← Zurück zum Blog
KRITIS
11 min Lesezeit
KRITIS Cybersicherheit: Was kritische Infrastrukturen in Deutschland wissen müssen
Energieversorger, Krankenhäuser, Wasserwerke — kritische Infrastrukturen sind bevorzugte Ziele für Cyberangriffe. Die Anforderungen an KRITIS-Betreiber sind hoch. Dieser Guide erklärt, was Sie tun müssen.
Warum KRITIS besonders gefährdet ist
Reale Angriffe auf deutsche Infrastruktur
2021: Landkreis Anhalt-Bitterfeld — Ransomware, Katastrophenfall ausgerufen
2022: Windradhersteller Nordex — Produktion gestoppt
2023: Rheinmetall — Angriff auf Rüstungskonzern
2024: Mehrere Krankenhäuser — Operationen verschoben
KRITIS-Betreiber sind attraktive Ziele weil:
- Hohe Zahlungsbereitschaft bei Ransomware
- Politische Signalwirkung
- Oft veraltete IT-Systeme
- Komplexe OT/IT-Schnittstellen
Wer ist KRITIS-Betreiber?
Die BSI-Kritisverordnung definiert Schwellenwerte:
| Sektor | Beispiel-Schwelle |
| Energie | ≥500.000 versorgte Personen |
| Wasser | ≥500.000 versorgte Personen |
| Ernährung | ≥500.000 t/Jahr Produktion |
| Gesundheit | ≥30.000 vollstationäre Fälle/Jahr |
| IT/TK | ≥100.000 Nutzer |
| Transport | ≥50 Mio. Passagiere/Jahr |
| Finanz/Versicherung | Individuell |
NIS2 erweitert den Kreis
Mit NIS2 fallen auch kleinere Unternehmen unter verschärfte Anforderungen. Die Unterscheidung zwischen KRITIS und NIS2-"wichtigen Einrichtungen" verschwimmt.
Gesetzliche Anforderungen
IT-Sicherheitsgesetz 2.0
- Systeme zur Angriffserkennung: Pflicht seit 1. Mai 2023
- Meldepflicht: Erhebliche Störungen sofort an BSI melden
- Nachweis: Alle 2 Jahre Sicherheitsnachweis erbringen
- Bußgelder: Bis zu €2 Millionen bei Verstößen
NIS2-Richtlinie (ab 2024)
- Risikomanagement: Dokumentiertes Cybersecurity-Framework
- Meldung: 24h Erstmeldung, 72h vollständiger Bericht
- Lieferkette: Security-Anforderungen an Zulieferer
- Geschäftsführerhaftung: Persönliche Verantwortung
- Bußgelder: Bis zu €10 Mio. oder 2% Umsatz
BSI-Grundschutz / ISO 27001
KRITIS-Betreiber müssen ein ISMS (Information Security Management System) nachweisen — typischerweise nach:
- BSI IT-Grundschutz
- ISO/IEC 27001
- Branchenspezifische Standards (B3S)
Technische Anforderungen
1. Systeme zur Angriffserkennung (SzA)
Seit Mai 2023 Pflicht. BSI fordert:
- Protokollierung sicherheitsrelevanter Ereignisse
- Detektion von Anomalien und bekannten Angriffsmustern
- Korrelation von Events aus verschiedenen Quellen
- Alarmierung bei detektierten Angriffen
- Reaktionsfähigkeit (automatisiert oder manuell)
2. Schwachstellenmanagement
BSI empfiehlt
Regelmäßige Schwachstellen-Scans, zeitnahe Behebung kritischer Schwachstellen, dokumentierter Patch-Management-Prozess.
- Inventarisierung aller IT/OT-Systeme
- Regelmäßige Vulnerability Scans
- Priorisierung nach CVSS-Score
- Definierte SLAs für Patches (kritisch: 72h, hoch: 7 Tage)
- Dokumentation aller Maßnahmen
3. Netzwerksegmentierung
- OT-Netze von IT-Netzen getrennt
- DMZ für externe Anbindungen
- Mikrosegmentierung kritischer Systeme
- Zero-Trust-Architektur als Ziel
4. Incident Response
- 24/7-Erreichbarkeit für Sicherheitsvorfälle
- Dokumentierter IR-Plan mit Eskalationsstufen
- Forensik-Fähigkeit (intern oder Rahmenvertrag)
- Regelmäßige Übungen (Tabletop, Red Team)
Der 2-Jahres-Nachweis
KRITIS-Betreiber müssen alle 2 Jahre nachweisen, dass sie angemessene Sicherheitsmaßnahmen umsetzen.
| Nachweis-Option | Beschreibung |
| ISO 27001 Zertifikat | Akkreditierte Zertifizierung |
| BSI-Grundschutz-Testat | Vom BSI anerkannt |
| Branchenstandard (B3S) | Vom BSI genehmigter Sektorstandard |
| Sicherheitsaudit | Durch qualifizierte Prüfer |
Häufige Schwachstellen bei KRITIS
- Legacy-Systeme: Windows XP in Produktionsanlagen
- Fehlende Segmentierung: OT direkt im Corporate Network
- Schwache Authentifizierung: Keine MFA, Standard-Passwörter
- Unbekannte Assets: Shadow IT, vergessene Systeme
- Langsames Patching: Monate bis zur Behebung
- Fehlende Logs: Angriffe nicht nachvollziehbar
Wie KENSAI KRITIS-Betreibern hilft
- ✅ Kontinuierliches Scanning: Erfüllt Anforderung an regelmäßige Prüfung
- ✅ 333.000+ CVEs: Umfassende Schwachstellen-Datenbank
- ✅ Priorisierung: CVSS-basiert, KRITIS-relevant
- ✅ AI-Remediation: Patches automatisch generiert
- ✅ Deutsche Reports: Für BSI-Nachweise geeignet
- ✅ Audit-Trail: Lückenlose Dokumentation
- ✅ Daten in Deutschland: DSGVO/NIS2-konform
KRITIS-Sicherheit prüfen
Kostenloser Scan. 60 Sekunden. Deutscher Anbieter.
Jetzt scannen →
Weiterführende Ressourcen
Kritische Infrastruktur verdient kritischen Schutz.
🗡️ Das KENSAI Team