Storys & Hindergründe

KRITIS Sicherheitslösungen ganzheitlich umsetzen – Sicherheit zur Chefsache machen

Bei der Konferenz STATE OF SECURITY mit über 100 Teilnehmern wurde deutlich: KRITIS-Betreiber müssen Sicherheitslösungen ganzheitlich umsetzen. Sicherheit ist Chefsache – nur die Verzahnung von Technik, Prozessen, Personal und Kooperation schafft nachhaltigen Schutz.

Portraet von Tobias Engelhardt
Von Chefredakteur Smart Living · 07. Juni 2024 · 6 min Lesezeit
Sicherheitskonferenz: KRITIS ganzheitlich schützen und zur Chefsache machen

Schnelle Antworten

Wie können KRITIS-Betreiber Sicherheitslösungen ganzheitlich umsetzen?
Nutzen Sie einen integrierten Ansatz aus baulich-technischen, organisatorischen und digitalen Maßnahmen. Priorisieren Sie nach Risiko und prüfen Sie die Umsetzung im laufenden Betrieb. Messen Sie den Erfolg mit Security-KPIs wie Mean Time to Detect/Respond sowie mit Audits, Penetrationstests und Red-Teaming. Verankern Sie dafür eine Security-Governance, die Budgetplanung, IT/OT, Werksschutz und Recht bündelt.
Welche Qualitätsstandards sind für KRITIS-Betreiber besonders relevant?
In der Konferenz wurden insbesondere EU-empfohlene Sicherheitsnormen wie EN 17483 sowie ein zertifiziertes Business-Continuity-Management, z. B. ISO 22301, genannt. Diese schaffen belastbare und vergleichbare Qualitätsniveaus und erleichtern die Auditfähigkeit. Dazu zählen auch klare Anforderungen an Rekrutierung, Schulung, Zutritts- und Perimeterschutz sowie Melde- und Eskalationsabläufe.
Was bedeutet es, dass KRITIS-Sicherheit eine Chefsache sein muss?
Laut Appell der Konferenz muss Sicherheit als durchgängiges Risk- und Security-Management auf Leitungsebene verankert werden. Die Analysephase reiche nicht aus: Entscheidend ist die konsequente Umsetzung integrierter Maßnahmen. Betreiber sollen Qualitätsanforderungen zusätzlich aktiv in Ausschreibungen und Verträge festlegen, auch wenn der gesetzliche Rahmen weniger konkret wird.
Welche Änderungen bringt NIS2 für KRITIS-Betreiber konkret mit sich?
NIS2 erweitert den Kreis betroffener Unternehmen und verschärft Cyber- und Meldepflichten sowie die Management-Haftung. In der Praxis müssen mehr Risikomanagement, Incident-Handling und Lieferketten-Security nachgewiesen und Prozesse implementiert werden. Zudem sollen digitale, medienbruchfreie Melde- und Nachweiswege etabliert und Zuständigkeiten zwischen Bundes- und Landesbehörden klar geregelt werden.
Geht das KRITIS-Dachgesetz weit genug für Qualitätsnormen mit Sicherheitsdienstleistern?
Die Konferenzteilnehmer sahen im überarbeiteten Referentenentwurf weiterhin eine Lücke: Es fehlten klare Vorgaben zur Anwendung anerkannter Qualitätsnormen in der Zusammenarbeit mit Sicherheitsdienstleistern. Als Referenz wurde die Normenreihe EN 17483 genannt, unter anderem für Standards bei Personaleinsatz, Infrastruktur und Organisation. Der Appell lautet, diese Lücke zügig zu schließen.
Wie machen KRITIS-Betreiber Security messbar und prüfbar?
Im Artikel werden Security-KPIs und regelmäßige Tests als zentral beschrieben, zum Beispiel Mean Time to Detect/Respond. Ergänzend helfen Audits, Penetrationstests und Red-Teaming inklusive Social Engineering, um reale Angriffsszenarien abzubilden. Wichtig ist außerdem ein zertifiziertes BCM nach ISO 22301, um Krisenübungen und Wiederanlaufzeiten konsistent zu steuern.

KRITIS Sicherheitslösungen ganzheitlich umsetzen: "Jeder KRITIS-Betreiber muss Sicherheit ganzheitlich denken und zur Chefsache machen"

KRITIS Sicherheitslösungen ganzheitlich umzusetzen, war der zentrale Appell der Sicherheitskonferenz STATE OF SECURITY von KÖTTER Security und German Business Protection (GBP) in Berlin (06.06.2024, über 100 Teilnehmende). Die Bedrohungslage für Kritische Infrastrukturen in Deutschland ist hoch – physische Angriffe auf Energie- und Verkehrsanlagen treffen auf stetig zunehmende Cyberattacken. Gefordert wurden höhere Investitionen in den KRITIS-Schutz und die klare Verankerung von Security- und Risk-Management als Chefsache.

Die Bedrohungslage ist klar beschrieben

Behörden und Fachgremien warnen seit Langem vor dem Risikopotenzial; Medienberichte zu erfolgreichen oder vereitelten Angriffen auf KRITIS häufen sich. Der Tenor der Konferenz: Die Analysephase ist vorbei, nun zählt die konsequente Umsetzung integrierter Maßnahmen über alle Sektoren und Unternehmensgrößen hinweg. Friedrich P. Kötter, Verwaltungsrat der KÖTTER Security Gruppe, unterstrich diese Notwendigkeit vor Ort am Brandenburger Tor.

Vorbildfunktion der Konzerne

Große Konzerne in Deutschland sind beim KRITIS-Schutz häufig besser aufgestellt und dienen damit als Blaupause für öffentliche Einrichtungen und Mittelstand. Entscheidender Erfolgsfaktor ist die enge, qualitätsgesicherte Kooperation mit spezialisierten Sicherheitsdienstleistern – inklusive laufender Optimierung. Das geplante KRITIS-Dachgesetz mit sektorenübergreifenden Mindeststandards kann hierfür eine Basis legen (Stand 2025 im Gesetzgebungsprozess).

Geht das KRITIS-Dachgesetz weit genug?

Nach Einschätzung von Friedrich P. Kötter fehlen im überarbeiteten Referentenentwurf weiterhin klare Vorgaben zur Anwendung anerkannter Qualitätsnormen in der Zusammenarbeit mit Sicherheitsdienstleistern – obwohl die europäische CER-Richtlinie dies nachdrücklich empfiehlt. Genannt wurde die Normenreihe EN 17483 (entwickelt mit Unterstützung des europäischen Dachverbands CoESS) als Referenz für Standards bei Personaleinsatz, Infrastruktur und Organisation. Der Appell an den Gesetzgeber: diese Lücke zügig schließen.

Welche Qualitätsstandards sind für KRITIS-Betreiber relevant?

Kurz gesagt: EU-empfohlene Sicherheitsnormen wie EN 17483 und ein zertifiziertes Business Continuity Management (z. B. ISO 22301) schaffen belastbare, vergleichbare Qualitätsniveaus – und erleichtern die Auditfähigkeit.

Im Detail zahlen verbindliche Standards auf Resilienz und Nachweisbarkeit ein: Vorgaben für Rekrutierung, Schulung und Zuverlässigkeit von Personal, definierte Prozesse für Zutritts- und Perimeterschutz, sowie klar geregelte Melde- und Eskalationsabläufe. Das im DIN-Umfeld diskutierte Zusammenspiel aus Risiko- und Kontinuitätsmanagement stärkt die Betriebsfähigkeit auch bei hybriden Angriffen. Aus Redaktionssicht ist ein zertifiziertes BCM heute ein Muss-Baustein, um Compliance, Krisenübungen und Wiederanlaufzeiten konsistent zu steuern.

Eigenverantwortung der KRITIS-Betreiber

Unabhängig von gesetzlichen Vorgaben sollten Betreiber Qualitätsanforderungen aktiv in Ausschreibungen und Verträge schreiben – inklusive Messkriterien, Service Levels und Test-Szenarien. Wird der gesetzliche Rahmen weniger konkret, gewinnt diese Eigensteuerung an Bedeutung. Die zehnte STATE OF SECURITY, moderiert von Fritz Rudolf Körper (Staatssekretär a. D.), hat diese Erwartung an die Betreiberseite nochmals deutlich gemacht.

Was ändert NIS2 für KRITIS-Betreiber konkret?

Kurzantwort: NIS2 erweitert den Kreis betroffener Unternehmen deutlich, verschärft Cyber- und Meldepflichten und erhöht Management-Haftung – in Deutschland gebündelt im geplanten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (Stand 2025: Referentenentwurf).

In der Praxis bedeutet das: Mehr Unternehmen fallen unter regulatorische Vorgaben, müssen Risikomanagement, Incident-Handling und Lieferketten-Security nachweisen und definierte Prozesse implementieren. Künftig sind digitale, medienbruchfreie Melde- und Nachweiswege zentral, ebenso eine klare Kompetenzaufteilung von Bundes- und Landesbehörden, um Doppelaufwände zu vermeiden. Der politische Appell aus der Konferenz: Mehr Cyberschutz ja – aber ohne zusätzliche Bürokratiehürden, insbesondere für europaweit agierende Firmen.

Strategische Sicherheitskonvergenz

Alexander Frank (CoESS) forderte das Auflösen überholter Silos zwischen physischer Sicherheit und IT-Security. Mit zunehmender Vernetzung durch Digitalisierung und KI steigt sonst die Anfälligkeit für hybride Angriffe. Das CoESS-Whitepaper „Physische Cybersicherheit und kritische Infrastrukturen“ liefert Handlungsempfehlungen für integrierte Schutzmaßnahmen. Aus Redaktionssicht hat sich in KRITIS-Umgebungen ein gemeinsames Lagebild auf einer Plattform bewährt – mit Assets, Alarmevents, Zutrittslogs und OT/IT-Telemetrie in einer Governance.

Wie lassen sich KRITIS Sicherheitslösungen ganzheitlich umsetzen?

Ein integrierter Ansatz verbindet baulich-technische, organisatorische und digitale Maßnahmen – priorisiert nach Risiko, geprüft im Betrieb, gemessen mit KPIs.

Konkrete Praxisbausteine, die wir in Audits und Projekten immer wieder sehen:

  • Physischer Schutz: mehrlagiger Perimeter, Zutrittskontrolle, Videoanalyse, Drohnendetektion; 24/7-Leitstelle mit definierten Reaktionszeiten.
  • OT/IT-Security: Netzwerksegmentierung, Härtung von ICS/SCADA, Patch- und Schwachstellenmanagement, Zero-Trust-Prinzipien.
  • Identitäten & Prozesse: streng geregelte Rollen, Vier-Augen-Prinzip, Lieferanten- und Besucherprozesse, Background-Checks.
  • Resilienz: Notfall- und Wiederanlaufpläne (BCM nach ISO 22301), Redundanzen, Blackout- und Ransomware-Übungen.
  • Schulung & Awareness: regelmäßige Trainings, Phishing-Simulationen, Safety/Security-Unterweisungen für Leitwarte und Außendienst.
  • Messbarkeit: Security-KPIs (z. B. Mean Time to Detect/Respond), Audits, Penetrationstests, Red-Teaming inkl. Social Engineering.

Aus Redaktionssicht lohnt es sich, eine Security-Governance unter Vorstandspatin zu verankern, Budgets mehrjährig zu planen und Beschaffung, IT/OT, Werksschutz und Recht in einem Steering Committee zu bündeln. Wer hier professionell aufstellt, reduziert Reaktionszeiten signifikant und verbessert Prüf- und Versicherungsfähigkeit.

Politische Unterstützung und Bürokratie

Unternehmen unterstützen grundsätzlich jede Initiative für mehr Cyberschutz. Gleichzeitig müssen Melde-, Nachweis- und Registrierungspflichten volldigital erfüllbar sein, Zuständigkeiten zwischen Bundes- und Landesbehörden klar geregelt und EU-weit harmonisiert werden. Nur so wird Regulatorik zum Enabler – und nicht zum Hemmschuh in der Umsetzung.

Rechtlicher Rahmen: Was gilt heute, was kommt morgen?

Das IT-Sicherheitsgesetz (IT-SiG/IT‑SiG 2.0) prägt seit 2015/2021 Melde- und Mindeststandardpflichten in KRITIS-Sektoren; NIS2 und das KRITIS-Dachgesetz sollen diese Breite und Tiefe ausbauen (Stand 2025: laufende Prozesse). Hintergrund und Einordnung zum IT-Sicherheitsgesetz bietet der DVGW-Überblick: Regulierungsstand für KRITIS-Betreiber. Zum Konferenzkontext der Aussagen siehe die Mitteilung des BDSW: „Jeder KRITIS-Betreiber muss Sicherheit ganzheitlich denken …“.

KRITIS Sicherheitslösungen ganzheitlich umsetzen

Einheitliche Standards, wie sie politische Vertreter und Branchenverbände einfordern, sind das Fundament für widerstandsfähige Infrastrukturen. Beiträge der Konferenz – vom kriminalpolitischen Blick (MdB Sebastian Fiedler) bis zu Auswirkungen von KRITIS-Dachgesetz, CER und NIS2 (Prof. Dr. Sachar Paulus) – zeigen: Konvergenz von Cyber- und physischer Sicherheit, professionelle Zutrittskonzepte und gelebtes Risk- und BCM-Management gehören zusammen. Oder kurz: KRITIS Sicherheitslösungen ganzheitlich umsetzen heißt, Silos abbauen, Verantwortlichkeiten bündeln und Qualität messbar machen.

Kooperation zwischen öffentlicher Hand und Wirtschaft

Christian Hochgrebe (Staatssekretär, Berlin) plädierte für ein engeres Zusammendenken behördlicher und privater Akteure – horizontal wie vertikal. Neben dem unmittelbaren Schutz zählt das Vertrauen in die Schutz- und Leistungsfähigkeit des Staates. Praktisch heißt das: gemeinsame Lage- und Übungsszenarien, abgestimmte Krisenkommunikation und verbindliche Schnittstellen für Meldewege.

Der Status Quo aus unternehmerischer Sicht

Alexander B. Krause (Siemens Energy) ordnete das KRITIS-Dachgesetz aus Unternehmensperspektive ein. Prof. Dr. Sachar Paulus skizzierte die Wechselwirkungen zwischen KRITIS-Dachgesetz, CER und NIS2 für die Konvergenz von physischer und Cyber-Security. Für die Wirtschaft diskutierten u. a. BDSW-Hauptgeschäftsführer Dr. Peter Schwark, MdB Leon Eckert und Dr. Kay Ruge (Deutscher Landkreistag) konkrete Anforderungen an Standards, Meldepflichten und Praktikabilität.

Öffentliche Sicherheit und wirtschaftliche Anforderungen

Martin Zeidler (BBK) unterstrich die Bedeutung von KRITIS für die öffentliche Sicherheit und das Krisenmanagement. In der Diskussionsrunde wurden ergänzend Prioritäten für die Wirtschaft beleuchtet – von ausfallsicheren Betriebsabläufen bis zu europaweit harmonisierten Nachweispflichten.

Fazit

Die Konferenz macht klar: KRITIS Sicherheitslösungen ganzheitlich umzusetzen ist kein Nice-to-have, sondern Vorstandsaufgabe. Regulatorik (IT‑SiG, NIS2, KRITIS-Dachgesetz) setzt den Rahmen, Qualitätssicherung durch Normen wie EN 17483 und ein BCM nach ISO 22301 schaffen Widerstandskraft. Wer physische und digitale Sicherheit konvergiert, Prozesse testet und Kennzahlen führt, reagiert schneller und resilienter. Aus Redaktionssicht sollten Betreiber jetzt Standards vertraglich fixieren, Silos abbauen und Governance samt Budgets verbindlich verankern.

Kritische Infrastrukturen sind das Rückgrat unserer modernen Gesellschaft. Sicherheit muss daher von allen KRITIS-Betreibern ganzheitlich gedacht und zur Chefsache gemacht werden. Die jüngste Sicherheitskonferenz "STATE OF SECURITY" von KÖTTER Security unterstrich dies eindrucksvoll. Über 100 Teilnehmer diskutierten über die neuesten Herausforderungen und Lösungen im Bereich der Sicherheitsinfrastruktur.

Ein wichtiger Aspekt der Sicherheit ist die Integration moderner Technologien. So können beispielsweise flüssigkeitsgekühlte KI-Rechenzentren eine effiziente und sichere Datenverarbeitung gewährleisten. Erfahren Sie mehr über die Vorteile und Einsatzmöglichkeiten von flüssigkeitsgekühlte KI-Rechenzentren und wie sie zur Sicherheit Ihrer Infrastruktur beitragen können.

Auch die Implementierung robuster IT-Sicherheitslösungen spielt eine entscheidende Rolle. Unternehmen wie Westcon bieten fortschrittliche Lösungen an. Entdecken Sie die Möglichkeiten des Westcon Palo Alto Networks AWS Marketplace und wie diese Plattform Ihre IT-Sicherheit stärken kann.

Ein weiterer wichtiger Faktor ist die Ausbildung und Sensibilisierung des Personals. Ein umfassendes Krisenmanagement kann dazu beitragen, Sicherheitslücken zu schließen und auf Notfälle vorbereitet zu sein. Informieren Sie sich über bewährte Strategien im Krisenmanagement und wie Sie Ihr Team optimal auf Krisensituationen vorbereiten können.

Insgesamt zeigt sich, dass eine ganzheitliche Betrachtung und ständige Weiterentwicklung der Sicherheitsmaßnahmen unerlässlich sind. Nur so kann die Sicherheit kritischer Infrastrukturen gewährleistet und auf zukünftige Herausforderungen vorbereitet werden.

Weiterlesen

Einmal die Woche das, was wirklich neu ist.

Keine Pressemitteilungen, keine Rabatt-Schleudern. Eine knappe Übersicht der Tests, Hintergründe und Werkzeuge, die wir selbst in der Redaktion nutzen.