KRITIS

ist die Abkürzung für kritische Infrastrukturen.

Unsere moderne Gesellschaft ist heute mehr als jemals zuvor von technischen Systemen abhängig. Ohne Strom wäre eine industrielle Produktion nicht mehr denkbar, ohne die stetige Versorgung mit Trinkwasser das Leben kaum vorstellbar und ohne funktionierende Informations- und Kommunikationstechnik kein Bankgeschäft machbar. Nahezu jeder Bereich unseres täglichen Lebens wird durch moderne Technik unterstützt. Alle diese technischen Systeme und Einrichtungen benötigen wiederum bestimmte Basisdienste, um ordnungsgemäß zu funktionieren. Unsere Kraftfahrzeuge und Heizanlagen brauchen Treib- und Brennstoff, Gebäude eine zuverlässige Energie- und Wasserversorgung und ohne Transportwesen kommen Waren und Dienstleistungen weder zur Fertigung noch zum Absatzmarkt. Diese für unsere Gesellschaft so bedeutsamen Basisdienste werden als Kritische Infrastrukturen (KRITIS) bezeichnet, wenn sie ab einer gewissen Größe eine bestimmte Bedeutung für die Versorgung der Bevölkerung erlangt haben.

Anbieter von Diensten der Daseinsversorgung einer definierten Größenordnung unterliegen der KRITIS*) Einordnung aus dem BSI-Gesetz vom 14.08.2009 respektive der Rechtsverordnung BSI-KritisV. Dazu kommen Krankenhäuser und Kliniken ab einer bestimmte Fallzahl als Anbieter der Gesundheitsversorgung sowie Unternehmen der Kommunikationstechnik u.a. für den täglichen Lebensbedarf erforderliche Versorger. Das bedeutet, die staatlichen und privaten Funktionen der Daseinsversorgung sind unmittelbar betroffen. Das sind im wesentlichen**)

• Energie: Elektrizität, Gas, Mineralöl
• Informationstechnik und Telekommunikation
• Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
• Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
• Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
• Ernährung: Ernährungswirtschaft, Lebensmittelhandel
• Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
• Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
• Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke

Aufgrund der fortschreitenden und intensiven Nutzung von Informationstechnologie in den kritischen Infrastrukturen wendet sich das Interesse von Angriffen auch und besonders den kritischen Informationsinfrastrukturen zu.

Die Absicherungen zur Unternehmensweiterführung bei Störungen oder willentlich herbeigeführten Betriebsunterbrechungen sind im Regelfall nicht ausreichend und würden in wenigen Tagen in der Bevölkerung Unruhe auslösen oder in speziellen Fällen durch Unterversorgung Bevölkerungsteile in Geiselhaft nehmen.

Um dem vorzubeugen, müssen Versorgungsanbieter jeder Form bis spätestens 31.01.2018 nach dem BSI Informationssicherheitskatalog (IT-SiKat) gemäß § 11 (1a) EnWG zertifiziert sein und nachweisen, daß sie sich organisatorisch und technisch gegen physikalische Angriffe von außen und Angiffen über das Internet ausreichend abgesichert haben.

Die Beratung zum Erreichen dieser Absicherung kann von Experten der Informationssicherheit geleistet werden, die als akkreditierte Auditoren auch Zertifizierungen nach IT-SiKat und ISO/IEC 27019 vornehmen. Die Beratung wird dann auch fundiert in Richtung Zertifizierung erfolgen. Ein Netzwerk von Firmen und freien Auditoren mit der Qualifikation für Zertifizierungen des BSI SiKat und der ISO/IEC 27019 steht unter der Telefonnummer 0421 5975534 zur Verfügung.

Nach abgeschlossener Beratung ist eine Vermittlung zu einem Zertifizierer Ihrer Wahl für das abschließende Audit zur Zertifikatserteilung möglich.

Es ist jedoch NICHT möglich, vom Berater die Zertifizierung durchführen zu lassen. Ein Auditor muß als Absicherung beim Übernehmen eines Auditauftrags bestätigen, daß er in den letzten 24 Monaten keine Dienstleistung für den zu auditiernden Kunden erbracht hat. Dabei ist es unerheblich, ob es sich um Belange des IT-SiKat oder der 27019 handelt. Alle Dienstleistungen führen zum Ausschluß.

*) KRITIS – Informationssicherheit für Betreiber kritischer Infrastrukturen
**) Im Sinne der EU-Richtlinie 2008/114/EG ist eine „kritische Infrastruktur“ eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten. (Quelle: Amtsblatt der EU – Richtlinie 2008/114/EG des Rates vom 08.12.2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern)