KRITIS ist die deutsche Abkürzung für „kritische Infrastrukturen“ und bezeichnet essenzielle Dienste, deren Ausfall erhebliche Versorgungsengpässe verursachen oder die öffentliche Sicherheit gefährden würde. Der Begriff wird in Politik und Wirtschaft verwendet, um Betreiber und Anlagen zu kennzeichnen, die in Krisen zentrale Funktionen aufrechterhalten müssen. Typische KRITIS-Sektoren sind Energie, Wasser, Gesundheitswesen, Verkehr, Finanzen, Lebensmittelversorgung und digitale Kommunikation; sie werden anhand gesetzlicher Schwellenwerte und systemischer Relevanz definiert. Weitere Details erläutern Zuständigkeiten, Kaskadenrisiken und Schutzmaßnahmen.
Was bedeutet KRITIS (kritische Infrastrukturen)?
Ein Rückgrat der modernen Gesellschaft: „KRITIS“ bezeichnet kritische Infrastrukturen – Systeme und Einrichtungen, deren Störung oder Zerstörung erhebliche Versorgungsengpässe, Risiken für die öffentliche Sicherheit oder schwere wirtschaftliche und soziale Schäden verursachen würde. Der Begriff fasst Anlagen zusammen, die wesentliche Dienstleistungen sichern, darunter Energie, Wasser, Lebensmittelversorgung, Gesundheitswesen, Verkehr, Finanzen und digitale Kommunikation.
KRITIS wird nicht allein durch Größe definiert, sondern durch Funktion: ob ein Element die Kontinuität der Grundversorgung und ein koordiniertes Handeln bei Störungen ermöglicht. Viele KRITIS-Komponenten sind wechselseitig abhängig; Ausfälle können kaskadieren, wenn Stromausfall Telekommunikationsnetze lahmlegt oder wenn IT-Ausfälle Logistik und medizinische Versorgung behindern. Daher reicht der Fokus über einzelne Anlagen hinaus auf kritische Systeme sowie deren Schnittstellen, Abhängigkeiten und Wiederherstellungsfähigkeiten. Infrastrukturresilienz beschreibt die Fähigkeit, Unfälle, technische Störungen, Sabotage oder Naturgefahren zu widerstehen, sie aufzunehmen, sich anzupassen und die Versorgung rasch wiederherzustellen. Eine klare Identifikation von KRITIS unterstützt Risikobewertung, Priorisierung und Vorsorgemaßnahmen.
Wo wird „Kritis“ in Politik und Industrie verwendet?
Politische Kurzformeln und eine risikoorientierte Branchensprache verwenden beide „KRITIS“, um Anlagen zu kennzeichnen, deren Ausfall wesentliche Dienste gefährden würde. In staatlichen Kontexten erscheint der Begriff in Strategien, regulatorischen Leitlinien, Sicherheitsplänen und der Koordinierung der Incident-Response, wodurch Behörden Verantwortlichkeiten, Meldewege und Schutzprioritäten abstimmen können. Im Rahmen der KRITIS-Politik dient er dazu, verhältnismäßige Anforderungen an Prävention, Resilienz und Kontinuität zu rahmen und Erwartungen an Betreiber zu kommunizieren, ohne lange gesetzliche Definitionen wiederholen zu müssen.
Innerhalb von Unternehmen ist „KRITIS“ in Risikoregistern, Compliance-Programmen, Beschaffungsanforderungen und Audit-Dokumentation verbreitet. In der Branchenverwendung im KRITIS-Umfeld unterstützt er die Aufsicht auf Vorstandsebene, die Budgetzuweisung für Schutzmaßnahmen sowie die Sorgfaltsprüfung von Lieferanten, indem er auf ein erhöhtes operatives, Cyber- und physisches Risiko hinweist. Das Label strukturiert außerdem die Zusammenarbeit mit Behörden und Peers beim Informationsaustausch, bei Übungen und in der Krisenkommunikation, wodurch eine schnellere Klassifizierung von Vorfällen und koordinierte Abhilfemaßnahmen ermöglicht werden.
Welche kritischen Sektoren zählen – und wer definiert sie?
Bei der Definition von KRITIS unterscheiden politische Entscheidungsträger typischerweise eine Reihe anerkannter Sektoren, deren Störung erhebliche gesellschaftliche oder wirtschaftliche Schäden verursachen würde. Dazu zählen häufig Energie, Wasser, Gesundheit, Finanzen, Verkehr, Informations- und Telekommunikationstechnologie sowie öffentliche Verwaltung, wobei die Sektorlisten je nach Rechtsordnung variieren. Der entscheidende Faktor sind in der Regel Kriterien der zuständigen Behörden – rechtliche Schwellenwerte, Risikobewertungen und Wirkungsmetriken –, die von benannten Regulierungsbehörden verwendet werden, um zu bestimmen, welche Betreiber und Dienste als kritisch gelten.
Anerkannte KRITIS-Sektoren
Obwohl der Begriff KRITIS häufig breit verwendet wird, sind nur bestimmte Sektoren offiziell als kritische Infrastrukturen anerkannt, und ausschlaggebend ist, wer die rechtlichen und regulatorischen Kriterien festlegt. In Deutschland und vergleichbaren EU-Kontexten umfasst die Anerkennung typischerweise Bereiche, deren Störung erhebliche Versorgungsengpässe, Risiken für die öffentliche Sicherheit oder systemische wirtschaftliche Schäden verursachen würde. Häufig genannte KRITIS-Sektoren sind Energieversorgung, Wasser, Ernährung, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit, Verkehrsnetze sowie Staat und öffentliche Verwaltung. Innerhalb jedes Bereichs reichen typische Beispiele von Strom- und Gasnetzen über Trinkwasserversorger, Krankenhäuser, Zahlungssysteme, Rechenzentren, Bahnknotenpunkte, Häfen bis hin zu Notfall- und Rettungsdiensten. Sektorübergreifende Abhängigkeiten sind zentral: Digitale Systeme unterstützen physische Dienste, während Logistik die Verteilung von Kraftstoff, Medikamenten und Lebensmitteln ermöglicht. Definitionen werden regelmäßig aktualisiert, um sich wandelnde Risikolagen zu berücksichtigen.
Kriterien der Sektorbehörde
Die formale KRITIS-Anerkennung hängt weniger von breiten Sektorbezeichnungen ab als von gesetzlich definierten Schwellenwerten und zuständigen Behörden. In Deutschland legen die KRITIS-Verordnung und verwandte Regelungen fest, welche Dienstleistungen als kritisch gelten, typischerweise anhand von Kapazität, versorgter Bevölkerung oder Kennzahlen zur systemischen Relevanz. Bundesministerien und zuständige Stellen übersetzen gesetzliche Zielsetzungen in sektorspezifische Kriterien und stellen so vergleichbare Bewertungen in den Bereichen Energie, Wasser, Gesundheit, Finanzen, Verkehr, IT und Lebensmittel sicher.
Zu den Aufgaben dieser Sektorbehörden gehören die Herausgabe von Katalogen, die Auslegung unklarer Fälle und die Abstimmung der Anforderungen mit den BSI-Vorgaben zu Cybersicherheit und Resilienz. Zu den Kernaufgaben der Sektorbehörden zählen die Pflege aktueller Schwellenwerte, die Berücksichtigung technologischer Veränderungen, die Konsultation von Betreibern sowie die Koordinierung mit der Aufsicht der Länder, wo dies zutrifft. Ein Betreiber gilt nur dann als KRITIS, wenn er die definierten Schwellenwerte erfüllt – nicht allein, weil er in einem benannten Sektor tätig ist.
Warum Kritis für Cybersicherheit und Sicherheit wichtig ist?
Da kritische Infrastrukturen grundlegende essenzielle Dienstleistungen wie Energie, Wasser, Gesundheitswesen, Verkehr und digitale Kommunikation tragen, ist KRITIS für Cybersicherheit und Sicherheit entscheidend: Störungen können schnell von technischen Systemen in reale Schäden übergreifen. Betreiber behandeln KRITIS daher als einen hochprioritären Schutzbereich, in dem Verfügbarkeit, Integrität und kontrollierter Zugriff nicht verhandelbar sind.
Die Cybersicherheitsauswirkungen werden durch komplexe Lieferketten, veraltete operative Technologien und Remote-Administration verstärkt, was Angriffsflächen vergrößert und zeitnahes Patchen erschwert. Wirksame Governance erfordert typischerweise risikobasierte Kontrollen, kontinuierliches Monitoring, Incident-Response-Bereitschaft sowie die Koordination mit Sektorregulierern und nationalen Behörden.
Sicherheitsprotokolle müssen außerdem Cyber-physische Wechselwirkungen berücksichtigen: Kompromittierte Steuerungslogik, Sensormanipulation oder unautorisierte Befehle können konstruktive Schutzmaßnahmen aushebeln, wenn Cyber-Kontrollen schwach sind. KRITIS-orientierte Sicherheitsprogramme integrieren daher IT- und OT-Sicherheit, erzwingen starke Authentifizierung, segmentieren Netzwerke, validieren Änderungen, testen die Wiederherstellung und führen regelmäßige Übungen durch, um sicherzustellen, dass Dienstleistungen auch unter Belastung vertrauenswürdig bleiben.
Wie kaskadieren kritische Ausfälle über Sektoren hinweg?
KRITIS-Störungen bleiben selten auf eine einzelne Organisation oder einen einzelnen Sektor beschränkt; sie pflanzen sich über gemeinsame Abhängigkeiten wie Strom, Konnektivität, Logistik und spezialisierte Zulieferer fort. Ein lokaler Stromausfall kann Pumpstationen zum Stillstand bringen, Verkehrssteuerungen außer Betrieb setzen und Rechenzentren unterbrechen, die Kommunikation und Zahlungsverkehr weiterleiten – und so kaskadierende Ausfälle auslösen, die den ursprünglichen Vorfall überholen.
Sektorübergreifende Abhängigkeiten verstärken die Auswirkungen, weil viele Dienste als „Systeme von Systemen“ betrieben werden. Krankenhäuser sind auf sauberes Wasser, Kraftstofflieferungen und funktionierende IT angewiesen; Supermärkte sind abhängig von Kühlung, Warenwirtschaftssoftware und Transport; Rettungsdienste benötigen Dispatch-/Leitstellennetze und passierbare Straßen. Wenn ein Glied nachlässt, verlagert sich die Nachfrage auf Ersatzangebote und überlastet diese ebenfalls – Mobilfunknetze werden in Krisen überlastet, alternative Transportrouten verstopfen, und Notstromaggregate belasten die Kraftstoff-Lieferketten.
Das Timing ist entscheidend: Kurze Unterbrechungen können aufgefangen werden, aber lang anhaltende Störungen machen Notlösungen zu neuen Ausfallpunkten, verbreiten das Risiko geografisch und organisatorisch über Betreiber und Regionen hinweg.
Wie ist Kritis geschützt (Standards und Kontrollen)?
Während Betreiber kritischer Infrastrukturen vielfältigen Bedrohungen ausgesetzt sind, stützt sich der Schutz im Allgemeinen auf mehrschichtige Standards und Kontrollen, die Governance, physische Sicherheit und Cybersicherheit aufeinander abstimmen, um sowohl die Eintrittswahrscheinlichkeit von Vorfällen als auch kaskadierende Auswirkungen zu verringern. Branchenaufsichtsbehörden und Betreiber verankern ihre Programme typischerweise in anerkannten Sicherheitsrahmenwerken (z. B. ISO/IEC 27001, NIST, IEC 62443) und übersetzen diese in prüfbare Anforderungen, Richtlinien und technische Baselines.
| Ebene | Typische Kontrollen | Nachweis |
|---|---|---|
| Governance | Risikobewertung, Asset-Klassifizierung, Lieferantenregeln | Audits, KPIs |
| Physisch | Zugangskontrolle, Überwachung, Redundanz | Tests, Übungen |
| Cyber/OT | Segmentierung, MFA, Protokollierung, Patchen | Monitoring, IR |
Der Schutz wird durch kontinuierliche Risikobewertung gestärkt, einschließlich Threat Modeling, Business-Impact-Analyse und Interdependenz-Mapping über IT und OT hinweg. Kontrollen werden durch Incident-Response-Playbooks, Krisenkommunikationspläne und koordinierte Übungen mit Behörden ergänzt. Schließlich wird die Resilienz durch Notstromversorgung, Fail-Safe-Modi, Ersatzteile und vertraglich geregelte Servicekontinuität erhöht, sodass essenzielle Funktionen unter Belastung vorhersehbar statt abrupt beeinträchtigt werden.
