Notice: Unexpected clearActionName after getActionName already called in /var/www/html/includes/context/RequestContext.php on line 338
Kritische Infrastruktur – Wikipedia Zum Inhalt springen

Kritische Infrastruktur

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Kritis)

Vorlage:Hinweisbaustein

Infrastrukturen, die eine wesentliche Bedeutung für die Aufrechterhaltung gesellschaftlicher Funktionen haben, werden als kritische Infrastrukturen bezeichnet. Diese verdienen besonderen Schutz. Zu kritischen Infrastrukturen zählen beispielsweise die Versorgung mit Lebensmitteln, Energie und Wasser.

Allgemeines

Infrastrukturen sind jedermann zugängliche staatliche oder private Anlagen oder Einrichtungen, die in einem festgelegten organisatorischen und/oder geografischen Bereich Dienstleistungen zur Verfügung stellen.<ref>Tillmann Schulze, Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA, 2006, S. 24 FN 14</ref> Dazu gehören auch die ablaufenden Prozesse, die eingesetzte Informationstechnik sowie die tätigen Arbeitskräfte. Kritische Infrastrukturen sind dementsprechend „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“<ref>Bundesministerium des Innern, für Bau und Heimat (BMI), KRITIS-Strategie, 2009, S. 5</ref> Der Begriff „kritisch“ bezieht sich auf die Systemrelevanz der Infrastrukturen, also auf die für das Gesamtsystem und die Daseinsvorsorge besonders bedeutsamen Einrichtungen.<ref>Harald Karutz/Wolfram Geier/Thomas Mitschke, Bevölkerungsschutz, 2017, S. 186</ref>

Es bedarf auch des Schutzes kritischer Informationsinfrastrukturen ({{Modul:Vorlage:lang}} Modul:Vorlage:lang:103: attempt to index field 'wikibase' (a nil value), CIIP). „Kritisch“ meint hierbei nicht, dass die Eintrittswahrscheinlichkeit von Störungen hoch ist. Es ist vielmehr so zu verstehen, dass Störungen oder Ausfälle weitreichende Folgen bis hin zu katastrophalen Auswirkungen für Staat, Wirtschaft und/oder große Teile der Bevölkerung haben können.<ref>Tillmann Schulze, Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA, 2006, S. 112</ref>

Geschichte

Das Bewusstsein über die Konzentration auf kritische Infrastrukturen entstand erst im Juli 1996 in den USA, als dort politische Entscheidungen getroffen und Maßnahmen ergriffen wurden, die auf deren Schutz abzielten.<ref>Tillmann Schulze, Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA, 2006, S. 25</ref> Nach dem Bombenanschlag auf das Murrah Federal Building in Oklahoma City im April 1995 schlug Janet Reno, Attorney General unter Präsident Bill Clinton, eine Kommission vor, die sich mit der Verwundbarkeit der USA durch Angriffe auf unverzichtbare Einrichtungen befassen sollte. Das Gremium hieß offiziell „Presidential Commission on Critical Infrastructure Protection (PCCIP)“<ref>Markus Schumacher/Utz Roedig/Marie-Luise Moschgath, Hacker Contest: Sicherheitsprobleme, Lösungen, Beispiele, 2003, S. 157</ref> und machte im Oktober 1997 darauf aufmerksam, dass das Hauptaugenmerk auf das Internet zu legen sei, weil Hacker kritische Infrastrukturen hierüber lahmlegen könnten. Als kritische Infrastrukturen identifizierte die Kommission die Wirtschaftszweige:

Weitere Fortschritte gab es erst aus Anlass besonderer Katastrophen. So sorgten die Terroranschläge am 11. September 2001 unter anderem mit dem Begriff {{Modul:Vorlage:lang}} Modul:Multilingual:153: attempt to index field 'data' (a nil value) dafür, dass die US-Regierung Mittel, Personal, Kompetenzen und Aufgaben für den Katastrophenschutz sowie die Flughafen- und Luftsicherheit verstärkte. Ein Computervirus ließ im August 2003 in 23 Bundesstaaten für Stunden sämtliche Eisenbahnsignal ausfallen, wodurch Züge bis zu 6 Stunden Verspätung hatten oder ganz ausfielen. Im selben Monat löste ein Blitzschlag an der Ostküste einen großflächigen Stromausfall aus, als Stromleitungen nicht mehr funktionierten, was zur Überlastung von Kraftwerken führte, die sich automatisch abschalteten.<ref>Tillmann Schulze, Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA, 2006, S. 136.</ref>

Arten

Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und sozioökonomischen Infrastrukturen:<ref>Bernd Buthe, Integration raumordnerischer Belange in die Verkehrsplanung, 2017, S. 14 f.</ref>

Technische Basisinfrastrukturen gewährleisten die:

  • Energieversorgung,
  • Trinkwasserversorgung sowie Abwasserentsorgung und
  • ermöglichen Informationsaustausch, Kommunikation sowie
  • Transport und Verkehr bis hin zu
  • Absatz- und Lieferketten.

Sozioökonomische Infrastrukturen betreffen:

Teilweise sind sie voneinander abhängig, wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten).<ref>Bernd Buthe, Integration raumordnerischer Belange in die Verkehrsplanung, 2017, S. 15.</ref>

Rechtsfragen

Im Sinne der Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessernVorlage:Abrufdatum ist eine kritische Infrastruktur eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.

Die CER-Richtlinie (EU 2022/2557) reguliert die Resilienz bei kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht.<ref>EU RCE Resilienz (CER). In: openkritis.de. Abgerufen am 11. März 2024.</ref> Die NIS-2-Richtlinie weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus.<ref>EU-Richtlinien zum Schutz Kritischer Infrastrukturen. In: bmi.bund.de. Bundesministerium des Innern und für Heimat, 18. Januar 2023, abgerufen am 11. März 2024.</ref> Welche Anforderungen im Detail bestehen, wird im Jahre 2030 mit einer Verordnung definiert.<ref>Stromausfall in Berlin: "Die Krisenkommunikation war am Anfang katastrophal". heise.de, 7. Januar 2026, abgerufen am 7. Januar 2026.</ref>

Situation in Deutschland

In Deutschland erscheinen kritische Infrastrukturen als Rechtsbegriff erstmals im Dezember 2008 im Raumordnungsgesetz (ROG). Danach ist es einer der Grundsätze der Raumordnung, dass nach § 2 Abs. 2 Nr. 3 ROG dem Schutz kritischer Infrastrukturen Rechnung zu tragen ist. In den Bereich des Schutzes kritischer Infrastrukturen fällt auch die Versorgung von Schlüsselindustrien, deren Beeinträchtigung unmittelbar schwerwiegende Störungen der Versorgungslage nach sich ziehen würde.<ref>Sicherheitsstrategie für die Güter- verkehrs- und Logistikwirtschaft. Bundesministerium für Verkehr und digitale Infrastruktur, Oktober 2014, S. 4, abgerufen am 9. Februar 2023.</ref> Dabei gilt als Maß für die Bedeutung einer Infrastruktur im Hinblick auf ihre Systemfunktionalität die „Kritikalität von Infrastrukturen“.<ref>Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). Bundesministerium des Innern, 17. Juni 2009, S. 9, abgerufen am 9. Februar 2023.</ref> Kritische Infrastrukturen im Sinne des § 2 Abs. 10 BSI-Gesetz sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Betreiber kritischer Infrastrukturen sind gemäß § 8a Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Das Bundesministerium des Innern bestimmte gemäß § 10 Abs. 1 BSI-Gesetz durch Rechtsverordnung näher, welche Einrichtungen, Anlagen oder Teile davon als kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Diese Rechtsverordnung ist die BSI-KritisV (Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz, BSI-Kritisverordnung), die folgende neun Sektoren als kritische Infrastrukturen identifiziert:

  1. Energie: Elektrizität, Gas, Mineralöl, Fernwärme (§ 2 BSI-KritisV),
  2. Wasser: Öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung (§ 3 BSI-KritisV),
  3. Ernährung: Ernährungswirtschaft, Lebensmittelhandel (§ 4 BSI-KritisV),
  4. Informationstechnik und Telekommunikation (§ 5 BSI-KritisV),
  5. Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore (§ 6 BSI-KritisV),
  6. Finanz- und Versicherungswesen: Kreditinstitute, Börsen, Versicherungen, Finanzdienstleister (§ 7 BSI-KritisV),
  7. Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende (§ 8 BSI-KritisV),
  8. Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik (§ 9 BSI-KritisV),
  9. Siedlungsabfallentsorgung (§ 10 BSI-KritisV).

Zusätzlich rechnet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe folgende kritische Infrastrukturen hinzu:<ref>Definition „kritische Infrastrukturen“ (Sektoren- und Brancheneinteilung) nach dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, aufgerufen am 20. April 2020</ref>

Die beiden letzten Sektoren sind nicht Bestandteil der BSI-KritisV.

Mit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Änderungen des BSI-Gesetzes tritt ein weiterer Kritis-Sektor hinzu:

Das Bundesamt für Sicherheit in der Informationstechnik nennt somit zehn kritische Infrastrukturen.<ref>Definition KRITIS. In: bsi.bund.de. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 11. März 2024.</ref> Zudem wird ebenfalls die neue Kategorie „Unternehmen in besonderen öffentlichen Interesse“ (UBI) eingeführt<ref>Unternehmen im besonderen öffentlichen Interesse nach BSI, abgerufen am 22. November 2021</ref>. Darunter fallen bspw. Rüstungs- und Chemieunternehmen sowie die größten deutschen Konzerne, inkl. deren wesentliche Zulieferer.<ref>Johannes Kuhn: IT-Sicherheitsgesetz 2.0 – Streit um die „Lex Huawei“. In: Deutschlandfunk. 18. Dezember 2020, abgerufen am 29. Dezember 2020.</ref> Medial wird die neugeschaffene Kritis-Kategorie häufig auch als „Quasi-Kritis“ oder „Kritis-Light“ bezeichnet, da die gesetzlichen Anforderungen an „Unternehmen in besonderen öffentlichen Interesse“ zwar substanziell aber im Vergleich zu Betreibern Kritischer Infrastrukturen gemäß der BSI-KritisV weniger weitreichend sind.<ref>Götz Güttich: Unternehmen im besonderen öffentlichen Interesse. Security Insider, abgerufen am 1. Juni 2021.</ref>

Das Kritis-Dachgesetz soll ab 2024 die CER-Richtlinie umsetzen, und das NIS2-Umsetzungsgesetz soll die NIS2-Richtlinie umsetzen.<ref>KRITIS-Dachgesetz. In: openkritis.de. Abgerufen am 11. März 2024.</ref>

Wirtschaftliche Aspekte

Aufgrund der Vernetzung kritischer Infrastrukturen sowohl sektorübergreifend als auch grenzüberschreitend bestehen starke, nicht-lineare Interdependenzen. Dies kann dazu führen, dass sich eine Störung von einem Betreiber einer kritischen Infrastruktur durch Kaskadeneffekt auf andere Betreiber ausbreitet und somit die Bevölkerung gefährdet.<ref>Stefan Voßschmidt/Andreas Karsten (Hrsg.), Resilienz und Kritische Infrastrukturen, 2019, S. 20 f.</ref> Betreiber ist nach § 1 Nr. 2 BSI-KritisV eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt.

International

Kanada

Kanada hat eine nationale Strategie für kritische Infrastruktur<ref>Public Safety Canada: National Strategy for Critical Infrastructure. 21. Dezember 2018, abgerufen am 10. Oktober 2025.</ref> in Verbindung mit einem Aktionsplan.<ref>Public Safety Canada: National Cross Sector Forum 2021-2023 Action Plan for Critical Infrastructure. 26. Mai 2021, abgerufen am 10. Oktober 2025.</ref> Darin wurden folgende Sektoren definiert:

  • Energie und Versorgungsunternehmen
  • Finanzen
  • Lebensmittel
  • Verkehr
  • Regierung
  • Informations- und Kommunikationstechnologie
  • Gesundheit
  • Wasser
  • Sicherheit
  • Fertigung

Das Ziel der Strategie ist es, die Resilienz zu stärken. Dazu sollen Partnerschaften zwischen der Verwaltung und privaten Betreibern aufgebaut, ein Risikomanagement etabliert und Informationen besser ausgetauscht werden.

Österreich

Kritische Infrastrukturen sind in Österreich in § 74 Z 11 Strafgesetzbuch sowie in § 22 Abs. 1 Z 6 Sicherheitspolizeigesetz definiert. Beauftragt für den Schutz sind das Bundesministerium für Inneres und das Bundeskanzleramt; diese werden vom APCIP in der Umsetzung unterstützt. Österreich hat verbindliche bilaterale Verträge mit den Ländern Slowakei und Tschechien, in denen sie sich gegenseitige Hilfe in Notlagen zusichern.

Auch eine D-A-CH-Kooperation sowie die Zusammenarbeit mit der Europäischen Kommission bei EPCIP, Fonds Innere Sicherheit (kurz ISF) und CIWIN bestehen.<ref><templatestyles src="Webarchiv/styles.css" />Österreichisches Programm zum Schutz kritischer Infrastrukturen, Masterplan 2014 (Memento des Vorlage:IconExternal vom 20. Mai 2019 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundeskanzleramt.gv.at aufgerufen am 4. März 2019</ref>

Schweiz

In der Schweiz umfasst das Spektrum der kritischen Infrastrukturen neun Sektoren, unterteilt in 27 Teilsektoren (Branchen).<ref>Bundesamt für Bevölkerungsschutz (BABS), Die kritischen Infrastrukturen, 2020, aufgerufen am 20. April 2020</ref>

Siehe auch

Literatur

  • Stefan Loubichi, Implementieren und Zertifizieren von IT-Sicherheitsmanagementsystemen nach ISO 27001 in der Energiewirtschaft, VGB PowerTech Journal, Ausgabe 6/2017, S. 54 bis 57, ISSN 1435-3199

Weblinks

Wiktionary: kritische Infrastruktur – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

<references responsive/>

Vorlage:Hinweisbaustein

Vorlage:Hinweisbaustein

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Kritische_Infrastruktur&oldid=202417