Der Begriff „KRITIS“ aka „kritische Infrastrukturen“ taucht oftmals im Kontext von Datenschutz und Informationssicherheit auf und sorgt dabei häufig für Verwirrung. Die aktuelle Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) beschäftigt sich mit genau diesem Thema und beleuchtet einige grundlegende, aber auch spezifischere Aspekte, rund um das Thema KRITIS. In dem Artikel „Prüfgrundlagen nach §8a“ […]
KRITIS
Was ist eigentlich KRITIS und welche Verpflichtungen gehen damit einher?
Kritischer Infrastrukturen (KRITIS) sind genauso attraktive Angriffsziele für Cyber-Attacken wie jedes andere Unternehmen, nur haben sie einen besonders hohen Einfluss auf die Versorgungssicherheit der Bevölkerung. Gerade deshalb existieren für KRITIS-Betreiber in Deutschland mit dem BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik), der BSI-Kritisverordnung und dem IT-Sicherheitsgesetz gesetzliche Vorgaben, um die Informationssicherheit in diesem Umfeld zu […]
Aus Schaden wird man klug – Warum KRITIS wichtig ist
Täglich werden wir in der Tagespresse mit Berichten über Terroranschläge, Hackerangriffen oder schwerwiegenden Unglücken konfrontiert, die nicht selten zum Ziel haben, die Gesellschaft zu destabilisieren. Nach einem solchen Unglücksfall stellt sich nicht nur die Frage nach der Aufklärung, sondern auch der Prävention. Um das gesellschaftliche Zusammenleben nicht von einem einzelnen Unglücksereignis gefährden zu lassen, wurde […]
Änderung der BSI-Kritisverordnung
Die BSI-Kritisverordnung definiert über sog. Schwellenwerte, ab wann Anlagen und Einrichtungen verschiedener Sektoren als Kritische Infrastrukturen, kurz KRITIS, gelten. Um diese zu schützen, verpflichtet das BSI die KRITIS-Betreiber verschiedene Sicherheitsmaßnahmen zu implementieren. Dazu zählen z. B. die Benennung einer Kontaktstelle für IT-Störungen und Sicherheitsvorfälle und das Melden ebendieser. Es wird ein Zuwachs von 252 Betreibern […]
Optimierung der Informationssicherheit im Krankenhaus – Ein Überblick
Das Thema Digitalisierung und Informationssicherheit wird in Krankenhäusern dieser Tage großgeschrieben. Denn es gibt ein vom Gesetzgeber vorgegebenes Datum, den 1. Januar 2022, zu dem Informationssicherheits-Anforderungen umzusetzen sind. Vor dem Hintergrund der derzeitig erschwerten Bedingungen und personellen Belastungen, auch hervorgerufen durch Corona, müssen nun finanzielle Mittel des Krankenhauszukunftsgesetzes sinnvoll für die eigene Infrastruktur eingesetzt werden. […]
KRITIS-Sektor „Wasser“ – eine unterschätzte Bedrohung
Vor einigen Wochen machten Schlagzeilen die Runde, dass in Florida (USA) ein Hackerangriff auf die Wasserversorgung in letzter Sekunde vereitelt wurde. Der Angreifer hatte versucht die Konzentration eines säureregulierenden Stoffes zu manipulieren und auf mehr als ein hundertfaches zu erhöhen, was gesundheitliche Schäden der Bevölkerung verursacht hätte. Glücklicherweise hatte ein Mitarbeiter des Wasserwerks den Angriff […]
Kritische Infrastrukturen im IT-Sicherheitsgesetz 2.0
Kritische Infrastrukturen – Was kommt auf uns zu? Vor Kurzem haben wir über den Referentenentwurf des geplanten „IT-Sicherheitsgesetzes 2.0“ berichtet, der vom Innenministerium in die Ressortabstimmung eingebracht wurde. Wichtige Neuerungen darin sind: die Aufnahme des Bereichs „Entsorgung“ in die Liste der Branchen, die Kritische Infrastrukturen (KRITIS) betreiben, die Einführung der Kategorie „Infrastruktur von besonderem öffentlichem […]
IT-Sicherheitsgesetz 2.0 – Massive Ausweitung
Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Neue KRITIS-Sektoren und Bereiche Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen. Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung […]
IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG – Betreiber von Energieanlagen
Der „neue“ IT-Sicherheitskatalog ist da. Am 18. Dezember 2018 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG‘) für Betreiber von Energieanlagen, den sogenannten Sicherheitskatalog 2. Zum Hintergrund: Bereits 2016 wurden mit dem IT-Sicherheitskatalog 1 (gem. §11 Abs. 1a EnWG) und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht, […]
IT-Sicherheitskatalog 2 – Betreiber von Energieanlagen
Getreu dem Motto „Nach dem IT-Sicherheitskatalog ist vor dem IT-Sicherheitskatalog“ wird derzeit nach dem Katalog für Netzbetreiber nun ein zweiter IT-Sicherheitskatalog für Betreiber von Energieanlagen vorbereitet. Doch der Reihe nach: 2016 wurden mit dem IT-Sicherheitskatalog 1 und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht. Der IT-Sicherheitskatalog 1 heißt eigentlich „IT-Sicherheitskatalog gem. […]
Der IT-Sicherheitskatalog für Energieanlagen kommt … bald
Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden. Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung […]
IT-Sicherheit macht fit
Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte. Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der […]
Umsetzungsgesetz zur europäischen NIS-Richtlinie tritt in Kraft
Am 29.06.2016 wurde die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verabschiedet. Bei der Richtlinie handelt es sich im Wesentlichen um ein europäisches Pendant zum deutschen IT-Sicherheitsgesetz. Da es sich um eine EU-Richtlinie handelt, muss diese Richtlinie noch in nationales Recht umgesetzt werden. Das Umsetzungsgesetz zur EU-NIS-Richtlinie wurde am 23.06.2017 vom Bundestag […]
IT-Sicherheitsgesetz ist nun vollständig
Am 31.05.2017 gab das Bundesministerium des Inneren (BMI) bekannt , dass das Kabinett die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ zur Vervollständigung des IT-Sicherheitsgesetzes (IT-SiG) beschlossen hat. Diese enthält neben einigen „Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen“ diejenigen Kriterien, anhand derer Unternehmen, die den Sektoren aus dem „2. Korb“ der KRITIS-Unternehmen angehören, feststellen […]
Die Prüfer
In den beiden letzten Beiträgen (hier und hier) über Kritische Infrastrukturen haben wir beleuchtet, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis zum 03.05.2018 „[…] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit (BSI) in der Informationstechnik nachzuweisen. […]
1 2