KRITIS in Zahlen
Einleitende Informationen
Auf unserer Webseite KRITIS in Zahlen macht der Fachbereich Cybersicherheit für Kritische Infrastrukturen einen Teil der Arbeit für und mit Kritischen Infrastrukturen erlebbar. Wir wollen anhand von grundlegenden Statistiken und Kennzahlen zu Kritischen Infrastrukturen (KRITIS) aufzeigen, welche Bundessicht wir auf Kritische Infrastrukturen haben. Wo sind wir Aufsicht und wie oft, wie verteilen sich Infrastrukturen auf Sektoren, wie ist der Stand der Absicherung und wie sieht das Meldeverhalten der Sektoren aus? Wir werden die Daten und Fakten schrittweise ausbauen und Transparenz in Verbindung mit der Weiternutzungsmöglichkeit von Rohdaten ermöglichen. Für die initiale Veröffentlichung dieser Seite am 06.05.2024 wurden die Auswertungen zum Stichtag 29.04.2024 erstellt.
Begriffsdefinitionen
- KRITIS-Betreiber: eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt (§ 1 Absatz 1 Nummer 2 BSI-Kritisverordnung, BSI-KritisV)
- KRITIS-Anlagen: Anlagen sind gemäß § 1 Absatz 1 Nummer 1 BSI-KritisV
a) Betriebsstätten und sonstige ortsfeste Einrichtungen,
b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen oder
c) Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind.
Betreiber und Anlagen nach KRITIS-Sektoren gemäß BSIG
Interessant und keinesfalls selbsterklärend ist die Antwort auf die meistgestellte Frage: "wie viele KRITIS gibt es in Deutschland?". Häufig meint diese Frage eine Unternehmenszahl.
Eine nationale Besonderheit besteht jedoch darin, dass in Deutschland Kritische Infrastrukturen registriert sind, nicht Unternehmen (Betreiber). D. h. die "Zahl der KRITIS" meint eigentlich eine Anlagenzahl. Erschwerend kommt hinzu, dass ein Betreiber häufig mehrere KRITIS-Anlagen betreibt, teilweise sogar in mehreren KRITIS-Sektoren. Daher unterscheidet sich die Summe der Anlagen von der Summe der Betreiber und wiederum von der Gesamtsumme der Anlagen pro Sektor.
Die folgenden Abbildungen zeigen die Summe der KRITIS-Betreiber und der Anlagen pro Sektor.
Bei den Sektoren handelt es sich um KRITIS-Sektoren: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung (§ 2 Absatz 10 Nummer 1 BSIG).
Anzahl KRITIS-Betreiber nach Sektoren
In diesem Diagramm zeigen wir die Anzahl der KRITIS-Betreiber nach Sektoren| Sektor | Anzahl der Betreiber |
|---|---|
| Energie | 295 |
| Wasser | 79 |
| Ernährung | 56 |
| IT und Telekommunikation | 66 |
| Gesundheit | 210 |
| Finanz- und Versicherungswesen | 125 |
| Transport und Verkehr | 81 |
| Siedlungsabfallentsorgung | 207 |
Anzahl Anlagen nach Sektoren
In diesem Diagramm zeigen wir die Anzahl der Anlagen nach Sektoren| Sektor | Anzahl der Betreiber |
|---|---|
| Energie | 499 |
| Wasser | 178 |
| Ernährung | 95 |
| IT und Telekommunikation | 111 |
| Gesundheit | 330 |
| Finanz- und Versicherungswesen | 274 |
| Transport und Verkehr | 205 |
| Siedlungsabfallentsorgung | 327 |
Die KRITIS-Sektoren sind sehr heterogen. Während zum Beispiel im Sektor Gesundheit viele Betreiber lokal verortet sind (beispielsweise ein Krankenhaus), sind die Anlagen im Sektor Informationstechnik und Telekommunikation oder im Sektor Transport und Verkehr (beispielsweise im Schienennetz) über Landesgrenzen hinweg vernetzt.
KRITIS-Betreiber und Anlagen im Sektor Energie
Da alle anderen KRITIS-Sektoren vom Sektor Energie abhängig sind, nimmt der Sektor Energie eine Sonderrolle ein. Die Energieversorgung hat eine herausragende Bedeutung für das Funktionieren des Gemeinwesens.
Kritische Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 BSIG werden in folgenden Bereichen erbracht (gemäß § 2 Absatz 1 bis 5 BSI-KritisV):
- 1. Stromversorgung: Stromerzeugung, Stromübertragung, Stromverteilung, Stromhandel
- 2. Gasversorgung: Gasförderung, Gastransport und -speicherung, Gasverteilung, Gashandel
- 3. Kraftstoff- und Heizölversorgung: Erdölförderung und Produktenherstellung, Erdöltransport und -lagerung, Kraftstoff- und Heizölverteilung, Mineralölhandel
- 4. Fernwärmeversorgung: Erzeugung von Fernwärme, Verteilung von Fernwärme, Steuerung und Überwachung.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Energie. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Energie
| Betreiber | Anlagen | |
|---|---|---|
| Energie | 295 | 499 |
KRITIS-Betreiber und Anlagen im Sektor Wasser
Ausreichend vorhandenes Trinkwasser ist ebenso wie eine funktionierende Abwasserbeseitigung die Grundlage für das reibungslose Funktionieren von Gesellschaft und Wirtschaft.
Wasser dient nicht nur als wichtigstes Lebensmittel für Mensch und Tier, sondern ist sowohl Produktionsmittel für die Nahrungsmittelindustrie als auch ein wichtiger Bestandteil zur Erhaltung der Hygiene. Benötigt wird also ausreichend Wasser in einer entsprechend hohen Qualität. Darüber hinaus schützt eine funktionierende Abwasserbeseitigung vor der Verbreitung von Krankheiten und der Verunreinigung unserer Gewässer.
Die kritischen Dienstleistungen im Sektor Wasser sind die Trinkwasserversorgung und die Abwasserbeseitigung.
Die Anlagenkategorien der Branche Trinkwasserversorgung sind:
- die Gewinnungsanlage
- die Wasseraufbereitungsanlage
- das Wasserverteilungssystem
- die Leitzentrale
Die Anlagenkategorien in der Branche Abwasserbeseitigung sind:
- die Kanalisation
- die Kläranlage
- die Leitzentrale
Die Trinkwasserversorgung und die Abwasserentsorgung sind in den meisten Fällen lokal angesiedelt. Das bedeutet, die meisten Städte und Kreise haben ihre eigenen Ver- und Entsorgungsanlagen oder schließen sich mit den umliegenden Kommunen zu sogenannten Zweckverbänden zusammen.
Ein Betreiber betreibt meist zwischen einer und drei Anlagen (in seltenen Fällen mehr), die die Schwelle nach BSI-KritisV für eine zu registrierende Anlage überschreiten. Die zugrunde gelegten Schwellenwerte des Sektors Wasser orientieren sich am Regelschwellenwert von 500.000 versorgten Personen. Es wird von einem durchschnittlichen Trinkwasserverbrauch von 44 m3 ausgegangen. Hieraus ergibt sich ein Schwellenwert von 22 Millionen m3 für die Anlagen der Trinkwasserversorgung (500.000 Personen x 44 m3/Jahr ergibt 22 Millionen m3/Jahr). Für die Abwasserentsorgung orientieren sich die Schwellenwerte an den angeschlossenen Einwohnenden, bzw. der Ausbaugröße der Kläranlage.
Aufgrund der lokalen Orientierung der Betreiber des Sektors Wasser gemeinsam mit dem Regelschwellenwert von 500.000 versorgten Personen kommt es zu einer insgesamt relativ geringen Zahl an Betreibern im Sektor.
Generisches Beispiel: Die Stadtwerke Musterstadt haben ca. 600.000 Personen in ihrem Versorgungsgebiet. Die Wasserversorgung wird durch zwei Wasserwerke mit Trinkwasser versorgt, von denen eines am nördlichen und eines am südlichen Rand der Stadt liegt. Die beiden Wasserwerke versorgen in diesem vereinfachten Beispiel jeweils 300.000 Einwohnende mit jeweils 44 m3/Jahr. Die Anlage produziert demnach 13,2 Millionen m3/Jahr und liegt damit unter dem Schwellenwert für die Trinkwasserversorgungsanlagen von 22 Millionen m3/Jahr. Sie ist daher keine KRITIS-Anlage nach BSIG.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Wasser. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Wasser
| Betreiber | Anlagen | |
|---|---|---|
| Wasser | 79 | 178 |
KRITIS-Betreiber und Anlagen im Sektor Ernährung
Nahrung ist Grundlage unseres Lebens. Die ausreichende und stets gewährleistete Versorgung der Bevölkerung mit Nahrungsmitteln ist zweifelsfrei lebensnotwendig. Störungen der Nahrungsmittelversorgung könnten massive Auswirkungen auf die Bevölkerung haben. Daher zählt auch der Sektor Ernährung zu den Kritischen Infrastrukturen.
Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens ist im Sektor Ernährung die Versorgung der Allgemeinheit mit Lebensmitteln (Lebensmittelversorgung) kritische Dienstleistung. Die Lebensmittelversorgung wird in den Bereichen Lebensmittelherstellung und -behandlung sowie Lebensmittelhandel erbracht.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Ernährung. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Ernährung
| Betreiber | Anlagen | |
|---|---|---|
| Ernährung | 56 | 95 |
KRITIS-Betreiber und Anlagen im Sektor Informationstechnik und Telekommunikation
Der Austausch von Informationen ist in unserer modernen Gesellschaft zu einem sehr wichtigen Wirtschaftsfaktor und Bestandteil des täglichen Lebens geworden. Ausfälle oder Beeinträchtigungen der hierfür erforderlichen technischen Infrastruktur können aufgrund der Abhängigkeiten in den Prozessen und der Wertschöpfung zu sektorübergreifenden Schäden in der deutschen Wirtschaft und zu einer direkten Gefährdung von Leib und Leben führen.
Besonders problematisch ist die Verbreitung von Schadcode über reguläre Update-Mechanismen von Software, also über die Software-Lieferkette (Supply-Chain) eines Dienstleisters zu seinen Kunden, die in den vergangenen Jahren mehrfach beobachtet wurde. So sind beispielsweise durch die Manipulation von Sicherheits-Updates, die beim Kunden eingespielt werden, Angriffe auf sehr gut geschützte IT-Systeme möglich. Solche Angriffe sind äußerst schwer zu erkennen, da der Quellcode üblicherweise vom Kunden nicht eingesehen werden kann.
Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind im Sektor Informationstechnik und Telekommunikation kritische Dienstleistungen:
Sprach- und Datenübertragung
- Zugang
- Übertragung
- Vermittlung
- Steuerung
Datenspeicherung und -verarbeitung
- Housing
- IT-Hosting
- Vertrauensdienste
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Informationstechnik und Telekommunikation. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Informationstechnik und Telekommunikation
| Betreiber | Anlagen | |
|---|---|---|
| Informationstechnik und Telekommunikation | 66 | 111 |
KRITIS-Betreiber und Anlagen im Sektor Gesundheit
Die medizinische Behandlung von Patientinnen und Patienten im Krankenhaus, die Versorgung mit lebenswichtigen Medikamenten sowie die Analyse von Proben in Laboren – diese Dienstleistungen sind essenzielle Bestandteile der gesundheitlichen Versorgung. Ob Produktion von Medikamenten, medizinische Forschung oder medizinische Versorgung in Krankenhäusern: Der Sektor Gesundheit hat eine hohe Bedeutung für das Funktionieren der Gesellschaft. Im Sektor Gesundheit werden vier kritische Dienstleistungen erbracht, um die medizinische Versorgung der Bevölkerung mittel- und unmittelbar sicherzustellen:
- Stationäre medizinische Versorgung in Krankenhäusern
- Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind
- Versorgung mit verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper
- Laboratoriumsdiagnostik
Unter die Dienstleistung "stationäre medizinische Versorgung" fällt etwa die Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung in Krankenhäusern mit über 30.000 vollstationären Fällen im Jahr.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Gesundheit. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Gesundheit
| Betreiber | Anlagen | |
|---|---|---|
| Gesundheit | 210 | 330 |
KRITIS-Betreiber und Anlagen im Sektor Finanz- und Versicherungswesen
Der Sektor Finanz- und Versicherungswesen hat eine herausgehobene Bedeutung für die Gesellschaft. In unserer arbeitsteiligen Welt erfolgt der Austausch von Waren und Dienstleistungen in der Regel gegen Geldzahlungen. Somit kommt der Abwicklung von Zahlungen eine gesellschaftlich hohe Bedeutung zu, da ohne Zugang zu Zahlungsmöglichkeiten nahezu jegliche Geschäftstätigkeit unmöglich ist.
Der Handel mit Wertpapieren und Derivaten dient auf der einen Seite der Partizipation der Bevölkerung an der Wertschöpfung von Unternehmen und auf der anderen Seite zur Finanzierung von Unternehmen. Aufgrund der gesellschaftlichen Relevanz werden Anlagen zu deren Erbringung zu den Kritischen Infrastrukturen gezählt.
Ein wichtiges Interesse der Bevölkerung besteht in der Abfederung negativer sozialer Folgewirkungen durch Krankheit, Pflegebedürftigkeit oder Arbeitslosigkeit. Ebenfalls ist die finanzielle Versorgung im Alter durch Rentenzahlungen ein wichtiges gesellschaftliches Gut. Der Schutz vor materiellen Verlusten ist für die Bevölkerung ebenso wichtig.
Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind kritische Dienstleistungen im Sektor Finanz- und Versicherungswesen:
- Bargeldversorgung
- Kartengestützter Zahlungsverkehr
- Konventioneller Zahlungsverkehr
- Handel mit Wertpapieren und Derivaten sowie die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften
- Versicherungsdienstleistungen und Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Finanz- und Versicherungswesen. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Finanz- und Versicherungswesen
| Betreiber | Anlagen | |
|---|---|---|
| Finanz- und Versicherungswesen | 125 | 274 |
KRITIS-Betreiber und Anlagen im Sektor Transport und Verkehr
Sicher von A nach B kommen - für eine funktionierende Gesellschaft unverzichtbar. Der Sektor Transport und Verkehr spielt in Deutschland wirtschaftlich und gesellschaftlich eine wichtige Rolle. Der Sektor ist wesentlich für die Versorgungssicherheit in Deutschland und für eine funktionierende Wirtschaft. Um diesen Zweck zu erfüllen, hat sich ein komplexes System an Transport- und Verkehrsdienstleistungen inklusive gegenseitiger Abhängigkeiten entwickelt. Diese Abhängigkeiten betreffen nicht nur den Sektor, sondern auch alle anderen Sektoren sind vom Sektor Transport und Verkehr abhängig: Vom Transportsektor hängt nicht nur viel ab, er selbst ist auch zwingend auf die Funktionsfähigkeit anderer Sektoren angewiesen. Hierzu zählt insbesondere der Sektor Energie durch die Bereitstellung von Elektrizität und Treibstoff für den Betrieb der Verkehrsträger.
Wegen ihrer besonderen Bedeutung ist im Sektor Transport und Verkehr die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) kritische Dienstleistung im Sinne des § 8 Absatz 1 der BSI-KritisV. Der Personen- und Güterverkehr wird in den Bereichen Luftverkehr, Eisenbahnverkehr, See- und Binnenschifffahrt, Straßenverkehr, öffentlicher Personennahverkehr (ÖPNV) und Logistik sowie verkehrsträgerübergreifend erbracht.
Es gibt diverse Fortbewegungsmittel und komplexe technische Anlagen für deren Überwachung und Steuerung. Beim Luftverkehr fallen beispielsweise die Passagier- und Frachtabfertigung, Infrastruktur und Flugsicherung unter die kritische Dienstleistung.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Transport und Verkehr. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber und Anlagen Kritischer Infrastrukturen im Sektor Transport und Verkehr
| Betreiber | Anlagen | |
|---|---|---|
| Transport und Verkehr | 81 | 205 |
KRITIS-Betreiber und Anlagen im Sektor Siedlungsabfallentsorgung
Eine verlässliche und leistungsfähige Abfallentsorgung ist für unsere Gesellschaft essenziell. Störungen in der Abfallentsorgung können sich unmittelbar auf die Funktionsfähigkeit des öffentlichen Lebens auswirken.
Mit dem zweiten IT-Sicherheitsgesetz hat der Gesetzgeber im Jahr 2021 die Siedlungsabfallentsorgung als neuen KRITIS-Sektor in § 2 Absatz 10 Nr. 1 BSIG hinzugefügt.
Im Kreislaufwirtschaftsgesetz (KrWG) definiert der Gesetzgeber Siedlungsabfälle als Abfälle aus privaten Haushalten und vergleichbaren Einrichtungen, zum Beispiel hausmüllähnliche Abfälle aus Arzt- und Rechtsanwaltspraxen, Verwaltungsgebäuden, Schulen, Kindergärten, Krankenhäusern und Pflegeeinrichtungen sowie hausmüllähnliche Abfälle aus Gewerbe und Industrie. Ferner gehören zu den Siedlungsabfällen (...) Bioabfälle sowie getrennt erfasste Wertstoffe wie Glas und Papier (PPK). Diese Definition ist grundlegend für die Identifizierung von KRITIS-Anlagen.
Es ist leicht vorstellbar, welche Auswirkungen eine Störung oder ein Ausfall der Entsorgung von Abfällen haben kann. Es ist offensichtlich, dass hierdurch u. a. erhebliche gesundheitliche Gefährdungen der Bevölkerung oder Umweltschäden entstehen können. Als Beispiele sind die mögliche Ausbreitung von Krankheiten und Schädlingen, Verschmutzung von Grundwasser oder die Gefährdung des Straßenverkehrs zu nennen.
Die Schwellenwerte des Sektors Siedlungsabfallentsorgung orientieren sich am Regelschwellenwert von 500.000 versorgten Personen. Die Bemessungskriterien richten sich dabei nach den angeschlossenen Einwohnenden, bzw. den Tonnen Abfall pro Jahr. Zur Umrechnung werden die durchschnittlich im Jahr anfallenden Abfälle pro Person der verschiedenen Abfallströme (Rest- oder gemischter Gewerbeabfall, Bioabfall, LVP- und Kunststoffabfall, PPK-Abfall und Glasabfall) genutzt.
Aufgrund der breit gefächerten Anlagentypen und der üblichen Aneinanderreihung von Anlagen des Sektors Siedlungsabfallentsorgung (z. B. Sammlung, Lagerung, Sortierung, Verbrennung), kommt es trotz einer überwiegend lokalen Orientierung der Betreiber zu einer insgesamt vergleichsweise hohen Zahl an Betreibern und Anlagen im Sektor Siedlungsabfallentsorgung.
Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Siedlungsabfallentsorgung. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.
In diesem Diagramm zeigen wir die Anzahl der Betreiber Kritischer Infrastrukturen im Sektor Siedlungsabfallentsorgung
| Betreiber | Anlagen | |
|---|---|---|
| Siedlungsabfallentsorgung | 207 | 327 |
Managementsysteme für Informationssicherheit und Geschäftskontinuität
Kritische Infrastrukturen müssen aufgrund ihrer hohen Bedeutung für das Gemeinwesen verfügbar sein. Hohe Cybersicherheit bildet hierbei eine unverzichtbare Basis. Betreiber Kritischer Infrastrukturen sind nach § 8a Absatz 3 BSIG gesetzlich verpflichtet, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Diese Nachweise enthalten eine Einschätzung der prüfenden Stelle zur Wirksamkeit der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (Business Continuity Management System, BCMS) beim geprüften Betreiber. Dies geschieht mittels eines Reifegradmodells. Die Einteilung in Reifegrade orientiert sich an klassischen Reifegradmodellen, eine Reifegradbestimmung nach wissenschaftlichen Methoden wird vom BSI jedoch nicht gefordert. Die Auswertung der dem BSI übermittelten Reifegrade können KRITIS-Betreibern eine Einschätzung geben, wie reif Ihre Managementsysteme im Vergleich des Sektors oder auch sektorübergreifend sind.
Die Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG beschreibt folgende Reifegrade für ISMS und BCMS:
- Reifegrad 1: Ein ISMS/BCMS ist zwar geplant, aber bisher nicht etabliert.
- Reifegrad 2: Ein ISMS/BCMS ist weitestgehend etabliert.
- Reifegrad 3: Ein ISMS/BCMS ist etabliert und dokumentiert.
- Reifegrad 4: Zusätzlich zum Reifegrad 3 wurde das ISMS/BCMS regelmäßig auf Effektivität überprüft.
- Reifegrad 5: Zusätzlich zum Reifegrad 4 wurde das ISMS/BCMS regelmäßig verbessert.
In die Statistik fließen die Reifegrade aus dem jeweils letzten eingereichten Nachweis ein. Für den Sektor Siedlungsabfallentsorgung liegen derzeit noch keine Nachweise vor.
Reifegrade der ISMS und BCMS im Sektor Energie
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Energie
| Energie | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 2 | 2 |
| Reifegrad 2 | 16 | 25 |
| Reifegrad 3 | 39 | 46 |
| Reifegrad 4 | 29 | 23 |
| Reifegrad 5 | 21 | 11 |
Reifegrade der ISMS und BCMS im Sektor Wasser
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Wasser
| Wasser | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 0 | 2 |
| Reifegrad 2 | 7 | 13 |
| Reifegrad 3 | 13 | 21 |
| Reifegrad 4 | 24 | 13 |
| Reifegrad 5 | 20 | 15 |
Reifegrade der ISMS und BCMS im Sektor Ernährung
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Ernährung
| Ernährung | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 0 | 4 |
| Reifegrad 2 | 11 | 10 |
| Reifegrad 3 | 20 | 21 |
| Reifegrad 4 | 8 | 9 |
| Reifegrad 5 | 9 | 4 |
Reifegrade der ISMS und BCMS im Sektor Informationstechnik und Telekommunikation
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Informationstechnik und Telekommunikation
| ITK | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 0 | 2 |
| Reifegrad 2 | 2 | 8 |
| Reifegrad 3 | 9 | 10 |
| Reifegrad 4 | 9 | 7 |
| Reifegrad 5 | 19 | 12 |
Reifegrade der ISMS und BCMS im Sektor Gesundheit
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Gesundheit
| Gesundheit | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 3 | 16 |
| Reifegrad 2 | 76 | 103 |
| Reifegrad 3 | 67 | 51 |
| Reifegrad 4 | 40 | 25 |
| Reifegrad 5 | 23 | 14 |
Reifegrade der ISMS und BCMS im Sektor Finanz- und Versicherungswesen
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Finanz- und Versicherungswesen
| Energie | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 0 | 0 |
| Reifegrad 2 | 8 | 28 |
| Reifegrad 3 | 35 | 22 |
| Reifegrad 4 | 20 | 28 |
| Reifegrad 5 | 40 | 25 |
Reifegrade der ISMS und BCMS im Sektor Transport und Verkehr
In diesem Diagramm zeigen wir die Reifegrade ISMS und BCMS im Sektor Transport und Verkehr
| TUV | ISMS | BCMS |
|---|---|---|
| Reifegrad 1 | 3 | 8 |
| Reifegrad 2 | 23 | 25 |
| Reifegrad 3 | 27 | 21 |
| Reifegrad 4 | 6 | 8 |
| Reifegrad 5 | 9 | 6 |
Einsatz von Systemen zur Angriffserkennung
Die Bedrohungslage ist so hoch wie nie zuvor. Daher sind zuverlässige organisatorische und technische Wege der Angriffserkennung gerade für Kritische Infrastrukturen unverzichtbar. Mit dem IT-Sicherheitsgesetz 2.0 wurde für KRITIS-Betreiber im Mai 2021 ausdrücklich der Einsatz von Systemen zur Angriffserkennung im BSIG vorgeschrieben (§ 8a Absatz 1a BSIG). Diese Systeme stellen eine effektive Maßnahme zur Erkennung von Cyberangriffen dar und unterstützen insbesondere die Schadensreduktion. Die Betreiber mussten die Einführung eines Systems zur Angriffserkennung erstmalig in Nachweisen nach dem 1. Mai 2023 gegenüber dem BSI nachweisen. Die gesetzliche Verpflichtung betrifft aber nicht nur KRITIS-Betreiber, die die Schwellenwerte der BSI-KritisV überschreiten, sondern über § 11 Absatz 1d EnWG auch alle Strom- und Gasnetzbetreiber.
Die Qualität der eingesetzten Systeme gemäß § 8a Absatz 1a BSIG bzw. nach § 11 Absatz 1e EnWG lässt sich mit Hilfe eines Umsetzungsgradmodells bewerten. Dieses können Auditoren und Prüfer nutzen, um zu beurteilen, wie weit die organisatorischen und technischen Maßnahmen in der geprüften Kritischen Infrastruktur fortgeschritten sind.
Die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung beschreibt folgende Umsetzungsgrade:
- Umsetzungsgrad 0: Es sind bisher keine Maßnahmen zur Erfüllung der Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Maßnahmen.
- Umsetzungsgrad 1: Es bestehen Planungen zur Umsetzung von Maßnahmen zur Erfüllung der Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
- Umsetzungsgrad 2: In allen Bereichen wurde mit der Umsetzung von Maßnahmen zur Erfüllung der Anforderungen begonnen. Es sind noch nicht alle MUSS-Anforderungen erfüllt worden.
- Umsetzungsgrad 3: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Idealerweise wurden SOLLTE-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.
- Umsetzungsgrad 4: Alle MUSS- Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen wurden erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
- Umsetzungsgrad 5: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen und KANN-Anforderungen wurden für alle Bereiche erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
Ziel der Anwendung eines Umsetzungsgradmodells ist es, die Qualität von Systemen zur Angriffserkennung zu erhöhen. Durch regelmäßige Analysen kann überprüft werden, welche Teilbereiche noch unzureichend gesteuert sind. Ein niedriger Umsetzungsgrad begründet einen besonderen Handlungsbedarf. Umsetzungsgradmodelle können folglich dabei unterstützen, Schwerpunkte für die Weiterentwicklung von Systemen zur Angriffserkennung zu setzen.
Umsetzungsgrade der Systeme zur Angriffserkennung nach KRITIS-Sektoren
In die Statistik fließt der Umsetzungsgrad aus dem jeweils letzten eingereichten Nachweis ein. Für den Sektor Siedlungsabfallentsorgung liegen derzeit noch keine Nachweise vor.
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Energie
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Energie
| Energie | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 2 |
| Umsetzungsgrad 1 | 5 |
| Umsetzungsgrad 2 | 28 |
| Umsetzungsgrad 3 | 22 |
| Umsetzungsgrad 4 | 3 |
| Umsetzungsgrad 5 | 1 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Wasser
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Wasser
| Wasser | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 1 |
| Umsetzungsgrad 1 | 5 |
| Umsetzungsgrad 2 | 7 |
| Umsetzungsgrad 3 | 5 |
| Umsetzungsgrad 4 | 2 |
| Umsetzungsgrad 5 | 0 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Ernährung
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Ernährung
| Ernährung | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 0 |
| Umsetzungsgrad 1 | 2 |
| Umsetzungsgrad 2 | 6 |
| Umsetzungsgrad 3 | 9 |
| Umsetzungsgrad 4 | 2 |
| Umsetzungsgrad 5 | 1 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Informationstechnik und Telekommunikation
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Informationstechnik und Telekommunikation
| ITK | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 0 |
| Umsetzungsgrad 1 | 0 |
| Umsetzungsgrad 2 | 4 |
| Umsetzungsgrad 3 | 10 |
| Umsetzungsgrad 4 | 2 |
| Umsetzungsgrad 5 | 3 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Gesundheit
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Gesundheit
| Gesundheit | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 1 |
| Umsetzungsgrad 1 | 43 |
| Umsetzungsgrad 2 | 81 |
| Umsetzungsgrad 3 | 32 |
| Umsetzungsgrad 4 | 13 |
| Umsetzungsgrad 5 | 0 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Finanz- und Versicherungswesen
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor Finanz- und Versicherungswesen
| Finanz- und Versicherungswesen | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 0 |
| Umsetzungsgrad 1 | 2 |
| Umsetzungsgrad 2 | 21 |
| Umsetzungsgrad 3 | 22 |
| Umsetzungsgrad 4 | 17 |
| Umsetzungsgrad 5 | 4 |
Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Transport und Verkehr
In diesem Diagramm zeigen wir die Umsetzungsgrade der Systeme zur Angriffserkennung (SzA) im Sektor
Transport und Verkehr
| Transport und Verkehr | Systeme zur Angriffserkennung |
|---|---|
| Umsetzungsgrad 0 | 0 |
| Umsetzungsgrad 1 | 16 |
| Umsetzungsgrad 2 | 22 |
| Umsetzungsgrad 3 | 8 |
| Umsetzungsgrad 4 | 1 |
| Umsetzungsgrad 5 | 0 |
Gemeldete Vorfälle
Eine zuverlässige Prävention und Detektion sind für KRITIS essenziell. Mindestens ebenso wichtig ist es jedoch, sicher davon auszugehen, dass IT-Störungen und Angriffe auftreten werden, wiederkehrend und regelmäßig. Reaktiv müssen Betreiber hierauf vorbereitet sein.
Mit dem IT-Sicherheitsgesetz wurde im Jahr 2015 in § 8b Absatz 4 BSIG eine Meldepflicht für Betreiber Kritischer Infrastrukturen eingeführt. Die Meldepflicht gilt für Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können. Ein hohes Meldeaufkommen ist nicht zwangsläufig ein Indikator für den Stand der Informationssicherheit des jeweiligen Sektors. Betreiber Kritischer Infrastrukturen melden zum Teil auch Vorkommen, die unterhalb der gesetzlichen Meldeschwelle liegen. In die Statistik fließen neben den Meldungen nach BSIG und EnWG auch solche nach TKG ein.
Das folgende Diagramm zeigt die Vorfälle, die dem BSI im ersten Quartal 2024 von KRITIS-Betreibern gemeldet wurden.
Wir als BSI können und wollen unterstützen und kommen dieser Aufgabe im Vorfallsfall regelmäßig nach.
Anzahl der Vorfälle nach Sektoren
In diesem Diagramm zeigen wir die Anzahl der Vorfälle nach Sektoren| Sektor | Anzahl Meldungen |
|---|---|
| Energie | 50 |
| Wasser | 10 |
| Ernährung | 3 |
| IT und Telekommunikation | 25 |
| Gesundheit | 26 |
| Finanz- und Versicherungswesen | 34 |
| Transport und Verkehr | 32 |
| Siedlungsabfallentsorgung | 1 |
Ausblick
Wir wollen Zahlen und Fakten zu Kritischen Infrastrukturen weiter ausbauen und Einblicke schaffen. Weitere Zahlen zu beispielsweise unserem Verwaltungshandeln werden wir voraussichtlich zum 1. August 2024 veröffentlichen.
