Regulierung

KRITIS — Kritische Infrastrukturen

Organisationen und Einrichtungen deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit führen würde.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Wenn das Stromnetz ausfällt, Krankenhäuser kein Wasser mehr haben oder Supermärkte nicht mehr beliefert werden — das wäre eine nationale Katastrophe. KRITIS-Betreiber sind Unternehmen und Behörden, deren Systeme so wichtig sind, dass sie besonders gut geschützt sein müssen.”

Ausführliche Erklärung

KRITIS umfasst in Deutschland 9 Sektoren: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz/Versicherung, Transport/Verkehr, Medien/Kultur, Staat/Verwaltung. Das BSI reguliert KRITIS-Betreiber nach dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0): Registrierungspflicht, Meldepflicht, Nachweispflicht und Angriffserkennung. Schwellenwerte: Ab bestimmten Anlagenwerten gelten verschärfte Pflichten. NIS2 erweitert diese Konzepte auf EU-Ebene erheblich.

>Wie funktioniert das?

Identifikation: BSI definiert Schwellenwerte pro Sektor (z.B

Energieversorgung ab 500.000 versorgter Personen)

Registrierung: KRITIS-Betreiber melden sich beim BSI

Mindeststandards: Technische und organisatorische Maßnahmen nach IT-SiG 2.0

Meldepflicht: Erhebliche IT-Störungen müssen ans BSI gemeldet werden

Nachweis: Regelmäßige Audits und Prüfnachweise gegenüber dem BSI.

?Häufig gestellte Fragen

Antwort

Ca. 1.600-2.000 Unternehmen und Einrichtungen in 9 Sektoren — von Energieversorgern und Wasserwerken über Krankenhäuser bis hin zu großen Banken und Telekommunikationsanbietern.

Antwort

KRITIS-Betreiber sind verpflichtet, Systeme zur Angriffserkennung (IDS/IPS, SIEM) einzusetzen und die Erkennungsfähigkeit nachzuweisen — eine der wichtigsten Neuerungen des IT-SiG 2.0.

Antwort

Das BSI überwacht KRITIS-Betreiber, nimmt Meldungen entgegen, gibt Handlungsempfehlungen und kann bei schwerwiegenden Verstößen Maßnahmen anordnen.

Antwort

Weil staatliche Akteure (Russland, China, Nordkorea, Iran) kritische Infrastruktur als strategisches Ziel betrachten — sowohl für Spionage als auch als potenzielle Druckmittel in geopolitischen Konflikten.

Antwort

KRITIS ist die deutsche nationale Regulierung für kritische Infrastrukturen. NIS2 ist der EU-Rahmen der deutlich mehr Unternehmen erfasst — viele KRITIS-Pflichten werden durch NIS2 europaweit harmonisiert.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC