KRITIS ist die offizielle Abkürzung für Kritische Infrastrukturen und bezeichnet Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Das Bundesamt für Sicherheit in der InformationstechnikSicherheit in der Informationstechnik (BSI) definiert neun KRITIS-Sektoren und legt verbindliche Schutzstandards fest. Der Schutz kritischer Infrastrukturen umfasst physische Sicherheitsmaßnahmen wie Objektschutz für Umspannwerke, Kraftwerke und Versorgungsanlagen sowie organisatorische und technische Maßnahmen zur Gewährleistung der Betriebssicherheit.
Die 9 KRITIS-Sektoren im Überblick
Energie: Stromversorgung (Kraftwerke, Übertragungsnetze, Umspannwerke), Gasversorgung, Mineralölversorgung. Dieser Sektor bildet das Rückgrat der Versorgungssicherheit und unterliegt den strengsten physischen Schutzanforderungen.
Wasser: Trinkwasserversorgung, Abwasserentsorgung und Wasseraufbereitungsanlagen zur Sicherstellung der öffentlichen Gesundheit.
Ernährung: Lebensmittelproduktion, Lebensmittelhandel, Großmärkte und Versorgungsketten.
Informationstechnik und Telekommunikation: Rechenzentren, Telekommunikationsnetze, Internet-Knotenpunkte und Satellitenkommunikation.
Gesundheit: Krankenhäuser, Arzneimittelversorgung, medizinische Labore, Blutbanken und Rettungsdienste.
Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Zahlungsverkehrssysteme und Bargeldlogistik.
Transport und Verkehr: Luftfahrt, Seeschifffahrt, Schienenverkehr, Straßenverkehr, Logistikzentren und Verkehrsleitsysteme.
Medien und Kultur: Rundfunk, Fernsehen, Pressewesen und öffentliche Informationssysteme.
Staat und Verwaltung: Regierung, Parlament, Justiz, Notfall- und Rettungswesen sowie Behörden der inneren Sicherheit.
Rechtliche Grundlagen und Pflichten
IT-Sicherheitsgesetz (IT-SiG): Verpflichtet KRITIS-Betreiber zur Einhaltung von Mindeststandards für IT-Sicherheit, zur unverzüglichen Meldung erheblicher IT-Sicherheitsvorfälle an das BSI und zu regelmäßigen Sicherheitsüberprüfungen durch akkreditierte Prüfstellen.
BSI-Gesetz (BSIG): Regelt die Aufgaben des Bundesamts für Sicherheit in der Informationstechnik bei der Überwachung, Beratung und Unterstützung von KRITIS-Betreibern sowie die Durchsetzung von Sicherheitsanforderungen.
BSI-Kritisverordnung (BSI-KritisV): Definiert Schwellenwerte nach Versorgungsgrad und legt präzise fest, welche Anlagen als kritische Infrastrukturen gelten und welche spezifischen Pflichten daraus erwachsen.
KRITIS-Dachgesetz: Ein übergreifendes Gesetz zur Harmonisierung aller sektorspezifischen KRITIS-Regelungen befindet sich derzeit in der politischen Abstimmung.
KRITIS-Schutzanforderungen in der Praxis
KRITIS-Betreiber müssen integrierte Sicherheitskonzepte implementieren, die physische, digitale und organisatorische Ebenen abdecken:
Physische Sicherheit: Mehrstufige Zugangskontrollen mit biometrischen Systemen, Perimeterschutz durch Hochsicherheitszäune und Sperrbereiche, lückenlose Videoüberwachung neuralgischer Punkte, permanente Objektbewachung durch zertifiziertes Personal sowie redundante Alarmierungssysteme mit definierten Eskalationsketten.
Moderne technologiebasierte Lösungen: Mobile VideoüberwachungssystemeVideoüberwachungssysteme für temporären Schutz bei Baumaßnahmen oder Erweiterungen, autonome Sicherheitsroboter für weitläufige Außengelände und schwer zugängliche Bereiche, KI-gestützte Anomalieerkennung zur frühzeitigen Bedrohungsidentifikation sowie Drohnendetektionssysteme für Luftraumüberwachung.
IT-Sicherheit: Schutz vor Cyberangriffen durch Firewalls und Intrusion-Detection-Systeme, sichere Netzwerkarchitektur mit Segmentierung kritischer Bereiche, regelmäßige Penetrationstests und Sicherheitsaudits, dokumentierte Incident-Response-Prozesse sowie verschlüsselte Datensicherungskonzepte mit Offsite-Backup.
Organisatorische Maßnahmen: Detaillierte Notfall- und Krisenpläne mit regelmäßigen Übungen, redundante Systeme und Ausfallszenarien, verpflichtende Sicherheitsschulungen für alle Mitarbeiter, lückenlose Dokumentation sicherheitsrelevanter Vorgänge sowie regelmäßige Bedrohungsanalysen und Risikobewertungen.
Bedrohungsszenarien für KRITIS-Einrichtungen
Kritische Infrastrukturen sind spezifischen, teilweise hochprofessionellen Bedrohungen ausgesetzt:
Sabotage und Terrorismus: Gezielte Anschläge auf Versorgungseinrichtungen, Sabotage von Umspannwerken und Leitungsinfrastruktur, Drohnenangriffe auf sensible Anlagen mit Sprengstoff oder Störsendern.
Cyberangriffe: Ransomware-Attacken auf Steuerungssysteme (SCADA), APT-Angriffe (Advanced Persistent Threats) durch staatliche Akteure, DDoS-Attacken auf kritische Dienste sowie Manipulation von Prozessleitsystemen.
Vandalismus und organisierter Diebstahl: Beschädigung von Kabelschächten und Leitungen, Diebstahl von Kupferkabeln und hochwertiger technischer Ausrüstung, mutwillige Zerstörung durch Eindringlinge.
Naturkatastrophen und Extremwetter: Hochwasser, Stürme, Extremwetterereignisse, Erdbeben mit unmittelbaren Auswirkungen auf Betriebssicherheit und Versorgungskontinuität.
Abgrenzung zu verwandten Begriffen
KRITIS vs. Objektschutz: Während Objektschutz allgemein die Bewachung von Gebäuden und Anlagen bezeichnet, bezieht sich KRITIS-Schutz spezifisch auf Einrichtungen mit gesamtgesellschaftlicher Bedeutung und unterliegt strengeren gesetzlichen Anforderungen, Meldepflichten und Zertifizierungsvorgaben.
KRITIS vs. Werkschutz: Werkschutz dient primär dem Schutz von Unternehmensanlagen und Betriebseigentum, während KRITIS-Schutz zusätzlich die öffentliche Versorgungssicherheit und staatliche Funktionsfähigkeit gewährleistet.
KRITIS vs. Perimeterschutz: Perimeterschutz ist eine technische Sicherheitsmaßnahme zur Außenabsicherung, die bei KRITIS-Einrichtungen zum Einsatz kommt, aber nur einen Teilaspekt des mehrschichtigen Gesamtschutzkonzepts darstellt.
Standards, Zertifizierungen und wirtschaftliche Bedeutung
Relevante Zertifizierungen: ISO/IEC 27001 (Informationssicherheits-Managementsystem), ISO 22301 (Business Continuity Management), VdS-Richtlinien für physische Sicherheit, BSI-Grundschutz sowie branchenspezifische Standards für Energie, Wasser, Gesundheit und weitere KRITIS-Bereiche.
Wirtschaftliche Dimension: Der Ausfall kritischer Infrastrukturen kann innerhalb weniger Stunden volkswirtschaftliche Schäden in Milliardenhöhe verursachen: Produktionsausfälle in der Industrie, Unterbrechung von Lieferketten und Logistikprozessen, massive Kosten für Wiederherstellung sowie langfristige Reputationsschäden. Präventive Sicherheitsmaßnahmen sind daher nicht nur gesetzlich vorgeschrieben, sondern wirtschaftlich zwingend notwendig.
Professioneller KRITIS-Schutz durch spezialisierte Dienstleister
Die Umsetzung von KRITIS-Sicherheitskonzepten erfordert spezialisierte Sicherheitsdienstleister mit spezifischen Qualifikationen:
Personalanforderungen: Zuverlässigkeitsüberprüfung nach Luftsicherheitsgesetz oder Atomgesetz, KRITIS-spezifische Fachschulungen zu Bedrohungsszenarien und Eskalationsverfahren, technisches Anlagenverständnis für komplexe Infrastrukturen sowie Kenntnisse über branchenspezifische Gefährdungen.
Typische Sicherheitsmaßnahmen: Permanente Objektbewachung mit mehrfach besetzten Schichten, strikte Zugangs- und Zutrittskontrollen mit Vier-Augen-Prinzip, Perimeterschutz mit intelligenter Videoüberwachung und Bewegungssensoren, Alarmverfolgung mit klar definierten Interventionswegen, regelmäßige mobile Kontrollfahrten im Außenbereich sowie lückenlose Dokumentation aller sicherheitsrelevanten Ereignisse in Echtzeit.
Sektorspezifische Besonderheiten: Energieversorgungsanlagen benötigen mehrstufige Sicherheitskonzepte mit äußerem Schutzring (Umzäunung, Beleuchtung, Detektionssysteme), Objektschutz durch DIN 77200-zertifiziertes Personal mit erweiterten Befugnissen sowie umfassendes Notfallmanagement mit direkter Anbindung an Leitstellen und Behörden.
Weiterführende Themen und Leistungen
Vertiefende Informationen zu verwandten Sicherheitsaspekten:
- Perimeterschutz: Außengelände-Sicherung mit mobiler Videoüberwachung und autonomen Überwachungssystemen
- Zuverlässigkeitsüberprüfung (ZÜP): Rechtliche Grundlagen und Verfahren für KRITIS-Sicherheitspersonal
- IT-Sicherheitsgesetz: Detaillierte Anforderungen und Umsetzungspflichten für Betreiber
- Objektschutz: Umfassende Sicherungskonzepte für gewerbliche und öffentliche Liegenschaften
Der Schutz kritischer Infrastrukturen (KRITIS) erfordert spezialisierte Sicherheitsdienstleister mit branchenspezifischer Expertise, technologischer Kompetenz und zertifiziertem Personal zur Gewährleistung der Versorgungssicherheit und Funktionsfähigkeit des Gemeinwesens.