KRITIS – Kritische Infrastrukturen

KRITIS ist die offizielle Abkürzung für Kritische Infrastrukturen und bezeichnet Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der InformationstechnikSicherheit in der Informationstechnik (BSI) definieren gemeinsam 11 KRITIS-Sektoren im Rahmen des KRITIS-Dachgesetzes (2024) und der NIS2-Richtlinie. Der Schutz kritischer Infrastrukturen umfasst physische Sicherheitsmaßnahmen wie Objektschutz für Umspannwerke, Kraftwerke und Versorgungsanlagen sowie organisatorische und technische Maßnahmen zur Gewährleistung der Betriebssicherheit.

Die KRITIS-Sektoren im Überblick

• Energie: Stromversorgung (Kraftwerke, Übertragungsnetze, Umspannwerke), Gasversorgung, Mineralölversorgung. Dieser Sektor bildet das Rückgrat der Versorgungssicherheit und unterliegt den strengsten physischen Schutzanforderungen.
• Trinkwasser: Trinkwasserversorgung, Wasseraufbereitungsanlagen und Verteilnetze zur Sicherstellung der öffentlichen Gesundheit.
• Abwasser: Abwasserentsorgung, Kläranlagen und Kanalisationssysteme zur Aufrechterhaltung hygienischer Standards.
• Ernährung: Lebensmittelproduktion, Lebensmittelhandel, Großmärkte und Versorgungsketten.
• Digitale Infrastruktur: Rechenzentren, Telekommunikationsnetze, Internet-Knotenpunkte, Cloud-Dienste, Satellitenkommunikation und Breitbandnetze.
• Gesundheit: Krankenhäuser, Arzneimittelversorgung, medizinische Labore, Blutbanken und Rettungsdienste.
• Bankwesen: Banken, Zahlungsverkehrssysteme, Bargeldlogistik und Finanzdienstleister.
• Finanzmarkt: Börsen, Wertpapierhandel, Clearing-Häuser und zentrale Zahlungssysteme.
• Transport und Verkehr: Luftfahrt, Seeschifffahrt, Schienenverkehr, Straßenverkehr, Logistikzentren und Verkehrsleitsysteme.
• Öffentliche Verwaltung: Regierung, Parlament, Justiz, Notfall- und Rettungswesen sowie Behörden der inneren Sicherheit.
• Weltraum (Raumfahrt): Bodenstationen, Satelliten-Kontrollzentren, Weltraumbahnhöfe und satellitengestützte Infrastrukturen für Navigation, Kommunikation und Erdbeobachtung.

KRITIS-Dachgesetz und NIS2-Richtlinie

KRITIS-Dachgesetz (2024): Das übergreifende Gesetz harmonisiert alle sektorspezifischen KRITIS-Regelungen und definiert verbindliche Anforderungen an die physische Resilienz kritischer Infrastrukturen. Es verpflichtet Betreiber zu Maßnahmen gegen Sabotage, Naturkatastrophen und physische Angriffe. Federführend: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

NIS2-Richtlinie (EU) 2022/2555: Die EU-Richtlinie zur Netz- und Informationssicherheit verpflichtet deutlich mehr Unternehmen (ab 50 Mitarbeiter oder 10 Mio. € Umsatz, sofern einem NIS2-erfassten Sektor zugeordnet) zu Cybersecurity-Maßnahmen – inklusive physischer Sicherheit nach § 30 BSIG. Federführend: Bundesamt für Sicherheit in der InformationstechnikSicherheit in der Informationstechnik (BSI).

Lieferkettensicherheit: Beide Regelwerke verpflichten KRITIS-Betreiber, die Sicherheit ihrer Zulieferer und Dienstleister zu prüfen. Viele große Unternehmen geben die strengen KRITIS-Anforderungen per Vertrag an ihre Dienstleister weiter. Wer Teil einer kritischen Lieferkette ist, muss faktisch die gleichen Sicherheitsstandards erfüllen wie ein KRITIS-Betreiber – sonst drohen Auftragsverlust und Haftungsrisiken.

Zuständige Behörden

BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe): Federführend für das KRITIS-Dachgesetz, physische Resilienz, Sabotageabwehr, Katastrophenschutz und die Koordination sektorübergreifender Schutzmaßnahmen.

BSI (Bundesamt für Sicherheit in der InformationstechnikSicherheit in der Informationstechnik): Federführend für NIS2, IT-Sicherheit, Cybersecurity und digitale Resilienz kritischer Infrastrukturen. Zuständig für die Überwachung der IT-Sicherheitsanforderungen nach IT-Sicherheitsgesetz.

Rechtliche Grundlagen und Pflichten

KRITIS-Dachgesetz (2024): Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung mehrstufiger physischer Schutzmaßnahmen, zur Erstellung von Resilienzplänen, zu regelmäßigen Gefährdungsanalysen und zur Meldung sicherheitsrelevanter Vorfälle an das BBK.

IT-Sicherheitsgesetz (IT-SiG): Verpflichtet KRITIS-Betreiber zur Einhaltung von Mindeststandards für IT-Sicherheit, zur unverzüglichen Meldung erheblicher IT-Sicherheitsvorfälle an das BSI und zu regelmäßigen Sicherheitsüberprüfungen durch akkreditierte Prüfstellen.

BSI-Gesetz (BSIG): Regelt die Aufgaben des Bundesamts für Sicherheit in der Informationstechnik bei der Überwachung, Beratung und Unterstützung von KRITIS-Betreibern sowie die Durchsetzung von Sicherheitsanforderungen. § 30 BSIG definiert explizit Anforderungen an die physische Sicherheit im Rahmen von NIS2.

BSI-Kritisverordnung (BSI-KritisV): Definiert Schwellenwerte nach Versorgungsgrad und legt präzise fest, welche Anlagen als kritische Infrastrukturen gelten und welche spezifischen Pflichten daraus erwachsen.

NIS2-Umsetzungsgesetz: Nationale Umsetzung der EU-Richtlinie mit erweiterten Anforderungen an Cybersecurity und physische Sicherheit für einen deutlich größeren Kreis betroffener Unternehmen.

KRITIS-Schutzanforderungen in der Praxis

KRITIS-Betreiber müssen integrierte Sicherheitskonzepte implementieren, die physische, digitale und organisatorische Ebenen abdecken:

Physische Sicherheit: Mehrstufige Zugangskontrollen mit biometrischen Systemen, Perimeterschutz durch Hochsicherheitszäune und Sperrbereiche, lückenlose Videoüberwachung neuralgischer Punkte, permanente Objektbewachung durch zertifiziertes Personal sowie redundante Alarmierungssysteme mit definierten Eskalationsketten.

Moderne technologiebasierte Lösungen: Mobile VideoüberwachungssystemeVideoüberwachungssysteme für temporären Schutz bei Baumaßnahmen oder Erweiterungen, autonome Sicherheitsroboter für weitläufige Außengelände und schwer zugängliche Bereiche, KI-gestützte Anomalieerkennung zur frühzeitigen Bedrohungsidentifikation, digitale Zäune (virtuelle Alarmlinien mit KI-Videoanalyse) sowie Drohnendetektionssysteme für Luftraumüberwachung.

IT-Sicherheit: Schutz vor Cyberangriffen durch Firewalls und Intrusion-Detection-Systeme, sichere Netzwerkarchitektur mit Segmentierung kritischer Bereiche, regelmäßige Penetrationstests und Sicherheitsaudits, dokumentierte Incident-Response-Prozesse sowie verschlüsselte Datensicherungskonzepte mit Offsite-Backup.

Organisatorische Maßnahmen: Detaillierte Notfall- und Krisenpläne mit regelmäßigen Übungen, redundante Systeme und Ausfallszenarien, verpflichtende Sicherheitsschulungen für alle Mitarbeiter, lückenlose Dokumentation sicherheitsrelevanter Vorgänge, Integration mit Business Continuity Management sowie regelmäßige Bedrohungsanalysen und Risikobewertungen.

Bedrohungsszenarien für KRITIS-Einrichtungen

Kritische Infrastrukturen sind spezifischen, teilweise hochprofessionellen Bedrohungen ausgesetzt:

Sabotage und Terrorismus: Gezielte Anschläge auf Versorgungseinrichtungen, Sabotage von Umspannwerken und Leitungsinfrastruktur, Drohnenangriffe auf sensible Anlagen mit Sprengstoff oder Störsendern.

Cyberangriffe: Ransomware-Attacken auf Steuerungssysteme (SCADA), APT-Angriffe (Advanced Persistent Threats) durch staatliche Akteure, DDoS-Attacken auf kritische Dienste sowie Manipulation von Prozessleitsystemen.

Vandalismus und organisierter Diebstahl: Beschädigung von Kabelschächten und Leitungen, Diebstahl von Kupferkabeln und hochwertiger technischer Ausrüstung, mutwillige Zerstörung durch Eindringlinge.

Naturkatastrophen und Extremwetter: Hochwasser, Stürme, Extremwetterereignisse, Erdbeben mit unmittelbaren Auswirkungen auf Betriebssicherheit und Versorgungskontinuität.

Abgrenzung zu verwandten Begriffen

KRITIS vs. Objektschutz: Während Objektschutz allgemein die Bewachung von Gebäuden und Anlagen bezeichnet, bezieht sich KRITIS-Schutz spezifisch auf Einrichtungen mit gesamtgesellschaftlicher Bedeutung und unterliegt strengeren gesetzlichen Anforderungen, Meldepflichten und Zertifizierungsvorgaben nach KRITIS-Dachgesetz und NIS2.

KRITIS vs. Werkschutz: Werkschutz dient primär dem Schutz von Unternehmensanlagen und Betriebseigentum, während KRITIS-Schutz zusätzlich die öffentliche Versorgungssicherheit und staatliche Funktionsfähigkeit gewährleistet.

KRITIS vs. Perimeterschutz: Perimeterschutz ist eine technische Sicherheitsmaßnahme zur Außenabsicherung, die bei KRITIS-Einrichtungen zum Einsatz kommt, aber nur einen Teilaspekt des mehrschichtigen Gesamtschutzkonzepts darstellt.

KRITIS-Dachgesetz vs. NIS2: Das KRITIS-Dachgesetz fokussiert auf physische Resilienz (Sabotageabwehr, Perimeterschutz, Objektsicherung) und richtet sich an große Betreiber kritischer Infrastrukturen. Die NIS2-Richtlinie fokussiert auf Cybersecurity, erfasst aber einen deutlich größeren Kreis von Unternehmen (ab 50 Mitarbeiter) und verlangt explizit auch physische Sicherheitsmaßnahmen nach § 30 BSIG. Große KRITIS-Betreiber unterliegen beiden Regelwerken.

Standards, Zertifizierungen und wirtschaftliche Bedeutung

Relevante Zertifizierungen: ISO/IEC 27001 (Informationssicherheits-Managementsystem), DIN 77200 (Sicherungsdienstleistungen), ISO 22301 (Business Continuity Management), VdS-Richtlinien für physische Sicherheit, BSI-Grundschutz sowie branchenspezifische Standards für Energie, Wasser, Gesundheit und weitere KRITIS-Bereiche.

Wirtschaftliche Dimension: Der Ausfall kritischer Infrastrukturen kann innerhalb weniger Stunden volkswirtschaftliche Schäden in Milliardenhöhe verursachen: Produktionsausfälle in der Industrie, Unterbrechung von Lieferketten und Logistikprozessen, massive Kosten für Wiederherstellung sowie langfristige Reputationsschäden. Präventive Sicherheitsmaßnahmen sind daher nicht nur gesetzlich vorgeschrieben, sondern wirtschaftlich zwingend notwendig.

Professioneller KRITIS-Schutz durch spezialisierte Dienstleister

Die Umsetzung von KRITIS-Sicherheitskonzepten erfordert spezialisierte Sicherheitsdienstleister mit spezifischen Qualifikationen:

Personalanforderungen: Zuverlässigkeitsüberprüfung nach Luftsicherheitsgesetz oder Atomgesetz, KRITIS-spezifische Fachschulungen zu Bedrohungsszenarien und Eskalationsverfahren, technisches Anlagenverständnis für komplexe Infrastrukturen sowie Kenntnisse über branchenspezifische Gefährdungen und regulatorische Anforderungen (KRITIS-Dachgesetz, NIS2).

Typische Sicherheitsmaßnahmen: Permanente Objektbewachung mit mehrfach besetzten Schichten, strikte Zugangs- und Zutrittskontrollen mit Vier-Augen-Prinzip, Perimeterschutz mit intelligenter Videoüberwachung und Bewegungssensoren, digitale Zäune mit KI-gestützter Echtzeit-Detektion, Alarmverfolgung mit klar definierten Interventionswegen, regelmäßige mobile Kontrollfahrten im Außenbereich, autonome Überwachungssysteme (Sicherheitsroboter, Drohnen) sowie lückenlose Dokumentation aller sicherheitsrelevanten Ereignisse in Echtzeit.

Sektorspezifische Besonderheiten: Energieversorgungsanlagen benötigen mehrstufige Sicherheitskonzepte mit äußerem Schutzring (Umzäunung, Beleuchtung, Detektionssysteme), Objektschutz durch DIN 77200-zertifiziertes und ISO 27001-konformes Personal mit erweiterten Befugnissen sowie umfassendes Notfallmanagement mit direkter Anbindung an Leitstellen und Behörden (BBK, BSI).

Weiterführende Themen und Leistungen

Vertiefende Informationen zu verwandten Sicherheitsaspekten:

• KRITIS-Schutz: Umfassende Sicherheitskonzepte für kritische Infrastrukturen nach KRITIS-Dachgesetz und NIS2
• Perimeterschutz: Außengelände-Sicherung mit mobiler Videoüberwachung, digitalen Zäunen und autonomen Überwachungssystemen
• Zuverlässigkeitsüberprüfung (ZÜP): Rechtliche Grundlagen und Verfahren für KRITIS-Sicherheitspersonal
• IT-Sicherheitsgesetz & NIS2: Detaillierte Anforderungen und Umsetzungspflichten für Betreiber
• Objektschutz: Umfassende Sicherungskonzepte für gewerbliche und öffentliche Liegenschaften

Der Schutz kritischer Infrastrukturen (KRITIS) erfordert spezialisierte Sicherheitsdienstleister mit branchenspezifischer Expertise, technologischer Kompetenz (KI-Videoanalyse, autonome Systeme, digitale Zäune), zertifiziertem Personal (DIN 77200, ISO 27001) und umfassender Kenntnis der regulatorischen Anforderungen (KRITIS-Dachgesetz, NIS2, BSI-KritisV) zur Gewährleistung der Versorgungssicherheit und Funktionsfähigkeit des Gemeinwesens.