Kritische Infrastrukturen
Kritische Infrastrukturen (abgekürzt: KRITIS) sind nach dem BSI-Gesetz[1] "Einrichtungen, Anlagen oder Teile davon, die
- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
In der BSI-Kritisverordnung,[2] einer Rechtsverordnung, die auf § 10 des BSI-Gesetzes beruht, wird der Begriff der kritischen Infrastrukturen näher bestimmt. Danach sind unter "Anlagen" Betriebsstätten und sonstige ortsfeste Einrichtungen, Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen oder Software und IT-Dienste zu verstehen. Weiterhin zählt die Verordnung detailliert "kritische Dienstleistungen" auf, die folgenden Sektoren zugeordnet werden: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Damit fallen eine Vielzahl kommunaler Einrichtungen und Dienstleistungen unter diesen Begriff, unabhängig davon, ob diese von der Kommune selbst oder in ihrem Auftrag von Unternehmen mit eigener Rechtsform erbracht werden.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe definiert den Begriff wie folgt: "Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“[3] Die EU definiert den Begriff als "Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrechterhalten werden könnten".[4]
Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) schließlich definiert den Begriff wie folgt: "Kritische Infrastrukturen sind die Systeme, die wesentliche Bedeutung für die Aufrechterhaltung gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung haben. Kritische Infrastrukturen sind solche, deren Störung oder Zerstörung erhebliche Auswirkungen auf unser aller Leben hätte."[5]
Rolle des BSI[Bearbeiten]
Das Gesetz bestimmt weiterhin die Aufgaben des Bundesamtes bezüglich dieser kritischen Infrastrukturen. So kann das Amt beispielsweise solche Infrastrukturen aktiv auf Sicherheitslücken untersuchen, wenn ihm entsprechende Hinweise vorliegen, oder den Betreibern, sofern diese mehr als 100.000 Menschen versorgen, zur Abwehr konkreter erheblicher Gefahren Weisungen erteilen - auch wenn es sich dabei um private Unternehmen handelt. Den Betreibern werden bestimmte Pflichten zur Einhaltung sicherer Standards auferlegt, deren Einhaltung sie nachweisen müssen. Weiterhin ist das Bundesamt zentrale Meldestelle, an die z.B. erhebliche Störungen gemeldet werden müssen. Daneben hat das BSI eine Vielzahl von Aufgaben und Befugnissen bezüglich der IT-Infrastruktur des Bundes.
Da der Begriff "Kritische Infrastrukturen" im BSI-Gesetz definiert ist, wird er vorwiegend im Kontext von IT-Sicherheitsvorfällen, insbesondere von Cyberangriffen verwendet. Dabei darf nicht vergessen werden, dass kritische Infrastrukturen auch jenseits digitaler Attacken gefährdet sein können, beispielsweise durch Sabotage, Terrorangriffe, Naturkatastrophen oder Kriegseinwirkungen.
Fußnoten[Bearbeiten]
- ↑ Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), hier § 2 (Begriffsbestimmungen), Abs. 10
- ↑ Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)
- ↑ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe: Kritische Infrastrukturen
- ↑ Europäische Union: Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
- ↑ AG Kritis, Homepage
Siehe auch[Bearbeiten]
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe: Kritische Infrastrukturen mit vielen weiteren Informationen und Dokumenten
- wikipedia: Kritische Infrastrukturen
- Bundesamt für Sicherheit in der Informationstechnik: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG), Informationen zur Gesetzeshistorie
- Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) ist eine unabhängige Arbeitsgruppe aus Expert:innen und Fachleuten, die sich beruflich mit der Sicherheit kritischer Infrastrukturen befassen. Die Homepage enthält eine Fülle von Informationen und Hinweisen.
- Beispiel für die Angreifbarkeit von Wasserversorgungssystemen (hier USA): futurezone, Wasserversorger gehackt: Standard-Passwort war "1111", 24.12.2023
- Cyberangriffe
- Blackout