Definition „KRITIS“ – Was versteht man unter kritischen Infrastrukuren?
Kritis steht für Kritische Infrastruktur. Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für die Allgemeinheit. Sie bilden die Grundlage für das Funktionieren unserer Gesellschaft. Ein Ausfall oder eine Beeinträchtigung dieser Systeme und Anlagen hat also eine erhebliche Auswirkung auf die Gesundheit, reduziert die soziale und wirtschaftliche Sicherheit der Bevölkerung oder beeinträchtigt die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. Wenn Kritis ausfällt ist auch mit Folgeschäden zu rechnen. Der Ausfall von Systemen im KRITIS-Bereich geht daher in vielen Fällen mit dramatischen Folgen für die öffentliche Sicherheit einher. Wie bedeutsam Kritische Infrastrukturen sind, fällt im schlimmsten Fall erst dann auf, wenn es zu Störungen kommt. Vorsicht ist besser als Nachsicht.
Sektoren und Branchen – Was zählt alles unter KRITIS?
Zu den kritischen Infrastrukturen gehören beispielsweise die Energie- und Wasserversorgung, der Verkehr, aber auch die medizinische Versorgung. Die Gewährleistung des Schutzes Kritischer Infrastrukturen ist eine Kernaufgabe staatlicher und unternehmerischer Sicherheitsvorsorge. Deswegen werden die Sektoren, die kritische Infrastrukturen darstellen, gesetzlich definiert. Zu KRITIS zählen:
- Energie: Elektrizität, Gas, Mineralöl, Fernwärme
- Wasser: Öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung
- Ernährung: Ernährungswirtschaft, Lebensmittelhandel
- Informationstechnik und Telekommunikation
- Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
- Finanz- und Versicherungswesen: Kreditinstitute, Börsen, Versicherungen, Finanzdienstleister
- Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
- Festgelegt ist dies in den Paragrafen 2 bis 8 der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI IT-Sicherheitsgesetz – der BSI-Kritis-Verordnung (BSI-KritisV).
Gesetze und Verordnungen – Was ist die BSI-KRITIS-Verordnung?
Die BSI-KRTIS-Verordnung (BSI-KritisV) legt neben den einzelnen kritischen Infrastrukturen auch Schwellenwerte fest. Es ist geregelt, ab wann ein Betreiber oder ein Unternehmen zu KRITIS zählt. Die Schwellenwerte werden im Rahmen einer durch das Gesetz bestimmten Evaluierung alle zwei Jahre überprüft und gegebenenfalls angepasst. Betreiber Kritischer Infrastrukturen in Deutschland sind zum Schutz der Sicherheit und Verfügbarkeit der kritischen IT-Systeme in ihren KRITIS-Anlagen verpflichtet, um die Versorgungssicherheit in Deutschland zu gewährleisten. Neben der BSI-KritisV sind unter Umständen noch andere Gesetze, wie das Telekommunikationsgesetz (TKG) für kritische Infrastruktur relevant. Es befinden sich auch europäische Verordnungen auf dem Weg in die Umsetzung in deutsches Recht.
Rechenzentren als kritische Infrastruktur
Ob Verkehr, Gesundheit, Finanztransaktionen oder die Steuerung von Kraftwerken – heutzutage ist alles vernetzt. Der Grad der Vernetzung wird nicht geringer, sondern erhöht sich im Rahmen des Internet of Things noch einmal deutlich. Die Bedeutung von Rechenzentren für unsere Gesellschaft in allen ihren Aspekten ist nicht zu unterschätzen. Klar ist: Auch Rechenzentren können kritische Infrastrukturen sein. Nicht nur fallen sie selbst schon unter §5 der BSI-KritisV, sondern sie sind unweigerlich mit den meisten – wenn nicht sogar allen – anderen kritischen Infrastrukturen verwoben. Die bloße Verwendung eines Rechenzentrums beim Betrieb von KRITIS sorgt allerdings noch nicht dafür, dass das RZ unter die KritisV fällt. Die BSI-KritisV ist hier erfreulich eindeutig. So war bis 2021 ab einer vereinbarten IT-Leistung von 5 MW von einer kritischen Infrastruktur auszugehen, wenn Housing-Dienstleistungen erbracht werden. Ab 1. Mai 2022 wurde diese Grenze auf 3,5 MW verschärft.
Es gilt für den Schwellenwert die Summe von allen RZs, die von einem Betreiber zur Verfügung gestellt werden, wenn diese in engem Zusammenhang miteinander betrieben werden. Ein enger Zusammenhang besteht immer dann, wenn betriebseigene Telekommunikationsverbindungen bestehen, sowie dieselben technischen oder administrativen Schnittstellen genutzt werden. Das heißt konkret: Alle Rechenzentrumsbetreiber mittlerer Größe sollten sich mit der Kritis-Verordnung beschäftigen, zumal wahrscheinlich alle deutschen Rechenzentren eines Datacenter-Anbieters als eine gemeinsame Anlage im Sinne der Verordnung betrachtet würden.
Besondere Anforderungen und Regeln für Betreiber von Rechenzentren
Für Betreiber von Rechenzentren als kritischer Infrastruktur gelten besondere Regeln. Es gibt Meldepflichten für bestimmte Störungen und es muss ein Informationssicherheitsmanagementsystem (ISMS) eingeführt werden. KRITIS-Betreiber müssen die Umsetzung von Maßnahmen der Cybersicherheit alle zwei Jahre in Nachweisprüfungen durch Prüfer belegen lassen. Die Prüfungen orientieren sich an BSI-Vorgaben und müssen von den Betreibern veranlasst werden. Gefundene Mängel müssen behoben werden. Hierfür gibt es kein extra Zertifikat – das ein Rechenzentrum, welches kritische Infrastruktur darstellt, auf dem Stand der Technik ist, wird wohl als Selbstverständlichkeit betrachtet.
Stand der Technik
Der Stand der Technik ist kein klar festgelegter Katalog an Anforderungen. Vielmehr macht der Gesetzgeber mit dieser juristischen Formulierung klar: Die technische Entwicklung ist so schnell, dass die Definierung bestimmter Ziele durch die Politik zu langsam wäre, um mit ihr schrittzuhalten. Der Stand der Technik lässt sich zum Beispiel anhand existierender nationaler Standards, wie DIN, oder internationaler Standards und Normen (z.B. ISO/IEC) einschätzen. Auch wenn es also keine einfachen Regeln gibt, vereinfacht das Befolgen relevanter Zertifizierungen und Normen die Arbeit ungemein. Des Weiteren kann der Standard der Technik durch Verbände in sogenannten B3S, branchenspezifischen Sicherheitsstandards, definiert und dem BSI zur Überprüfung vorgelegt werden.