Definition der Kritischen Infrastrukturen und ihrer Sektoren
Kritische Infrastrukturen (KRITIS) sind nach dem Bundesministerium des Innern, für Bau und Heimat „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ [1] Das bedeutet, dass ein Ausfall dieser Infrastrukturen eine große Auswirkung auf die Bevölkerung und den Staat haben kann und somit in jedem Fall vermieden werden muss.
Im Angesicht der zunehmenden IT-Gefahren hat der Bundestag 2009 das BSI-Gesetz über die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik veröffentlicht, nach welchem KRITIS verstärkte Anforderungen im Bereich IT erfüllen müssen. In diesem Gesetz wird jedoch nicht definiert, bei welchen Unternehmen, Organisationen und Einrichtungen es sich um KRITIS handelt. Hierfür wurde weitergehend die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, auch als BSI-Kritisverordnung bezeichnet, erstellt. Diese Verordnung definiert, dass Unternehmen in den in der Abbildung dargestellten Sektoren als KRITIS bezeichnet werden können, wenn sie entsprechende Eigenschaften erfüllen. Aktuell wird das BSI-Gesetz überarbeitet, um auch weitere Sektoren und Unternehmen im besonderen Interesse als KRITIS zu berücksichtigen.
Die Anforderungen an KRITIS sind im Anhang der BSI-Kritisverordnung beschrieben durch Anlagekategorien, Bemessungskriterien und Schwellenwerte. Beispielhaft ist zu nennen, dass Krankenhäuser als Teil des Gesundheits-Sektors erst als KRITIS gelten, wenn sie mindestens 30.000 vollstationäre Behandlungen im Jahr durchführen. Dieser Schwellenwert ist im Vergleich der deutschen Krankenhäuser und ihren Fallzahlen als recht hoch zu bewerten, sodass viele kleinere Krankenhäuser nicht unter die Regelungen für KRITIS fallen. Eine solche Unterscheidung ist langfristig zu überdenken, denn auch ein kleines Krankenhaus kann für die Versorgung der Bevölkerung unerlässlich sein, wenn keine weiteren medizinischen Einrichtungen in der Nähe sind. Allein anhand der Definition für KRITIS sollten daher auch diese Krankenhäuser als Kritisch bewertet werden.
Der Energie-Sektor umfasst sowohl Anlagen zur Erzeugung von Energie, bspw. Strom, aber auch Anlagen zur Verteilung der Energie. Eine zunehmende Abhängigkeit von Strom sorgt nicht nur für Probleme in Unternehmen, wenn Lieferanten oder Stromerzeuger plötzlich ausfallen. Auch die Bevölkerung zeigt eine immer größere Abhängigkeit, sodass die Zubereitung von Lebensmitteln und vor allem auch die Lagerung gekühlter Lebensmittel bei einem Stromausfall bereits große Herausforderungen mit sich bringen.
Der Sektor Gesundheit ist essenziell, um die medizinische Versorgung der Bevölkerung sicherzustellen. Sowohl die hausärztliche Versorgung als auch die medizinische Versorgung chronisch kranker Menschen in häuslicher Betreuung wie auch die Funktionsfähigkeit von Krankenhäusern ist notwendig, um die gesundheitliche Versorgung der Menschen zu sichern. Besonders auffällig sind hier die Abhängigkeiten zu den anderen Sektoren der KRITIS, denn ein Stromausfall sorgt in den meisten Arztpraxen für einen Stillstand der Versorgung, wohingegen Krankenhäuser nach der DIN VDE 0558-507:2008-12 dazu aufgefordert sind für 24 Stunden ein Notstromaggregat vorzuhalten und somit die Funktionsfähigkeit der Einrichtungen aufrecht erhalten zu können. Als KRITIS werden im Gesundheitsbereich daher nur Krankenhäuser über dem genannten Schwellenwert bewertet. Weitere KRITIS im Sektor Gesundheit sind u.a. Apotheken und Lieferanten von medizinischen Materialien, welche für die medizinische Behandlung benötigt werden.
Der Sektor Informationstechnik und Telekommunikation (IT und TK) ist ein wichtiger Bereich in der Kommunikation. Neben der Funktionsfähigkeit der IT, ist auch die Sicherstellung der telefonischen Dienste unter diesen KRITIS zu finden. Vor allem Anbieter von Zugangs- oder Übertragungsnetzen, aber auch anderen Bereichen wie der Vermittlung können als KRITIS definiert werden.
Transport und Verkehr sind ebenfalls wichtige Bestandteile des öffentlichen Lebens. Die COVID-19 Pandemie hat gezeigt, dass auch bei der Umsetzung von Schutzmaßnahmen und der Schließung vieler Geschäfte weiterhin Unternehmensbereiche aktiv sind, deren Mitarbeiter*innen auf den öffentlichen Nahverkehr oder die Verkehrsinfrastruktur angewiesen sind. Eine Aufrechterhaltung eines Grundbedarfs ist somit ebenfalls als wichtig für das Gemeinwohl einzuschätzen.
Medien und Kultur sind nicht nach der BSI-Kritisverordnung als KRITIS definiert, sind allerdings für die Information der Bevölkerung als unerlässlich einzustufen. Eine Warnung der Menschen, aber auch die Weitergabe von Informationen gehören somit in jedem Fall zu den Aufgaben, welche zur Sicherstellung des Gemeinwohls notwendig sind.
Der Sektor Wasser umfasst u.a. die Lieferanten von Trinkwasser, wie auch Anlagen zur Gewinnung von Trinkwasser. Ein Ausfall dieser Unternehmen kann vielerlei Herausforderungen mit sich bringen, vor allem wenn dieser länger andauernd ist.
Das Finanz- und Versicherungswesen ist für das staatliche Gemeinwesen von besonderer Bedeutung. Bei einem Ausfall dieses Sektors kommt es zu Zahlungsengpässen, welche nicht nur den Staat, sondern auch die Bevölkerung betreffen und große Auswirkungen haben können. Somit ist bei einem Ausfall von Zahlungstransaktionen davon auszugehen, dass eine erhöhte Beschaffungskriminalität auftritt, da die Menschen ohne Geld nicht an die lebensnotwendigen Lebensmittel kommen. Weitere Auswirkungen aufgrund dessen sind als Folge zu erwarten.
Die Ernährung ist mit das wichtigste Thema für die Bevölkerung. Die wenigsten Haushalte verfügen über ausreichende Reserven, um mehrere Tage oder einzelne Wochen ohne einen Einkauf zu überbrücken. Die Sicherstellung der Versorgung ist damit unbedingt notwendig, wie die plötzlichen Hamster-Käufe während der COVID-19 Pandemie gezeigt haben. Trotz der Ankündigung, dass Lebensmittel weiterhin uneingeschränkt zur Verfügung stehen, wurden bestimmte Lebensmittel in größerer Anzahl gekauft und die Lebensmittel-Vorräte der Bevölkerung erweitert. Grundsätzlich ist einer Lagerhaltung nichts entgegenzusetzen, jedoch können panische Einkäufe auch zu Plünderungen führen, da die Bevölkerung Angst davor hat, nicht ausreichend Lebensmittel zu bekommen. Der Zugang zu Nahrungsmitteln und Trinkwasser ist somit ebenfalls als KRITIS zu bewerten.
Der Sektor Staat und Verwaltung umfasst alle Tätigkeiten, welche von der Bundesregierung, den Bundesländern oder kommunalen Verwaltungen ausgeübt werden. Ein Ausfall der Bundesregierung, bspw. durch eine Erkrankung oder dem Tod einer Vielzahl der Verantwortlichen kann die Handlungsfähigkeit einschränken und damit die unterschiedlichsten Auswirkungen zur Folge haben. Bspw. fällt der Zivilschutz unter die Aufgaben des Bundes, welcher bei einer fehlenden Handlungsfähigkeit ggf. ineffektiv oder gar nicht eingesetzt wird und somit der Schutz der Bevölkerung fehlen kann. Dieser Sektor ist ebenfalls nicht nach der BSI-Kritisverordnung definiert, muss aber ebenfalls als KRITIS bewertet werden. Die Aufrechterhaltung der Regierungsfähigkeit ist essenziell für die Funktionsfähigkeit des Staates.
Weitergehend wird nach dem BSI-Gesetz 2.0 angestrebt auch den Sektor Entsorgung als KRITIS aufzunehmen. Dieser umfasst vor allem die Abfallentsorgung, um das Leben der Bevölkerung uneingeschränkt weiterführen zu können.
Für den Sektor Gesundheit wurde bereits erläutert, dass eine Abhängigkeit zwischen den Sektoren vorhanden ist. Diese Abhängigkeit kann unterschiedlich stark ausfallen und sich teilweise auch nur auf einzelne Sektoren begrenzen, jedoch erhöhen sich hierdurch die Risiken, dass der Ausfall eines Unternehmens Auswirkungen auf andere Sektoren haben kann. So sind Krankenhäuser sowohl von Strom, aber auch IT, Wasser, der Ernährung, den Finanzen und auch der Entsorgung abhängig. Zudem nutzt das Personal die Verkehrsinfrastrukturen, um die Einrichtung zu erreichen und die medizinische Versorgung anzubieten. Über Medien werden im Notfall weitere Mitarbeiter*innen angefordert, um weitere Personalkapazitäten zur Verfügung zu haben und ohne den staatlich organisierten Rettungsdienst muss die Bevölkerung eigenständig die Krankenhäuser aufsuchen.
Ausnahmen
In den Sektoren werden grundsätzlich alle Unternehmen als KRITIS bewertet, welche die Kriterien der BSI-Kritisverordnung erfüllen. Jedoch werden im BSI-Gesetz auch Ausnahmen definiert. Hierzu zählen wie nachfolgend abgebildet, dass die Anforderungen an KRITIS nicht erfüllt werden müssen, wenn Unternehmen bereits vergleichbare Maßnahmen eingeleitet haben oder ihren Erstsitz in einem anderen EU-Land haben. Letztgenannte Unternehmen unterliegen jeweils den gültigen Länderanforderungen. Weitergehend werden jedoch auch Ausnahmen definiert für Genehmigungsinhaber nach dem § 7 Absatz 1 des Atomgesetzes, sowie für Betreiber öffentlicher Telekommunikationsnetze, sowie Telematikinfrastrukturen. Die genauen Regelungen der Ausnahmen können in § 8d des BSI-Gesetzes nachgelesen werden.
Einzuhaltende Gesetz
Die Sicherstellung der Funktionsfähigkeit der KRITIS wird durch unterschiedliche Vorgaben angestrebt. Neben allgemeinen Gesetzen, wie dem Arbeitssicherstellungsgesetz und dem Bundesleistungsgesetz sind auch sektorenspezifische Gesetze einzuhalten. Diese sind für die Sektoren in der nachfolgenden Abbildung dargestellt.
Diese Gesetze treffen jeweils Vorgaben, die einzuhalten sind, um die Dienstleistungen der Unternehmen und damit das Gemeinwohl sicherzustellen. Beispielhaft ist hier das Wassersicherstellungsgesetz zu nennen, wonach der lebensnotwendige Bedarf an Trinkwasser aber auch an Betriebswasser für bspw. Löscharbeiten zur Verfügung stehen muss. Die weiteren einzuhaltenden Gesetze sind mit diesem Gesetz vergleichbar und beschreiben jeweils für die Sektoren, dass eine Sicherstellung der Dienstleistung verpflichtend ist.
Zertifizierung
Alle Unternehmen, welche als KRITIS gelten, haben somit zusammenfassend unterschiedliche Anforderungen und Gesetze zu erfüllen. Als Leitlinie für die Sicherstellung der Funktionsfähigkeit der Kritischen Unternehmen wurde für den IT-Bereich der BSI-Standard 100-4 entwickelt, welcher vorsieht, die Resilienz der Unternehmen zu steigern. Die Übertragbarkeit auf die anderen Sektoren ist bisher nur als teilweise gegeben zu bewerten, da sich dieser Standard auf die IT fokussiert. Mit dem neuen BSI-Standard 200-4 wird einer Zertifizierung nach der DIN EN ISO 22301 empfohlen, welche das Business Continuity Management beschreibt. Diese Norm ist nicht nur für die IT, sondern auch alle anderen Wirtschaftsbereiche anwendbar. Hierdurch wird somit eine Zertifizierung ermöglicht, welche unabhängig der Unternehmensformen und -größen umgesetzt werden kann und langfristig eine Mehrfachzertifizierung der unterschiedlichen Unternehmensbereiche (IT, QM, etc.) ersetzen kann.
Wenn Sie sich weiter über die DIN EN ISO 22301 und das Business Continuity Management informieren möchten, empfehlen wir Ihnen unseren Business Resilience Podcast. Dieser behandelt viele unterschiedliche spannende Themen des Krisenmanagements und gibt einen Einblick in die gängigsten Normen, zu denen die DIN EN ISO 22301 zählt, sowie in das Business Continuity Management.
Literatur
[1] Bundesministerium des Innern, für Bau und Heimat (2009): Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). Online verfügbar unter https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.pdf; jsessionid=977C43722CACC70E88EC2530B9ADAA9A.1_cid287?__blob=publicationFile&v=3, zuletzt geprüft am 10.09.2020.
