KRITIS-Schutz: Was Betreiber kritischer Infrastruktur wissen müssen
Umfassender Guide für KRITIS-Betreiber in Deutschland: BSI-Gesetz, IT-Sicherheitskatalog, Meldepflichten, Branchensektoren (Energie, Wasser, Gesundheit), KRITIS-Schwellenwerte, konkrete Maßnahmen und der Unterschied zwischen KRITIS und NIS2.
Oskar Braun Abteilungsleiter Information Security Consulting TL;DR
Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland müssen aufgrund des BSI-Gesetzes (BSIG) und der BSI-KRITIS-Verordnung schärfere IT-Sicherheitsanforderungen erfüllen, um die Versorgung der Bevölkerung zu gewährleisten. Ob ein Unternehmen als KRITIS-Betreiber gilt, hängt von spezifischen Schwellenwerten ab, die in neun Sektoren wie Energie, Wasser oder Gesundheit definiert sind - beispielsweise ab 420 MW Nennleistung bei Stromerzeugungsanlagen oder 500.000 versorgten Personen bei Trinkwasseranlagen. KRITIS-Betreiber müssen sich innerhalb von sechs Monaten nach Erreichen des Schwellenwerts beim BSI registrieren und technisch-organisatorische Maßnahmen nach dem "Stand der Technik" umsetzen, darunter Asset-Management, Netzwerksegmentierung und starke Authentifizierung. Diese nationale Regulierung ist von der EU-weiten NIS2-Richtlinie zu unterscheiden,
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (8 Abschnitte)
Strom, Wasser, Krankenhäuser, Finanzdienstleistungen - bei einem Cyberangriff auf kritische Infrastruktur geht es nicht nur um Datenverlust. Es geht um die Versorgung der Bevölkerung. Genau deshalb hat der deutsche Gesetzgeber für KRITIS-Betreiber schärfere Anforderungen als für andere Unternehmen geschaffen. Dieser Guide erklärt, wen das betrifft und was konkret getan werden muss.
Was sind “Kritische Infrastrukturen”?
Das BSI-Gesetz (BSIG) und die BSI-KRITIS-Verordnung definieren kritische Infrastrukturen nach § 2 Abs. 10 BSIG als Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. “Hohe Bedeutung” meint dabei konkret: ein Ausfall würde erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit bewirken.
Der Unterschied zu NIS2 ist wichtig zu verstehen: KRITIS ist die nationale (deutsche) Regulierung, NIS2 ist die EU-Richtlinie. Viele Betreiber fallen unter beide Regelwerke.
Die 9 KRITIS-Sektoren und ihre Schwellenwerte
Ob ein Betreiber als KRITIS gilt, hängt von Schwellenwerten ab - meist an der Anzahl versorgter Personen gemessen.
Sektor 1: Energie
Elektrizität:
- Betreiber von Stromerzeugungsanlagen ab 420 MW Nennleistung
- Übertragungsnetzbetreiber (automatisch KRITIS)
- Verteilernetzbetreiber ab 3.700 Entnahmestellen
Gas:
- Fernleitungsnetzbetreiber (automatisch)
- Betreiber von Gasverteilernetzen ab 520.000 angeschlossenen Haushalten
- Betreiber von Gasspeicheranlagen ab 5,65 Mrd. kWh
Mineralöl:
- Betreiber von Raffinerien ab 1,2 Mio. t Jahreskapazität
- Kraftstofflager ab 275.000 m³ Kapazität
Sektor 2: Wasser
- Trinkwasser: Wasserversorgungsanlagen ab 500.000 versorgten Personen
- Abwasser: Abwasseranlagen mit einem Einzugsgebiet ab 500.000 Einwohnergleichwerten
Sektor 3: Ernährung
- Betriebe der Ernährungswirtschaft ab 500.000 versorgten Personen
- Große Lebensmittelhändler und -hersteller
Sektor 4: Informationstechnik und Telekommunikation
- TK-Netze ab 100.000 Anschlüssen oder ab 22 Mio. Minuten pro Tag
- Internet Exchange Points (IXPs) ab 100 Gbps Austauschvolumen
- Rechenzentrumsdienstleister ab bestimmten Kapazitätsgrenzen
- Anbieter von DNS-Diensten: national relevante Resolver
Sektor 5: Gesundheit
- Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr
- Labore mit BSL-3/4-Zulassung
- Pharmaunternehmen ab 4,65 Mio. Tagesdosen pro Jahr
- Medizintechnik-Hersteller bestimmter Klassen
Sektor 6: Finanz- und Versicherungswesen
- Kreditinstitute ab 8,5 Mrd. EUR Bilanzsumme
- Versicherungen ab 1 Mrd. EUR Beitragseinnahmen
- Wertpapier- und Derivatebörsen
- Finanzmarktinfrastrukturen (automatisch)
Sektor 7: Transport und Verkehr
Luftfahrt:
- Flughäfen ab 25.000 Flugbewegungen pro Jahr
- Fluggesellschaften mit Streckenführern
- Deutsche Flugsicherung GmbH (automatisch)
Binnenschifffahrt:
- Schleusen und Anlagen ab 15 Mio. Tonnen pro Jahr
Schienenverkehr:
- DB Netz und große Bahnbetreiber (Schwellenwerte nach ÖPNV-Volumen)
Straße:
- Tunnelbetreiber, Verkehrssteuersysteme (konkrete Werte im BSI-Recht)
Sektor 8: Siedlungsabfallentsorgung
- Betreiber ab 500.000 versorgten Personen
Sektor 9: Staat und Verwaltung
- Bundes- und Landesbehörden (gesondert reguliert)
- Parlament, Regierung, Justiz
- Nicht über BSI-KRITIS-VO, sondern über direktes BSI-Mandat
Die drei Kernpflichten für KRITIS-Betreiber
1. Registrierungspflicht beim BSI
KRITIS-Betreiber müssen sich innerhalb von sechs Monaten nach Erreichen des Schwellenwerts beim BSI registrieren. Anzugeben sind Kontaktdaten des Betreibers, Art der kritischen Infrastruktur (Sektor und Teilsektor), Angaben zur Kontaktstelle (Sicherheitsansprechpartner) sowie eine Kontaktstelle, die rund um die Uhr erreichbar ist.
Die Registrierung erfolgt über das BSI-Meldeportal unter meldung.bsi.bund.de. Wichtig: Bei Änderungen wie neuen Standorten oder Fusionen muss erneut gemeldet werden.
2. Maßnahmen nach “Stand der Technik”
Das BSIG (§ 8a) verpflichtet KRITIS-Betreiber zu technisch-organisatorischen Maßnahmen nach dem “Stand der Technik”. Das bedeutet in der Praxis:
A) Identifizierung:
- Asset-Management: vollständige Inventur aller kritischen Systeme
- Risikoanalyse: welche Ausfälle hätten welche Auswirkungen?
- Abhängigkeiten: interne und externe (Dienstleister, Cloud)
B) Schutz:
- Netzwerksegmentierung: OT/IT trennen (ICS-Netzwerke isolieren)
- Zugangskontrolle: starke Authentifizierung für alle Zugänge
- Verschlüsselung: Daten in Ruhe und im Transport
- Patch-Management: strukturierter Prozess für IT und OT
- Sichere Entwicklung: wenn Systeme selbst betrieben oder entwickelt werden
C) Erkennen:
- SIEM und Monitoring: 24/7-Überwachung der kritischen Systeme
- Anomalieerkennung in OT-Netzwerken (passiv)
- Schwachstellenscanning (regelmäßig, Scope: KRITIS-Systeme)
D) Reagieren:
- Incident Response Plan (dokumentiert und geübt)
- Forensische Kapazitäten (intern oder externer IR-Retainer)
- Notfallkommunikation: wer wird wann informiert?
E) Wiederherstellen:
- Business Continuity Plan (BCP) mit RTO/RPO
- Backups nach der 3-2-1-1-0-Regel (offline/air-gapped Kopie)
- Notfallbetrieb: manuelle Prozesse wenn die IT ausfällt
- Disaster Recovery Tests (mindestens jährlich)
3. Meldepflicht bei Sicherheitsvorfällen
Was muss gemeldet werden?
- Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der IT-Systeme
- Auch ein Verdacht auf eine erhebliche Störung ist meldepflichtig
- Auch tatsächliche Störungen ohne Sicherheitsbezug, wenn sie die kritische Funktion beeinträchtigen
An wen:
- BSI (primär: meldung.bsi.bund.de / Tel. 0800 2742873)
- Bei personenbezogenen Daten zusätzlich die Datenschutzbehörde (DSGVO)
- Sektorspezifische Behörden (Bundesnetzagentur, BaFin etc.)
Meldefristen (BSI-Empfehlung, durch NIS2 normiert):
| Frist | Inhalt |
|---|---|
| 24 Stunden | Frühwarnung: erster Kontakt |
| 72 Stunden | Erste Bewertung, betroffene Systeme |
| 1 Monat | Abschlussbericht: Root Cause, Maßnahmen |
Nicht meldepflichtig sind routinemäßige Vorfälle ohne erhebliche Auswirkung, geplante Wartungsarbeiten und rein physische Störungen ohne IT-Bezug.
KRITIS-Nachweise: Zweijährlicher Audit
§ 8a Abs. 3 BSIG verpflichtet KRITIS-Betreiber, alle zwei Jahre einen Nachweis über Maßnahmen nach Stand der Technik zu erbringen.
Akzeptierte Nachweisformen:
- Sicherheitsaudit: durch akkreditierten Auditor
- Sicherheitsprüfung: durch BSI-akkreditiertes Unternehmen
- Zertifizierung: ISO 27001 (mit KRITIS-Scope) wird anerkannt
Die ISO 27001-Zertifizierung ist die bevorzugte Methode: Sie bietet ein strukturiertes ISMS, externe Validierung durch eine akkreditierte Zertifizierungsstelle, weltweite Anerkennung auch für internationale Partner sowie NIS2-Konformität (ISO 27001 erfüllt viele Anforderungen aus Art. 21).
Ablauf des BSI-Nachweises:
- Audit-Umfang definieren (Scope: kritische Anlagen)
- Auditor beauftragen (BSI-Liste akkreditierter Auditoren)
- Audit durchführen: Dokumentenprüfung und technische Tests
- Nachweis-Dokument erstellen
- Bericht ans BSI übermitteln (über MELDEST.BSI)
- BSI prüft - ggf. Rückfragen und Nachbesserungsfristen
KRITIS und OT-Sicherheit - besondere Herausforderung
Kritische Infrastrukturen betreiben nicht nur IT-Systeme, sondern auch OT (Operational Technology): SCADA, ICS und Speicherprogrammierbare Steuerungen (SPS), die physische Prozesse steuern - Turbinen, Wasserwerke, Kliniken.
Unterschiede zwischen IT- und OT-Sicherheit:
| Aspekt | IT | OT |
|---|---|---|
| Priorität | CIA (Vertraulichkeit) | Verfügbarkeit |
| Update-Zyklus | Regelmäßig | Sehr selten |
| Patch-Downtime | Geplant möglich | Oft nicht akzeptabel |
| Protokolle | TCP/IP | Modbus, DNP3 |
| Laufzeit Systeme | 3-7 Jahre | 15-30 Jahre |
| Sicherheitsscan | Aggressiv möglich | Nur passiv (aktive Scans können Systeme töten) |
Wichtigste OT-Maßnahmen:
1. Netzwerktrennung: OT-Netz von IT-Netz isolieren. Keine direkte Verbindung von Büro-PCs zu SCADA. Demilitarisierte Zone (DMZ) zwischen IT und OT. Datentransfer nur über kontrollierte Schnittstellen.
2. Passive OT-Überwachung: Lösungen wie Claroty, Dragos, Nozomi Networks oder Claroty arbeiten als passiver Netzwerk-Sniffer - kein aktives Scanning, das Produktionssysteme gefährden könnte. Anomalieerkennung auf Protokollauffälligkeiten.
3. Jump Server für OT-Wartung: Kein direkter Zugang aus IT zu OT. Alle Wartungszugänge über gehärteten Jump Server. Alle Sessions aufzeichnen (Privileged Access Management).
4. Segmentierung nach Zonen (IEC 62443):
| Level | Beschreibung |
|---|---|
| Level 0 | Feldgeräte (Sensoren, Aktoren) |
| Level 1 | Basic Control (SPS, DCS) |
| Level 2 | Supervisory Control (SCADA, HMI) |
| Level 3 | Manufacturing Operations (MES) |
| Level 4 | Enterprise (ERP, IT) |
Jede Zone wird strikt getrennt, nur notwendige Verbindungen sind erlaubt.
KRITIS vs. NIS2 - Der Unterschied
Beide Regelwerke gelten oft für dieselben Unternehmen, haben aber unterschiedliche Rechtsgrundlagen.
| Merkmal | KRITIS (BSI-Gesetz / BSIG) | NIS2 (NIS2UmsuCG / EU-Richtlinie) |
|---|---|---|
| Rechtsgrundlage | Nationales deutsches Recht | EU-Richtlinie, deutsches Umsetzungsgesetz |
| Kriterium | Schwellenwert-basiert (Versorgungsrelevanz) | Größenklassen-basiert (Mitarbeiter + Umsatz) |
| Sektoren | 9 Sektoren (enger gefasst) | 18 Sektoren (weiter gefasst) |
| Nachweis | Zweijährlicher Nachweis-Audit | Keine spezifische Audit-Pflicht (aber Art. 21 Maßnahmen) |
| Aufsicht | BSI direkt | BSI und sektorale Behörden |
| Bußgelder | Bis 100.000 EUR | Bis 10 Mio. EUR |
Praxis: Viele KRITIS-Betreiber sind zugleich NIS2-”wesentliche Einrichtungen”. Eine ISO 27001-Zertifizierung erfüllt Anforderungen aus beiden Regelwerken. Meldepflichten überschneiden sich - eine BSI-Meldung deckt oft beides ab.
Empfehlung: Beide Anforderungen in einem ISMS-Projekt adressieren. ISO 27001-Zertifizierung als gemeinsame Grundlage, BSI KRITIS-Nachweis als Teil des ISO-Audit-Scopes.
Typische Schwachstellen in KRITIS-Unternehmen
Unsere Penetrationstests bei KRITIS-Betreibern zeigen immer wieder dieselben Muster:
1. IT/OT-Verbindungen die niemand kennt: “Alle paar Monate bringt der Wartungstechniker seinen Laptop mit.” Temporäre Verbindungen die “nie wieder entfernt wurden.” Fernwartungszugänge ohne MFA.
2. Legacy-Systeme mit bekannten Schwachstellen: Windows XP im OT-Netz (Support seit 2014 eingestellt). SPS-Firmware von 2008, deren Hersteller nicht mehr existiert. “Das kann man nicht patchen - dann steht die Anlage.”
3. Shared Credentials in OT: “SCADA-Admin” mit dem Passwort “scada123” auf allen Anlagen. Keine individuelle Authentifizierung. Wer war wann auf welchem System? Unbekannt.
4. Fehlende Netzwerksegmentierung: Büro-PC und SCADA im gleichen VLAN. “Das war einfacher damals beim Aufbau.” Einmal im Büronetz bedeutet Zugriff auf die Steueranlage.
5. Backup ohne Test: “Wir haben Backups - aber getestet haben wir nie.” Backups im selben physischen Gebäude. Backup-Medium ist ebenfalls nicht air-gapped.
Sofortmaßnahmen für KRITIS-Betreiber
Kurzfristig (1-4 Wochen):
- BSI-Registrierung prüfen oder nachholen
- Sicherheitsansprechpartner (24/7) bestimmen
- Kritische Systeme inventarisieren (Asset-Liste)
- IT/OT-Netzwerktrennung prüfen - sofortige Abkoppelung wo möglich
- Backup-Test durchführen (Kann ich wirklich wiederherstellen?)
Mittelfristig (1-3 Monate):
- Risikoanalyse (BSI IT-Grundschutz oder ISO 27001)
- Netzwerksegmentierung IT/OT implementieren
- MFA für alle Fernwartungszugänge
- Incident Response Plan erstellen
- KRITIS-Nachweis vorbereiten
Langfristig (3-12 Monate):
- ISO 27001-Zertifizierung (als KRITIS-Nachweis)
- OT-Monitoring-Lösung einführen
- SOC/SIEM-Anbindung für 24/7-Überwachung
- Tabletop Exercise: KRITIS-Ausfall simulieren
- Supply Chain Security: Lieferanten-Audits
Als KRITIS-Betreiber tätig und Fragen zum Nachweis-Audit oder zur Umsetzung? AWARE7 unterstützt Betreiber kritischer Infrastrukturen bei der BSI-KRITIS-Compliance und der Vorbereitung auf den zweijährlichen Nachweis - von der Risikoanalyse bis zur ISO 27001-Zertifizierung.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
