Kritis Prüfung – alles was Sie darüber wissen müssen

Im Bereich der IT Sicherheit fällt immer wieder der Begriff der Kritis Prüfung, wenn vom Schutz kritischer Infrastrukturen die Rede ist. Doch was genau steckt hinter dem Begriff, welche Unternehmen und Organisationen betrifft er und welche Ziele verfolgt eine Kritis Prüfung? Diese und weitere Fragen beantworten wir Ihnen verständlich und übersichtlich in diesem Blogbeitrag.

Kritische Infrastrukturen – Definition und Rechtslage

Was bedeutet die Abkürzung Kritis?

Die Abkürzung Kritis steht im IT Bereich für kritische Infrastrukturen. Es handelt sich dabei um Organisationen, Einrichtungen oder Systeme, deren Beeinträchtigung oder deren Ausfall schwerwiegende Auswirkungen auf das staatliche Gemeinwesen, sprich die öffentliche Sicherheit, Gesundheit oder Versorgung der Bevölkerung haben können.

In Deutschland sind solche kritischen IT Infrastrukturen in einem eigenen Gesetz, dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, auch als IT Sicherheitsgesetz bekannt, definiert. Dieses ist seit 2015 in Kraft und wurde zuletzt im Jahr 2021 novelliert. 

Demnach unterliegen Unternehmen und Organisationen besonderen Anforderungen an die IT Sicherheit. Sie sind verpflichtet, durch spezielle Maßnahmen dazu beizutragen, dass kritische Infrastrukturen adäquat geschützt werden.

Schutz von öffentlichen Branchen als Hauptziel der Kritis-Prüfung

Die Kritis-Prüfung hat mehrere wichtige Ziele, die es zu erreichen gilt. Eines der Hauptziele ist die Erhöhung der IT Sicherheit kritischer Infrastrukturen, beispielsweise in folgenden öffentlichen Bereichen:

• Energieversorgung
• Telekommunikation
• Gesundheitswesen
• Verkehr

Diese Branchen sind von zentraler Bedeutung für die Gesellschaft und müssen daher besonders geschützt werden. Durch die Kritis-Prüfung sollen mögliche Schwachstellen in der IT Sicherheit aufgedeckt und analysiert werden, um entsprechende Maßnahmen zur Verbesserung der Sicherheit ableiten zu können.

Risikobewertung bis Ausfallvermeidung – Ziele einer Kritis Prüfung

In einer Kritis-Prüfung geht es darum, Risiken und Bedrohungen für kritische Infrastrukturen zu identifizieren und zu bewerten. Hierbei geht es nicht nur um technische Risiken, sondern auch um organisatorische und personelle Risiken.

Ein weiteres wichtiges Ziel der Kritis-Prüfung besteht in der Vermeidung von Störungen und Ausfällen in kritischen Infrastrukturen. Ein Ausfall von Kritis kann erhebliche negative Auswirkungen auf die Bevölkerung haben und zu schweren wirtschaftlichen Schäden führen. 

Durch eine gezielte Kritis-Prüfung können potenzielle Schwachstellen erkannt und entsprechende Maßnahmen zur Vermeidung von Ausfällen eingeleitet werden.

Ablauf einer Kritis-Prüfung in der IT Sicherheit

Die Kritis-Prüfung ist ein umfangreiches Verfahren, das in verschiedenen Phasen durchgeführt wird. Der Ablauf beginnt mit der Vorbereitungsphase, in der die Betreiber kritischer Infrastrukturen eine Selbsteinschätzung durchführen und den Umfang der Prüfung festlegen. 

Darauf folgt die Durchführungsphase, in der die Bundesnetzagentur ein Prüfteam bestimmt und die Prüfung vor Ort durchführt. Hierbei werden verschiedene Aspekte der IT Sicherheit und des Risikomanagements untersucht. Die Prüfer haben Zugriff auf relevante Dokumente und IT Systeme und können Interviews mit Mitarbeitern durchführen.

Nach Abschluss der Prüfung erfolgt die Berichterstattung. Die Prüfer erstellen einen detaillierten Prüfbericht, in dem die Ergebnisse und Empfehlungen zusammengefasst sind. Der Bericht wird abschließend der Bundesnetzagentur vorgelegt, die ihn auf Vollständigkeit und Plausibilität prüft.

Die Kritis-Prüfung erfordert die Zusammenarbeit von verschiedenen Akteuren. Die Betreiber kritischer Infrastrukturen sind für die Vorbereitung und Umsetzung der Prüfung verantwortlich. Die Bundesnetzagentur koordiniert die Prüfung und stellt die Prüfer zur Verfügung.

Bei den Prüfern handelt es sich um unabhängige Experten, die über umfassende Erfahrungen im Bereich der IT Sicherheit verfügen. Gemeinsam tragen sie dazu bei, die IT Sicherheit kritischer Infrastrukturen zu erhöhen und mögliche Risiken und Schwachstellen aufzudecken.

Von Software bis Schulungen – Maßnahmen für optimalen Kritis-Schutz

Zur Verbesserung der IT Sicherheit in kritischen Infrastrukturen können verschiedene Maßnahmen ergriffen werden. Hierbei stehen insbesondere die Umsetzung von Standards und Best Practices, Schulungen für Mitarbeiter sowie die Implementierung von Sicherheitstechnologien im Fokus. Zu den konkreten Maßnahmen zählen:

• Umsetzung von Normen wie der ISO/IEC 27001, dem BSI Grundschutz oder dem NIST Cybersecurity Framework zur Etablierung eines Informationssicherheits-Managementsystems
• Implementierung von Firewalls und Intrusion Detection/Prevention Systemen
• Einführung von Security Information and Event Management (SIEM) Systemen zur Überwachung von Netzwerken
• Einsatz von Antivirus- und Anti-Malware-Software zur Erkennung und Beseitigung von Schadsoftware
• Schulungen für Mitarbeiter zur Sensibilisierung für IT Sicherheitsrisiken und zur Vermittlung von Best Practices
• Durchführung von Penetrationstests zur Identifikation von Schwachstellen in der IT Infrastruktur

Diese und weitere Maßnahmen können dazu beitragen, die IT Sicherheit in kritischen Infrastrukturen zu erhöhen und die Auswirkungen von Störungen und Ausfällen zu minimieren.

Fazit

Kritis sind Organisationen, Einrichtungen oder Systeme, deren Beeinträchtigung oder Ausfall schwerwiegende Auswirkungen auf das staatliche Gemeinwesen haben können. Das erklärte Ziel einer Kritis Prüfung ist es dabei, Risiken und Schwachstellen in kritischen Infrastrukturen aufzudecken und Ausfälle zu vermeiden.

Die Betreiber kritischer Infrastrukturen sind verpflichtet, durch spezielle Maßnahmen zur Erhöhung der IT Sicherheit beizutragen. Dabei werden sie von verschiedenen Akteuren wie der Bundesnetzagentur, aber auch von unabhängigen Prüfern unterstützt. Dabei sollten Sie stets mit anerkannten IT Experten wie den Kritis Profis von Dokuworks zusammenarbeiten.