Kritische Infrastruktur ist von großer Bedeutung für das Funktionieren von Staat und Gesellschaft. Doch was genau fällt darunter und welche Regeln gelten? In diesem Artikel erfährst du alles, was du über kritische Infrastruktur in Deutschland wissen musst.
Was ist kritisch?
Kritische Infrastruktur umfasst alles, was notwendig ist, um die grundlegenden Funktionen von Staat und Gesellschaft aufrechtzuerhalten. Das bedeutet, dass wir erst dann merken, wie wichtig sie ist, wenn sie ausfällt und Versorgungsengpässe drohen sowie die öffentliche Sicherheit nicht mehr gewährleistet ist.
Was ist Kritis?
Kritis ist der Begriff, unter dem der Gesetzgeber die kritische Infrastruktur behandelt. Der Staat hat diese in zehn verschiedene Bereiche aufgeteilt, für die jeweils unterschiedliche Vorschriften gelten.
Welche Gesetze sind relevant?
Das Bundesinnenministerium hat im Jahr 2005 die Broschüre “Kritische Infrastrukturen – Basisschutzkonzept” veröffentlicht, in der die gefährdeten Bereiche aufgeführt sind. Zwar hatte diese Broschüre damals noch Empfehlungscharakter, doch mit der Kritis-Verordnung des Gesetzes zum Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 wurde es konkreter. Das BSI ist hauptsächlich für Informationssicherheit zuständig, doch angesichts der steigenden Bedrohung durch Hackerangriffe wurde es notwendig, auch die Cybersicherheit gesetzlich zu regeln. Dabei geht es nicht nur um digitale Sicherheit, sondern auch darum, dass kritische Bereiche physisch geschützt sind.
Pflichten für Unternehmen
Unternehmen, die eine bestimmte Größe überschreiten und in einem der betroffenen Sektoren tätig sind, müssen verschiedene Pflichten erfüllen. Dazu gehört die Benennung einer Kontaktstelle für die Behörden sowie die Aufrechterhaltung der IT-Sicherheit auf dem jeweils aktuellen Stand der Technik, wie vom BSI vorgegeben. Regelmäßige Nachweise gegenüber dem BSI sind ebenfalls erforderlich. Im Falle von Hackerangriffen oder sonstigen Störungen müssen die Unternehmen dies an die Behörden melden.
Wer zählt zu den Kritis-Unternehmen?
Ursprünglich gab es sieben Sektoren, die als kritische Infrastruktur galten: Energie, Wasser, Ernährung, IT und Telekommunikation, Transport, Gesundheit sowie das Finanz- und Versicherungswesen. Mit einer Novelle im Jahr 2021 kam die Siedlungsabfallversorgung hinzu. Darüber hinaus gibt es noch zwei weitere Sektoren, die im BSI-Gesetz nicht aufgeführt sind: Kultur und Medien sowie Staat und Verwaltung. Es gibt auch Unternehmen, die nicht zur kritischen Infrastruktur gehören, aber dennoch einige Pflichten erfüllen müssen. Dazu gehören beispielsweise Rüstungsunternehmen, Chemiekonzerne und Zulieferer, die für ihre Branchen besonders wichtig sind. Diese Regelungen treten jedoch erst ab dem 1. Mai 2023 in Kraft.
Herausforderungen bei “Staat und Verwaltung” und “Kultur und Medien”
Die Bereiche “Staat und Verwaltung” sowie “Kultur und Medien” werden im BSI-Gesetz nicht explizit behandelt, da sie größtenteils in die Zuständigkeit der Bundesländer fallen. Allerdings haben die Länder bislang versäumt, eigene Kritis-Verordnungen zu erlassen. Daher gibt es für Kultur und Medien keine speziellen Pflichten, obwohl sie als systemrelevant gelten. Auch im Bund fehlt eine klare Aufteilung, welche Einrichtungen der Bundesverwaltung zur kritischen Infrastruktur gehören und daher besser geschützt werden sollten. Dies führt dazu, dass potenziell kritische Strukturen in Staat und Verwaltung schlechter geschützt sind als in der Privatindustrie. Die jüngsten Ransomware-Angriffe in den Landkreisen Anhalt-Bitterfeld und Ludwigslust-Parchim haben gezeigt, dass diese Bereiche anfällig sind und Wochen oder sogar Monate benötigen, um sich von solchen Angriffen zu erholen. Zumindest diejenigen Teile der Verwaltung, die digitale Dienstleistungen für Bürger anbieten, wie zum Beispiel die Beantragung von Führerscheinen oder Personalausweisen, gelten als etwas sicherer. Hier gilt die Sicherheitsverordnung des Onlinezugangsgesetzes (OZG), die jedoch von Experten als unzureichend kritisiert wurde und für viele Anwendungen erst ab 2024 gilt.
Mit diesem grundlegenden Wissen über kritische Infrastruktur in Deutschland bist du nun bestens informiert. Es ist wichtig zu verstehen, welche Bereiche als kritisch gelten und welche Regeln für Unternehmen gelten, die in diesen Sektoren tätig sind. Wir hoffen, dass dieser Artikel dir dabei geholfen hat!
