← Zurück zum Blog
KRITIS 11 min Lesezeit

KRITIS Cybersicherheit: Was kritische Infrastrukturen in Deutschland wissen müssen

Energieversorger, Krankenhäuser, Wasserwerke — kritische Infrastrukturen sind bevorzugte Ziele für Cyberangriffe. Die Anforderungen an KRITIS-Betreiber sind hoch. Dieser Guide erklärt, was Sie tun müssen.


Warum KRITIS besonders gefährdet ist

Reale Angriffe auf deutsche Infrastruktur

2021: Landkreis Anhalt-Bitterfeld — Ransomware, Katastrophenfall ausgerufen
2022: Windradhersteller Nordex — Produktion gestoppt
2023: Rheinmetall — Angriff auf Rüstungskonzern
2024: Mehrere Krankenhäuser — Operationen verschoben

KRITIS-Betreiber sind attraktive Ziele weil:


Wer ist KRITIS-Betreiber?

Die BSI-Kritisverordnung definiert Schwellenwerte:

SektorBeispiel-Schwelle
Energie≥500.000 versorgte Personen
Wasser≥500.000 versorgte Personen
Ernährung≥500.000 t/Jahr Produktion
Gesundheit≥30.000 vollstationäre Fälle/Jahr
IT/TK≥100.000 Nutzer
Transport≥50 Mio. Passagiere/Jahr
Finanz/VersicherungIndividuell

NIS2 erweitert den Kreis

Mit NIS2 fallen auch kleinere Unternehmen unter verschärfte Anforderungen. Die Unterscheidung zwischen KRITIS und NIS2-"wichtigen Einrichtungen" verschwimmt.


Gesetzliche Anforderungen

IT-Sicherheitsgesetz 2.0

NIS2-Richtlinie (ab 2024)

BSI-Grundschutz / ISO 27001

KRITIS-Betreiber müssen ein ISMS (Information Security Management System) nachweisen — typischerweise nach:


Technische Anforderungen

1. Systeme zur Angriffserkennung (SzA)

Seit Mai 2023 Pflicht. BSI fordert:

2. Schwachstellenmanagement

BSI empfiehlt

Regelmäßige Schwachstellen-Scans, zeitnahe Behebung kritischer Schwachstellen, dokumentierter Patch-Management-Prozess.

3. Netzwerksegmentierung

4. Incident Response


Der 2-Jahres-Nachweis

KRITIS-Betreiber müssen alle 2 Jahre nachweisen, dass sie angemessene Sicherheitsmaßnahmen umsetzen.

Nachweis-OptionBeschreibung
ISO 27001 ZertifikatAkkreditierte Zertifizierung
BSI-Grundschutz-TestatVom BSI anerkannt
Branchenstandard (B3S)Vom BSI genehmigter Sektorstandard
SicherheitsauditDurch qualifizierte Prüfer

Häufige Schwachstellen bei KRITIS

  1. Legacy-Systeme: Windows XP in Produktionsanlagen
  2. Fehlende Segmentierung: OT direkt im Corporate Network
  3. Schwache Authentifizierung: Keine MFA, Standard-Passwörter
  4. Unbekannte Assets: Shadow IT, vergessene Systeme
  5. Langsames Patching: Monate bis zur Behebung
  6. Fehlende Logs: Angriffe nicht nachvollziehbar

Wie KENSAI KRITIS-Betreibern hilft

KRITIS-Sicherheit prüfen

Kostenloser Scan. 60 Sekunden. Deutscher Anbieter.

Jetzt scannen →

Weiterführende Ressourcen

Kritische Infrastruktur verdient kritischen Schutz.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home