Infrastruktur laut IT-Sicherheitsgesetz? Wir schaffen Klarheit.

Infrastruktur ist die „Grundausstattung einer Volkswirtschaft [...] mit Einrichtungen, die [...] für die private Wirtschaftstätigkeit den Charakter von Vorleistungen haben“ - so schreibt es das Gabler Wirtschaftslexikon. Zur Kritischen Infrastruktur (kurz: KRITIS) gehören nach dem IT-Sicherheitsgesetz allerdings mehr Unternehmen, als das Wort „Infrastruktur“ nahelegt, betont Manager Björn Haje.

Außerdem sei KRITIS immer im Kontext der IT zu verstehen. Was Kritische Infrastruktur genau ist und was das für ein Unternehmen bedeutet, beschreibt Björn Haje in diesem Artikel.

Was ist Kritische Infrastruktur laut IT-Sicherheitsgesetz?

Zur Kritischen Infrastruktur nach IT-Sicherheitsgesetz gehören Unternehmen, die für die Versorgung der Bevölkerung besonders wichtig sind. Für verschiedene Wirtschaftssektoren (Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr laut BSI-KritisV §§ 2 bis 8) hat der Gesetzgeber entsprechende Schwellenwerte festgesetzt, zum Beispiel:

  • die Produktionsmenge
  • das Transportvolumen
  • die produzierte Energie

Das typische Messkriterium ist die Versorgung von 500.000 Menschen. Das bedeutet:

Zur Kritischen Infrastruktur gehören Betriebe, bei deren Störung die Versorgung von mehr als 500.000 Menschen beeinträchtigt wäre. 

Jeder Unternehmer kann mit seiner Firma also in die Kritische Infrastruktur „reinwachsen“. Unternehmen der Kritischen Infrastruktur haben besondere gesetzliche Vorgaben einzuhalten. So will der Gesetzgeber die Versorgung der Bevölkerung sicherstellen. Grundlage für die gesetzlichen Anforderungen an Kritische Infrastrukturen sind:

  1. das durch das IT-Sicherheitsgesetz 2015 geänderte BSIG
  2. die BSI-Kritisverordnung (kurz: BSI-KritisV)

Es gibt definierte KRITIS-Sektoren und KRITIS-Schwellenwerte. Damit sollten Unternehmen einfach feststellen können, ob sie Kritische Infrastruktur sind, oder?

So einfach ist es leider nicht.

Unternehmen haben je nach Branche unterschiedliche Schwellenwerte

Der Gesetzgeber hat nach diesem Muster überlegt: Wie viel Lebensmittel benötigt ein Bundesbürger im Jahr? Das Ergebnis dieser Überlegung multipliziert mit 500.000 ist die Meldegrenze, ab der ein Unternehmen der Lebensmittelproduktion Kritische Infrastruktur ist.

Die Beispielrechnung für die Methodik des BSI:Ein Deutscher benötigt durchschnittlich 869 Kilo Lebensmittel pro Jahr. Multipliziert mit 500.000 Bürgern bedeutet das, dass ein Unternehmen, das im Jahr 434500 Tonnen Lebensmittel produziert oder verarbeitet, potenziell zur Kritischen Infrastruktur gehört.

Allerdings ist es wichtig zu verstehen, dass KRITIS auch bedeutet: Die IT des Unternehmens muss am Umschlag dieser Lebensmittel beteiligt sein. Auch deswegen braucht es für die Beurteilung nicht nur Juristen, sondern auch IT-Berater.
 

Das BSI bezieht sich nur auf die IT des Betriebs. Als überspitzte Klarstellung: Ein Betrieb, der alles mit Stift und Papier abrechnet, ist keine Kritische Infrastruktur, vollkommen egal, wie groß er ist.

Der Branchenstandard B3S: Eine Orientierung für einzelne Branchen

Verschiedene Branchenverbände haben Branchenstandards erarbeitet und mit dem BSI abgestimmt. Gibt es diese Branchenstandards, erwartet das BSI meiner Erfahrung nach dann, dass Sie diese Vorgaben umsetzen. 

Für einige Branchen sind die Vorgaben klarer, die Spielräume dafür kleiner.

Privatwirtschaftliche Sektoren und betroffene Branchen in der Kritischen Infrastruktur laut BSI

  • Elektrizität
  • Gas
  • Mineralöl
  • Fernwärme
  • Medizinische Versorgung
  • Arznemittel und Impfstoffe
  • Labore
  • Ernährungswirtschaft
  • Lebensmittelhandel
  • Luftfahrt
  • Seeschifffahrt
  • Schienenverkehr
  • Straßenverkehr
  • Logistik
  • Banken
  • Börsen
  • Versicherungen
  • Finanzdienstleister
  • Telekommunikation
  • Informationstechnik
  • Trinkwasserversorgung
  • Abwasserbeseitigung

Ist ein Unternehmen Kritische Infrastruktur? 3 Faktoren für eine erste Analyse

Ob ein Unternehmen Kritische Infrastruktur ist, kann nur eine Einzelfallprüfung mit Sicherheit beantworten. Es gibt aber drei typische Faktoren, anhand derer eine erste Einordnung möglich ist.

1. Faktor: Kritische Dienstleistung – wann ist eine Dienstleistung kritisch?
Eine Dienstleistung ist dann kritisch, wenn sie in einem regulierten Sektor erbracht wird und die Menge den Schwellenwert überschreitet. Bei Krankenhäusern ist es zum Beispiel einfach: Der Schwellenwert wird auf Basis der„vollstationären Fälle“ geprüft und ist damit eindeutig definiert. Aber in einigen Branchen ist es nicht so trivial, was das BSI als Kritische Dienstleistung versteht. Zum Beispiel in der Logistik. Hier muss ein Berater sehr genau die Kritisverordnung kennen und interpretieren können.

2. Faktor: Schwellenwert – wie zählen wir Dienstleistungen oder Waren?
Unternehmen beziffern ihre Leistung manchmal anders als der Gesetzgeber. Bleiben wir beim Beispiel der Logistik: Hier ist die Zuordnung zur Kritischen Infrastruktur immer wieder eine Detailfrage. Eine der wiederkehrenden Herausforderungen: Die Logistik rechnet international in Twenty-foot Equivalent Units (TEU). Das sind übersetzt Zwanzig-Fuß-Standardcontainer. Wie viel Ladung in den jeweiligen Containern ist, weiß der Logistiker nicht unbedingt. Er rechnet im Tagesgeschäft nur in TEUs, Gewicht ist zweitrangig. Der Gesetzgeber hingegen rechnet in Tonnen. Hier müssen wir gemeinsam mit den Logistikern herausfinden, ob sie den Schwellwert für Kritische Infrastruktur überschreiten, oder ob er unterschritten wird. Diskussionsbedarf entsteht auch durch die Frage, wie mit leeren Containern umzugehen ist.

3. Faktor: IT-Netzwerk – wie autark oder vernetzt ist das Unternehmen an seinen einzelnen Standorten?
Die IT-Unabhängigkeit der einzelnen Standorte ist ebenfalls ein Faktor. Wenn ein Unternehmen viele Standorte hat, die alle eine eigenständige IT-Infrastruktur verwalten, gilt das Unternehmen möglicherweise nicht als Betreiber Kritischer Infrastruktur – egal, wie groß es insgesamt ist. Ein großer Händler muss nicht Kritische Infrastruktur sein, wenn er IT-autarke Standorte betreibt. Betreibt ein Unternehmen die IT aber zentral als „gemeinsame Anlage“, ist dass etwas anderes.

Auch mit dem BSI können wir diskutieren
Letztlich sind viele Unternehmen nach einer intensiven Prüfung dieser drei Faktoren relativ eindeutig Betreiber Kritischer Infrastruktur oder nicht. Es gibt aber auch Fälle, da ist Raum für Interpretation. Da kann es sein, dass das BSI aus unserer Sicht oder der Sicht unseres Mandanten zu Unrecht annimmt, dass der 500.000er-Schwellenwert überschritten ist. Das ist dann eine Rechtsmeinung, gegen die wir im Zweifel gerne unsere Mandanten vertreten.

Was bedeutet es für ein Unternehmen, Kritische Infrastruktur zu sein? Die 5 wichtigsten Maßnahmen, die auf Sie zukommen

Insgesamt kann man die erforderlichen Maßnahmen auf vier Kernbereiche herunterbrechen. Wenn Ihr Unternehmen zur Kritischen Infrastruktur gehört, müssen Sie: 

1. Beim BSI melden

Stellt ein Unternehmen fest, dass es als Kritische Infrastruktur einzustufen ist, muss sich das Unternehmen beim BSI registrieren. Die Prüfung, ob ein Schwellenwert überschritten ist, müssen Unternehmen grundsätzlich bis Ende März auf Basis der Vorjahreszahlen durchführen.

2. Eine Kontaktstelle einrichten

Das BSI braucht einen festen Ansprechpartner in Ihrem Hause. Die Kontaktstelle zum BSI muss 7 Tage die Woche 24 Stunden lang erreichbar sein. Sie soll als Schnittstelle zwischen Betreiber und Behörde funktionieren. Hier meldet das Unternehmen meldungspflichtige IT-Sicherheitsvorfälle, bekommt aber auch Infos zu Bedrohungen und zum Lagebild vom BSI. Das BSI kann also Unternehmen der Kritischen Infrastruktur vorwarnen, wenn Auffälligkeiten auftreten, etwa ein möglicher gebündelter Angriff gegen alle deutschen Energieunternehmen.

3. Sicherheitsvorfälle zuverlässig erkennen und an das BSI melden

Hier müssen Unternehmen einerseits Prozesse einführen, um Sicherheitsvorfälle zuverlässig zu erkennen und einzuordnen. Andererseits müssen definierte Meldewege dokumentiert und in der Unternehmenskultur verfestigt sein, damit ein Sicherheitsvorfall auch zuverlässig den Weg zum BSI findet. Das ist mehr als die rein technische Ebene und erfordert auch ein entsprechendes Bewusstsein beim zuständigen Personal, eine Fehlerkultur nach innen und eine Aufmerksamkeit für Sicherheitslücken nach außen.

Zu dieser Fehlerkultur gehört auch, sich von der Vorstellung frei zu machen, dass sich Betriebe vor Cyber-Gefahren zu 100 % schützen können. Deswegen gehört zu IT-Sicherheit auch IT-Resilienz.

4. IT-Sicherheit nach Stand der Technik umsetzen

Alleine die Frage, wie dieser Stand der Technik aktuell in Ihrer Branche aussieht, ist nicht einfach zu beantworten. Einigermaßen konkrete Vorgaben geben die B3S. Wir helfen Ihnen dabei mit einer intensiven Prüfung Ihrer aktuellen IT-Sicherheit und einer detaillierten Aufstellung des Status Quo Ihrer IT-Infrastruktur. Diesen Status Quo müssen wir dokumentieren, mit den Vorgaben des BSI abgleichen und Deltas identifizieren. Ergebnis dieser Prüfung ist eine Auflistung der „Baustellen“, die das Unternehmen noch bearbeiten muss, um ein sicheres IT-Konzept umzusetzen.

5. Alle 2 Jahre ein IT-Audit durchführen

Unternehmen der Kritischen Infrastruktur müssen alle 2 Jahre nachweisen, dass Ihr Unternehmen IT-Sicherheit nach Stand der Technik umsetzt. Das geschieht beispielsweise mit einem IT-Sicherheitsaudit.

Fazit

Die übliche Grenze für Kritische Infrastrukturen ist die Versorgung von 500.000 Menschen. Mit dem kommenden IT-Sicherheitsgesetz 2.0 könnte diese Grenze aber niedriger werden. Ob ein Unternehmen wirklich zur Kritischen Infrastruktur gehört, hängt aber im Einzelfall von drei Faktoren ab:

  1. Ist die Dienstleistung in einem betroffenen Sektor?
  2. Wird der Schwellwert überschritten?
  3. Wird IT zentralisiert oder autark betrieben und werden so Schwellwerte über- oder unterschritten?

Ist ein Unternehmen eindeutig Kritische Infrastruktur, hat es vier Vorgaben zu erfüllen:

  1. Eine Kontaktstelle als Schnittstelle zum BSI einrichten.
  2. Kritische Sicherheitsvorfälle umgehend an das BSI melden.
  3. IT-Sicherheit nach Stand der Technik umsetzen.
  4. Alle zwei Jahre ein IT-Sicherheitsaudit durchführen lassen