Dieser Artikel behandelt den Begriff. Zur Arbeitsgruppe von Fachleuten siehe
AG KRITIS
oder
UP KRITIS
.
Kritische Infrastrukturen
sind
Anlagen
,
Systeme
oder ein Teil davon, die von wesentlicher Bedeutung fur die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der
Gesundheit
, der
Sicherheit
und des wirtschaftlichen oder sozialen Wohlergehens der Bevolkerung sind und deren Storung oder Zerstorung erhebliche Auswirkungen hatte, da ihre Funktionen nicht aufrechterhalten werden konnten.
[1]
Infrastrukturen
sind jedermann zugangliche staatliche oder private
Anlagen
oder
Einrichtungen
, die in einem festgelegten organisatorischen und/oder geografischen Bereich
Dienstleistungen
zur Verfugung stellen.
[2]
Dazu gehoren auch die ablaufenden
Prozesse
, die eingesetzte
Informationstechnik
sowie die tatigen
Arbeitskrafte
. Kritische Infrastrukturen sind dementsprechend ?Organisationen und Einrichtungen mit wichtiger Bedeutung fur das staatliche
Gemeinwesen
, bei deren Ausfall oder Beeintrachtigung nachhaltig wirkende
Versorgungsengpasse
, erhebliche Storungen der
offentlichen Sicherheit
oder andere dramatische Folgen eintreten wurden.“
[3]
?Kritisch“ bezieht sich auf die
Systemrelevanz
der Infrastrukturen, also auf die fur das Gesamtsystem und die
Daseinsvorsorge
besonders bedeutsamen Einrichtungen.
[4]
Es bedarf auch des Schutzes Kritischer
Informationsinfrastrukturen
(
englisch
Critical Information Infrastructure Protection
, CIIP). ?Kritisch“ meint hierbei nicht, dass die
Eintrittswahrscheinlichkeit
von Storungen hoch ist. Es ist vielmehr so zu verstehen, dass Storungen oder Ausfalle weitreichende Folgen bis hin zu katastrophalen Auswirkungen fur Staat, Wirtschaft und/oder große Teile der Bevolkerung haben konnen.
[5]
Das Bewusstsein uber die Konzentration auf Kritische Infrastrukturen entstand erst im Juli 1996 in den
USA
, als dort politische Entscheidungen getroffen und Maßnahmen ergriffen wurden, die auf deren Schutz abzielten.
[6]
Nach dem
Bombenanschlag auf das Murrah Federal Building in Oklahoma City
im April 1995 schlug
Janet Reno
,
Attorney General
unter Prasident
Bill Clinton
, eine Kommission vor, die sich mit der Verwundbarkeit der USA durch Angriffe auf unverzichtbare Einrichtungen befassen sollte. Das Gremium hieß offiziell ?Presidential Commission on Critical Infrastructure Protection (PCCIP)“
[7]
und machte im Oktober 1997 darauf aufmerksam, dass das Hauptaugenmerk auf das
Internet
zu legen sei, weil
Hacker
Kritische Infrastrukturen hieruber lahmlegen konnten. Als Kritische Infrastrukturen identifizierte die Kommission die
Wirtschaftszweige
:
Weitere Fortschritte gab es erst aus Anlass besonderer Katastrophen. So sorgten die
Terroranschlage am 11. September 2001
unter anderem mit dem Begriff
Disaster Preparedness
‚Katastrophen-vorbereitetheit‘
dafur, dass die US-Regierung
Mittel
,
Personal
,
Kompetenzen
und
Aufgaben
fur den
Katastrophenschutz
sowie die
Flughafen-
und
Luftsicherheit
verstarkte. Ein
Computervirus
ließ im August 2003 in 23
Bundesstaaten
fur Stunden samtliche Eisenbahnsignal ausfallen, wodurch Zuge bis zu 6 Stunden Verspatung hatten oder ganz ausfielen. Im selben Monat loste ein Blitzschlag an der Ostkuste einen großflachigen
Stromausfall
aus, als Stromleitungen nicht mehr funktionierten, was zur Uberlastung von Kraftwerken fuhrte, die sich automatisch abschalteten.
[8]
Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und soziookonomischen Infrastrukturen:
[9]
Technische Basisinfrastrukturen
gewahrleisten die:
- Energieversorgung,
- Trinkwasserversorgung sowie Abwasserentsorgung und
- ermoglichen Informationsaustausch, Kommunikation sowie
- Transport und Verkehr bis hin zu
- Absatz-
und
Lieferketten
.
Soziookonomische Infrastrukturen
betreffen:
Teilweise sind sie interdependent wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten).
[10]
Im Sinne der
Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 uber die Ermittlung und Ausweisung europaischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
ist eine Kritische Infrastruktur eine
Anlage
, ein
System
oder ein Teil davon, die von wesentlicher Bedeutung fur die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der
Gesundheit
, der
Sicherheit
und des wirtschaftlichen oder sozialen Wohlergehens der Bevolkerung sind und deren Storung oder Zerstorung erhebliche Auswirkungen hatte, da ihre Funktionen nicht aufrechterhalten werden konnten.
Die
CER-Richtlinie (EU 2022/2557)
reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht.
[11]
Die
NIS-2-Richtlinie
weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus.
[12]
In Deutschland erscheinen Kritische Infrastrukturen als
Rechtsbegriff
erstmals im Dezember 2008 im
Raumordnungsgesetz
(ROG). Danach ist es einer der Grundsatze der
Raumordnung
, dass nach
§ 2
Abs. 2 Nr. 3 ROG dem Schutz Kritischer Infrastrukturen Rechnung zu tragen ist. In den Bereich des Schutzes Kritischer Infrastrukturen fallt auch die Versorgung von
Schlusselindustrien
, deren Beeintrachtigung unmittelbar schwerwiegende Storungen der
Versorgungslage
nach sich ziehen wurde.
[13]
Dabei gilt als Maß fur die Bedeutung einer Infrastruktur im Hinblick auf ihre Systemfunktionalitat die ?Kritikalitat von Infrastrukturen“.
[14]
Kritische Infrastrukturen im Sinne des
§ 2
Abs. 10
BSI-Gesetz
sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernahrung sowie Finanz- und Versicherungswesen angehoren und von hoher Bedeutung fur das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeintrachtigung erhebliche Versorgungsengpasse oder Gefahrdungen fur die offentliche Sicherheit eintreten wurden.
Die
Betreiber
Kritischer Infrastrukturen sind gemaß
§ 8a
Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Storungen der Verfugbarkeit, Integritat, Authentizitat und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die fur die Funktionsfahigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Das Bundesministerium des Innern bestimmte gemaß
§ 10
Abs. 1 BSI-Gesetz durch Rechtsverordnung naher, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Diese Rechtsverordnung ist die BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, BSI-Kritisverordnung), die folgende sieben Sektoren als Kritische Infrastrukturen identifiziert:
- Energie
:
Elektrizitat
,
Gas
,
Mineralol
,
Fernwarme
(
§ 2
BSI-KritisV),
- Wasser
: Offentliche
Wasserversorgung
, offentliche
Abwasserbeseitigung
(
§ 3
BSI-KritisV),
- Ernahrung
:
Ernahrungswirtschaft
,
Lebensmittelhandel
(
§ 4
BSI-KritisV),
- Informationstechnik
und
Telekommunikation
(
§ 5
BSI-KritisV),
- Gesundheit
:
Medizinische Versorgung
,
Arzneimittel
und
Impfstoffe
,
Labore
(
§ 6
BSI-KritisV),
- Finanz-
und
Versicherungswesen
:
Kreditinstitute
,
Borsen
,
Versicherungen
,
Finanzdienstleister
(
§ 7
BSI-KritisV),
- Transport
und
Verkehr
:
Luftfahrt
,
Seeschifffahrt
,
Binnenschifffahrt
,
Schienenverkehr
,
Straßenverkehr
,
Logistik
(
§ 8
BSI-KritisV).
Zusatzlich rechnet das
Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe
folgende Kritische Infrastrukturen hinzu:
[15]
Die beiden letzten Sektoren sind nicht Bestandteil der BSI-KritisV.
Mit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Anderungen des BSI-Gesetzes tritt ein weiterer Kritis-Sektor hinzu:
Das
Bundesamt fur Sicherheit in der Informationstechnik
nennt somit zehn Kritische Infrastrukturen.
[16]
Zudem wird ebenfalls die neue Kategorie ?Unternehmen in besonderen offentlichen Interesse“ (UBI) eingefuhrt
[17]
. Darunter fallen bspw. Rustungs- und Chemieunternehmen sowie die großten deutschen Konzerne, inkl. deren wesentliche Zulieferer.
[18]
Medial wird die neugeschaffene Kritis-Kategorie haufig auch als ?Quasi-Kritis“ oder ?Kritis-Light“ bezeichnet, da die gesetzlichen Anforderungen an ?Unternehmen in besonderen offentlichen Interesse“ zwar substanziell aber im Vergleich zu Betreibern Kritischer Infrastrukturen gemaß der BSI-KritisV weniger weitreichend sind.
[19]
Das
Kritis-Dachgesetz
soll ab 2024 die CER-Richtlinie umsetzen, und das NIS2-Umsetzungsgesetz soll die NIS2-Richtlinie umsetzen.
[20]
Aufgrund der
Vernetzung
Kritischer Infrastrukturen sowohl sektorubergreifend als auch grenzuberschreitend bestehen starke, nicht-lineare
Interdependenzen
. Dies kann dazu fuhren, dass sich eine Storung von einem Betreiber einer Kritischen Infrastruktur durch
Kaskadeneffekt
auf andere Betreiber ausbreitet und somit die Bevolkerung gefahrdet.
[21]
Betreiber ist nach
§ 1
Nr. 2 BSI-KritisV eine
naturliche
oder
juristische Person
, die unter Berucksichtigung der rechtlichen, wirtschaftlichen und tatsachlichen Umstande bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausubt.
In der
Schweiz
umfasst das Spektrum der Kritischen Infrastrukturen neun Sektoren, unterteilt in 27 Teilsektoren (Branchen).
[22]
Kritische Infrastrukturen sind in
Osterreich
in
§ 74
Z 11
Strafgesetzbuch
sowie in
§ 22
Abs. 1 Z 6
Sicherheitspolizeigesetz
definiert. Beauftragt fur den Schutz sind das
Bundesministerium fur Inneres
und das
Bundeskanzleramt
; diese werden vom
APCIP
in der Umsetzung unterstutzt. Osterreich hat verbindliche bilaterale Vertrage mit den Landern
Slowakei
und
Tschechien
, in denen sie sich gegenseitige Hilfe in Notlagen zusichern.
Auch eine
D-A-CH
-Kooperation sowie die Zusammenarbeit mit der
Europaischen Kommission
bei
EPCIP
,
Fonds Innere Sicherheit
(kurz ISF) und
CIWIN
bestehen.
[23]
- Stefan Loubichi,
Implementieren und Zertifizieren von IT-Sicherheitsmanagementsystemen nach ISO 27001 in der Energiewirtschaft
, VGB PowerTech Journal, Ausgabe 6/2017, S. 54 bis 57, ISSN 1435-3199
- Internetplattform von BBK (Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe) und BSI (Bundesamt fur Sicherheit in der Informationstechnik) zum Thema ?Schutz Kritischer Infrastrukturen“
- Kritische Infrastrukturen
Risiko- und Krisenmanagementsysteme fur Betreiber kritischer Infrastrukturen, TUV SUD Industrie Service GmbH
- Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)
(PDF; 330 kB), Bundesministerium des Innern, Berlin, 17. Juni 2009
- Kompetenzzentrum Kritische Infrastrukturen (KKI) e. V.
- Internetplattform des BABS (Schweizer Bundesamt fur Bevolkerungsschutz) zum Thema ?Schutz Kritischer Infrastrukturen“
- Unabhangige Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS)
- COVID?19: Ubersicht Kritischer Dienstleistungen. Sektorspezifische Hinweise und Informationen mit KRITIS-Relevanz
, Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe, 2020
- OpenKRITIS, ?KRITIS ? auf den zweiten Blick“
- ↑
Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 uber die Ermittlung und Ausweisung europaischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
, abgerufen am 30. April 2017
- ↑
Tillmann Schulze,
Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA
, 2006, S. 24 FN 14
- ↑
Bundesministerium des Innern, fur Bau und Heimat
(BMI),
KRITIS-Strategie
, 2009, S. 5
- ↑
Harald Karutz/Wolfram Geier/Thomas Mitschke,
Bevolkerungsschutz
, 2017, S. 186
- ↑
Tillmann Schulze,
Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA
, 2006, S. 112
- ↑
Tillmann Schulze,
Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA
, 2006, S. 25
- ↑
Markus Schumacher/Utz Roedig/Marie-Luise Moschgath,
Hacker Contest: Sicherheitsprobleme, Losungen, Beispiele
, 2003, S. 157
- ↑
Tillmann Schulze,
Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA
, 2006, S. 136.
- ↑
Bernd Buthe,
Integration raumordnerischer Belange in die Verkehrsplanung
, 2017, S. 14 f.
- ↑
Bernd Buthe,
Integration raumordnerischer Belange in die Verkehrsplanung
, 2017, S. 15.
- ↑
EU RCE Resilienz (CER).
In:
openkritis.de.
Abgerufen am 11. Marz 2024
.
- ↑
EU-Richtlinien zum Schutz Kritischer Infrastrukturen.
In:
bmi.bund.de.
Bundesministerium des Innern und fur Heimat, 18. Januar 2023,
abgerufen am 11. Marz 2024
.
- ↑
Sicherheitsstrategie fur die Guter- verkehrs- und Logistikwirtschaft.
Bundesministerium fur Verkehr und digitale Infrastruktur
, Oktober 2014,
S. 4
,
abgerufen am 9. Februar 2023
.
- ↑
Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie).
Bundesministerium des Innern, 17. Juni 2009,
S. 9
,
abgerufen am 9. Februar 2023
.
- ↑
Definition ?Kritische Infrastrukturen“ (Sektoren- und Brancheneinteilung) nach dem Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe
, aufgerufen am 20. April 2020
- ↑
Definition KRITIS.
In:
bsi.bund.de.
Bundesamt fur Sicherheit in der Informationstechnik,
abgerufen am 11. Marz 2024
.
- ↑
Unternehmen im besonderen offentlichen Interesse
nach BSI, abgerufen am 22. November 2021
- ↑
Johannes Kuhn:
IT-Sicherheitsgesetz 2.0 ? Streit um die ?Lex Huawei“.
In:
Deutschlandfunk.
18. Dezember 2020,
abgerufen am 29. Dezember 2020
.
- ↑
Gotz Guttich:
Unternehmen im besonderen offentlichen Interesse.
Security Insider,
abgerufen am 1. Juni 2021
.
- ↑
KRITIS-Dachgesetz.
In:
openkritis.de.
Abgerufen am 11. Marz 2024
.
- ↑
Stefan Voßschmidt/Andreas Karsten (Hrsg.),
Resilienz und Kritische Infrastrukturen
, 2019, S. 20 f.
- ↑
Bundesamt fur Bevolkerungsschutz (BABS),
Die kritischen Infrastrukturen
, 2020
, aufgerufen am 20. April 2020
- ↑
Osterreichisches Programm zum Schutz kritischer Infrastrukturen, Masterplan 2014
aufgerufen am 4. Marz 2019
- ↑
phw/dpa:
Regierung will Schutz kritischer Infrastruktur besser koordinieren.
In:
Spiegel.
21. Oktober 2022,
abgerufen am 21. Oktober 2022
.