Ob Produzenten von Lebensmitteln zur kritischen Infrastruktur zählen, hängt von der Menge ab. Aktuell gilt der Schwellenwert von 434.500 Tonnen pro Jahr.
Foto: industrieblick - Fotolia
Ob Produzenten von Lebensmitteln zur kritischen Infrastruktur zählen, hängt von der Menge ab. Aktuell gilt der Schwellenwert von 434.500 Tonnen pro Jahr.

IT-Sicherheit

Sind wir Kritis?

Viele Firmen wissen nicht, dass der Gesetzgeber sie sie zur kritischen Infrastruktur zählt und ihnen  erhebliche Verpflichtungen auferlegt. 

Etliche IT-Sicherheitsexperten auf dem Kongress "IT Defense 2022" der Cirosec AG waren dann doch überrascht. Der Experte Dr. Christoph Wegener machte sie darauf aufmerksam, dass auch ihre Firma vom Gesetzgeber als "kritische Infrastruktur" angesehen werden kann, wenn bestimmte Voraussetzungen erfüllt sind. Die betroffenen Firmen müssen seit 2015 besonders hohen Anforderungen genügen, da sie für die Grundversorgung der Bevölkerung als unverzichtbar gelten. Insbesondere haben sie ihre IT-Sicherheitsstandards dem BSI nachzuweisen. Dass Gas- und Stromlieferanten zu dieser Gruppe zählen, leuchtet unmittelbar ein. Aber auch wer zu viele Brote verkauft oder zu viele Ascheneimer leert  zählt auch zu dieser Gruppe. Alles gute Gründe, sich die im Internet veröffentlichten Verordnungen und Empfehlungen des BSI einmal näher anzuschauen.

Zentrale Rolle des BSI bei Kritis-Gesetzgebung

Die Kritis-Gesetze sind noch nicht bei jedem und überall wirklich angekommen. Doch sie haben inzwischen eine lange Geschichte. Die USA begannen ab 1996 über ihre kritische Infrastruktur nachzudenken. Mit einer Behörde. Deutschland begnügte sich mit einem kleinen Arbeitsstab. Doch 2015 wurde das erste IT-Sicherheitsgesetz verabschiedet (ITSiG), 2021 das zweite (ITSiG-2.0) 2016/2017 und 2022 folgten die BSI-Kritisverordnungen. Das Bundesamt für Sicherheit in der Informationstechnik nimmt eine zentrale Stellung in dem Gesetzgebungswerk ein, denn die Betroffenen sind dem BSI gegenüber zum Nachweis der korrekten Umsetzung verpflichtet.  Betroffen sind Unternehmen aus den Bereichen Energieversorgung, Transport und Verkehr, Telekommunikation, Informationstechnik, Gesundheit, Wasser und Ernährung. Alles Bereiche, die spontan einleuchten. Dass allerdings auch das Finanz- und Versicherungswesen sowie die Siedlungsabfallentsorgung unter das Gesetz fallen, mag überraschen. Ebenso die Tatsache, dass ausgerechnet Polizei und Militär nicht zur kritischen Infrastruktur zählen, dafür aber Online-Suchmaschinen. 

Als Artikelgesetz ändern die Kritis-Gesetze zahlreiche andere Gesetze, haben also weitreichende Folgen. Aber nicht alle Unternehmen aus den genannten Bereichen unterliegen den Kritis-Anforderungen, sondern nur diejenigen mit einer herausragenden Bedeutung. Wer diese systemrelevanten Anbieter sind, steht aber nicht im Gesetz, sondern wird über gesonderte Verordnungen bestimmt. Hier werden Schwellenwerte definiert. Wer sie überschreitet, muss ab dem 1. April des Folgejahres, nachdem er die Schwelle überschreitet, den Vorgaben des Gesetzes folgen. Nicht alle diese Verordnungen sind bereits fertig. Wie viele Mülleimer man leeren muss, um den ITSiG-Gesetzen zu unterliegen, weiß zur Zeit niemand.  „Für die Siedlungsabfallentsorgung gibt es aktuell noch keine Schwellenwerte. Die dafür notwendigen Regelungen werden gerade in den entsprechenden Gremien erarbeitet." erläutert Dr. Christoph Wegener. Bei Lebensmitteln ist man schon weiter. „Für die Produktion von Lebensmitteln (außer von Getränken) gilt der Schwellenwert von aktuell 434 500 Tonnen pro Jahr", so Dr. Christoph Wegener. Der Bäcker um die Ecke ist also nicht Kritis. Getränkehersteller gehören ab 350 Millionen Litern zur kritischen Infrastruktur. Wer als Versicherer mehr als  500.000 Schadensfälle pro Jahr bearbeitet gehört aber zum Kreis der wichtigen Unternehmen, denen das BSI auf die Finger schaut.

Kriterien für die Einordnung als kritische Infrastruktur

Auf seiner Internetseite hat das BSI die aktuellen Werte aufgelistet. Grundlage für die Schwellenwerte ist die Bedeutung und der durchschnittliche Bedarf. Die beratenden Gremien legen dies fest. Für die Stromversorgung gelten 500.000 Nutzer als Schwelle. Bei einem Durchschnittsverbrauch von 1 815 kWh pro versorgter Person in Deutschland ergeben sich  3 700 GWh Jahr (entspricht 3,7 TWh)  als Schwellenwert für systemrelevante Stromverteilnetze. Wer darüber liegt, ist kritische Infrastruktur.

Doch es gibt Ausnahmen. Es gilt der Schwellenwert Null, wenn eine Anlage Schwarzstartfähigkeit besitzt. Dies sind Anlagen, die nach einem Stromausfall in der Lage sind, das Versorgungsnetz langsam wieder in den Normalbetrieb zu versetzen. Diese Anlagen benötigen kein bereits existierendes Stromnetz, um einspeisen zu können. Auch zählt zur kritischen Infrastruktur, wer mehr 4,4 Millionen Tonnen Rohöl pro Jahr transportiert oder 620.000 Tonnen Heizöl beziehungsweise 420.000 Tonnen Kraftstoff für PKW und LKW umschlägt. Gleiches gilt für Anbieter von Fernwärme, die 250.000 Haushalte mit Wärme versorgen oder die ein Heizkraftwerk mit mehr als 2.300 GWh ausgeleiteter Wärmeenergie pro Jahr betreibt.

Vor allem im Bereich des Internets dürften Betreiber von IP-Übertragungsnetzen und Rechenzentren  nicht unbedingt erwarten, zur Kritis zu zählen. Das tun sie aber, wie ein Blick in die Dokumentation des BSI belegt.  DNS-Resolver unterliegen ab 100.000 Vertragspartnern dem Regelwerk, Top-Level-Domain-Name-Registry und Autoritativer DNS-Server ab jeweils 250.000 Domains.

Kritis-Verordnung 2.0: Was ändert sich für Betreiber?

Nach dem Erlass des IT-Sicherheitsgesetzes 2.0 im Mai 2021 gelten seit dem 1. Januar 2022 nun auch für die Betreiber Kritischer Infrastrukturen (Kritis) neue Bestimmungen.
Artikel lesen

Kritis-Gesetz verpflichtet zur Beauftragung externer Gutachter

Wer betroffen ist, oder glaubt er könnte es sein, dem bleibt der Blick ins Gesetz und vor allem die für ihn geltenden Schwellenwerte nicht erspart. Das BSI hat sie im Internet veröffentlicht. Es handelt sich um einen komplexen, mit zahlreichen Einschränkungen und Spezialregelungen versehenen Text verfasst in bestem Beamtendeutsch. Ob wirklich alle Unternehmen ohne externe Expertise dieses Regelwerk durchschauen, bleibt abzuwarten. Was die betroffenen Firmen zu leisten haben, hat die Behörde in einer 41 Seiten langen Tabelle zusammengefasst. Sie steht unter „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" im Internet. Untertitel: Hinweise zur Umsetzung der Kriterien des § 8a Absatz 1 BSIG für die Beurteilung.

Wie die Betroffenen auf das Gesetzeswerk reagieren wird die Zukunft zeigen. Vor allem Betriebe, die gerade unter oder über den Schwellenwerten stehen, könnten auf den Gedanken kommen, ihre Kundenkontakte einzuschränken, um dem beträchtlichen Aufwand zu entgehen. Wer den Schwellenwert überschreitet, unterliegt ab dem 1. April des Folgejahres den Regeln der  Kritis-Gesetze. Das Unternehmen muss externe Gutachter beauftragen, die als „prüfende Stelle" fungieren. In regelmäßigen Abständen hat ein Prüfteam das Unternehmen auf IT-Schwachstellen zu durchleuchten. Das BSI erwartet alle 2 Jahre die entsprechenden Nachweise sowie eine kompetente Kontaktstelle, die dem BSI gegenüber auskunftsfähig ist.  Hinzu kommen jährliche Penetrationstests sowie Auskünfte über sicherheitsrelevante Betriebsstörungen, Produktionsausfälle etc.

Seit der Novelle von 2021 gelten verschärfte Bußgeldandrohungen. Wer Mängel nicht beseitigt, zahlt bis zu zwei Millionen Euro. Eine weitere Neuerung betrifft all jene, die von Kritis bislang nicht betroffen waren. Wer Waffen und Munition herstellt oder bedeutende Mengen Giftstoffe entsorgt oder generell für das Gemeinwesen aufgrund der hohen inländischen Wertschöpfung wichtig ist, gilt jetzt als „UBI", als  „Unternehmen im besonderen öffentlichen Interesse". Umgangssprachlich auch Kritis-light genannt. Diese Unternehmen müssen sich selbst dem BSI gegenüber erklären und für sie gelten abgemilderte Vorschriften zum Schutz ihrer IT-Infrastruktur. Aktuell fehlen für die meisten Bereiche noch die nötigen Rechtsverordnungen. Erst danach können die betreffenden Unternehmen richtig mit der Arbeit beginnen. Rüstungsfirmen sollten schon jetzt beginnen, denn hier liegen die Verordnungen bereits vor. Ab dem 1.Mai 2023 müssen sie den Anforderungen genügen. Wo die Industrie so schnell all die hochqualifizierten Experten hernehmen soll, die nun nötig sind, darüber schweigt das Gesetz und auch Dr. Wegener wusste bei seinem Vortrag keine Antwort darauf.  

Bernd Schöne, freier Mitarbeiter PROTECTOR

Im Showroom von Advancis wurden Leitstellen-Betreibern die Integrations-Möglichkeiten verschiedener sicherheitstechnischer Gewerke über die Advancis-Software Winguard vermittelt.
Foto: Andreas Albrecht

Veranstaltungen

Kritis-Tag: Hilfreiche Antworten auf drängende Fragen

Der „Kritis-Tag“, zu dem Advancis und Schneider Intercom am 1. März 2023 nach Langen eingeladen haben, stieß auf große Resonanz bei Betreibern und Errichtern.

Auf der abschließenden Podiumsdiskussion standen alle Vortragenden für Fragen aus dem Publikum zur Verfügung.
Foto: Andreas Albrecht

Veranstaltungen

Tag der offenen Lösungen für mehr Sicherheit

Nach der Premiere des „Opening Solutions Day“ von Assa Abloy Austria im letzten Jahr war auch der zweite Event Anfang Mai 2023 in Wien wieder ein voller Erfolg.

Kritis-Tage 2024: Vier Termine an vier verschiedenen Orten in Deutschland, Österreich und Schweiz.
Foto: Dallmeier electronic

Veranstaltungen

Kritis-Tage 2024: Recht und Technik für Sicherheit von Kritis

Auf den Kritis-Tagen 2024 erfahren Teilnehmende, welche rechtlichen Entwicklungen bald für wen verpflichtend sein werden. Was müssen Betroffene künftig leisten können?

Die Stadtverwaltung von Chemnitz setzt auf die Open Source-Softwrae von Cape IT. Professioneller Support ist hier integraler Bestandteil des Geschäftsmodells.
Foto: animaflora, Adobe Stock

IT-Sicherheit

Open Source: Sieben Vor(ur)teile unter der Lupe

Open Source-Software ist nutzerfreundlich. Aber ist sie auch sicher? Spätestens seit Entdeckung der Sicherheitslücke Log4shell gibt es erhebliche Zweifel.