Home
Intern
veröffentlicht am 26. Februar 2021
Laut Definition ist eine „Kritische Infrastruktur” eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist. Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) müssen sich künftig noch mehr mit Fragen der Informationssicherheit auseinandersetzen.
Dies ist einerseits darauf zurückzuführen, dass das durch Cyber-Crime hervorgerufene Risikopotenzial stetig zunimmt. Dies zeigen bspw. erneute Hackerangriffe in den vergangenen Wochen und Monaten, bei denen u.a. Kundendaten erbeutet wurden oder Versorger Opfer von Erpressern wurden. Jüngst wurde gar berichtet, dass es Cyber-Kriminellen gelang, Zugriff auf die Leitstellen von Wasserversorgungsunternehmen zu erlangen und Anlagen zu manipulieren.1
Andererseits kommt nun wohl tatsächlich Dynamik in die (gesetzliche) Bewertung Kritischer Infrastrukturen, die sowohl Wasserversorgungsunternehmen als auch Abwasserbeseitigungsunternehmen betreffen werden. So sollen mit dem IT-Sicherheitsgesetz 2.0 und der neuen KRITIS-Verordnung (KritisV) wesentliche Veränderungen bei den Schwellenwerten kommen, ab denen Unternehmen der Wasserwirtschaft die gesetzlichen Vorgaben als KRITIS-Betreiber erfüllen müssen.
So werden in der Trinkwasserversorgung künftig wohl auch Betreiber mit einer geringeren Netzeinspeisung als 22 Mio. m³/Jahr als kritische Infrastruktur eingestuft, in der Abwasserentsorgung dürfte der Schwellenwert für Betreiber wohl unterhalb der bisher einschlägigen 500.000 Einwohner sinken. Im Kern wird sogar damit gerechnet, dass die Schwellenwerte auf bis zu 1/10 der derzeitigen Schwellenwerte abgesenkt werden.
Als Kernbestandteil des Gesetzes wird für die betroffenen Unternehmen auch künftig gelten, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind, die dem Stand der Technik entsprechen. Außerdem sind erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die zuständige Aufsichtsbehörde zu melden.
Die ordnungsgemäße Umsetzung der gesetzlichen Vorgaben ist dem BSI regelmäßig nachzuweisen. Um dies effizient zu ermöglichen, hat das Institut der Wirtschaftsprüfer (IDW) mit dem Prüfungsstandard 860 im Jahr 2018 einen kriterienbasierten Prüfungsansatz geschaffen, der sowohl gesetzliche als auch aufsichtsrechtliche und – diese sind im KRITIS-Umfeld besonders wichtig – branchenspezifische Anforderungen aufgreift. In Zusammenarbeit mit dem BSI wurde auf dieser Basis für die Prüfung kritischer Infrastrukturen der Prüfungshinweis PH 9.860.2 entwickelt.
Sprechen Sie uns gerne an – wir freuen uns auf den Dialog mit Ihnen! ________________________________________1 Vgl. hierzu bspw. https://www.faz.net/aktuell/gesellschaft/kriminalitaet/florida-hacker-manipulieren-wasser-in-aufbereitungsanlage-17188261.html, zuletzt aufgerufen am 24. Februar 2021.
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden
