Netzwerk-Treffen der KRITIS-Branche beschäftigte sich mit modernen und nachhaltigen Lösungen zur Absicherungen kritischer Infrastrukturen.
Der Hintergrund der Einladung: Auf Betreiber kritischer Infrastrukturen kommen immense Herausforderungen zu. Die Krisen der vergangenen Monate haben deutlich gezeigt, dass kritische Infrastruktur nach wie vor verletzlich und angreifbar ist. Spätestens seit den Sabotageakten im vergangenen Jahr, die es auch vielfach in die Medien geschafft haben: „Wir leben in bewegten Zeiten“, so eröffnete Kentix-CEO Thomas Fritz die Veranstaltung mit einem kurzen Überblick über die Ist-Situation. Klar ist: Um die physische Sicherheit von lebens- und versorgungsnotwendigen Sektoren und Strukturen wie Energie, Telekommunikation oder Mobilität ist es nicht gut bestellt. Zwar existiert in der Bundesrepublik schon seit 2015 das IT-Sicherheitsgesetz (IT-SiG). Eine Sektoren- und gefahrenübergreifende gesetzliche Grundlage, die explizit den physischen Schutz von kritischen Infrastrukturen regelt, fehlt jedoch bis heute vollständig. Die Politik hat den Handlungsbedarf erkannt und holt dies mit jetzt mit dem kommenden KRITIS-Dachgesetz nach.
Ein gesetz über den physischen Schutz von KRITIS fehlt vollständig – Politik bessert nun nach
Ein Eckpunkte- Papier wurde im Dezember 2022 vom Bundestag verabschiedet. In Kürze soll ein entsprechendes Gesetz folgen. Grundtenor: Kritische Infrastrukturen müssen künftig besser physisch geschützt werden. Die genauen Anforderungen aus dem neuen IT-Sicherheitsgesetz 3.0 und dem KRITIS-Dachgesetz sind derzeit noch offen. Klar ist jedoch: Wesentlich mehr Unternehmen und Organisationen als bislang werden künftig zur kritischen Infrastruktur zählen. Das zeigte Holger Berens, Vorstandsvorsitzender des Bundesverbandes für den Schutz Kritischer Infrastrukturen e.V. (BSKI), in seinem Vortrag auf. Denn mit den neuen Gesetzen werden auch Schwellwerte und Definitionen angepasst. Das führt dazu, dass „mittlere und große Einrichtungen aus einer Reihe von Sektoren, die nicht zu den sogenannten kritischen Infrastrukturen (Kritis) zählen, in den Anwendungsbereich fallen werden“, so Berens. „Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsservices und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte wie medizinischer Geräte, Maschinen und Kfz, Post- und Kurierdienste sowie die öffentliche Verwaltung auf zentraler und regionaler Ebene ein.“
Die Sanktionen bei Nichtumsetzung der neuen Gesetze haben es in sich. So sollen Behörden Betreibern Anweisungen erteilen, öffentliche Verwarnungen aussprechen und einen Aufsichtsbeamten bestellen können. Wird auch dann nicht nachgebessert, könnten Zertifizierungen oder gar die Betriebserlaubnis entzogen werden. Ebenfalls ein wichtiges Novum: Geschäftsführer oder Vorstände von Betreibern sollen für Verstöße persönlich haftbar gemacht werden können.
Ein Thema, viele Ansätze
Entsprechend reflektiert fällt das Fazit des Tages aus. „Mir ist klar geworden, dass der KRITIS-Markt ein riesiges Potenzial für uns als Security Integrator bietet – deutlich größer als angenommen und politisch unterstützt bzw. vorangetrieben wird“, so Jens Möller, Director Business Development bei e-shelter security. „Die Veranstaltung hat nochmal verdeutlicht, wie wichtig der Schutz von kritischen Infrastrukturen ist“, fasst Mario Lukas von TÜV Informationstechnik GmbH zusammen und betont: „Auf Betreiber solcher kommen in Zukunft weitere weitreichende regulatorische Anforderungen zu. TÜVIT ist auf jeden Fall bereit.“ Für Kentix-CEO Thomas Fritz ist die Kernaussage des Events, dass „Physical Security Teil der IT-Security wird. Spannend wird künftig auch die Durchgriffshaftung. Wir leben wirklich in bewegten Zeiten!“
