Navigation und Service

KRITIS in Zahlen

Einleitende Informationen

Auf unserer Webseite KRITIS in Zahlen macht der Fachbereich Cybersicherheit für Kritische Infrastrukturen einen Teil der Arbeit für und mit Kritischen Infrastrukturen erlebbar. Wir wollen anhand von grundlegenden Statistiken und Kennzahlen zu Kritischen Infrastrukturen (KRITIS) aufzeigen, welche Bundessicht wir auf Kritische Infrastrukturen haben. Wo sind wir Aufsicht und wie oft, wie verteilen sich Infrastrukturen auf Sektoren, wie ist der Stand der Absicherung und wie sieht das Meldeverhalten der Sektoren aus? Wir werden die Daten und Fakten schrittweise ausbauen und Transparenz in Verbindung mit der Weiternutzungsmöglichkeit von Rohdaten ermöglichen. Die Daten der am 30.10.2024 auf dieser Webseite veröffentlichten Diagramme wurden zum Stichtag 30.09.2024 ausgewertet.

Begriffsdefinitionen

  • KRITIS-Betreiber: eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt (§ 1 Absatz 1 Nummer 2 BSI-Kritisverordnung, BSI-KritisV)
  • KRITIS-Anlagen: Anlagen sind gemäß § 1 Absatz 1 Nummer 1 BSI-KritisV
    a) Betriebsstätten und sonstige ortsfeste Einrichtungen,
    b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen oder
    c) Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Betreiber und Anlagen nach KRITIS-Sektoren gemäß BSIG

Interessant und keinesfalls selbsterklärend ist die Antwort auf die meistgestellte Frage: "wie viele KRITIS gibt es in Deutschland?". Häufig meint diese Frage eine Unternehmenszahl.

Eine nationale Besonderheit besteht jedoch darin, dass in Deutschland Kritische Infrastrukturen registriert sind, nicht Unternehmen (Betreiber). D. h. die "Zahl der KRITIS" meint eigentlich eine Anlagenzahl. Erschwerend kommt hinzu, dass ein Betreiber häufig mehrere KRITIS-Anlagen betreibt, teilweise sogar in mehreren KRITIS-Sektoren. Daher unterscheidet sich die Summe der Anlagen von der Summe der Betreiber und wiederum von der Gesamtsumme der Anlagen pro Sektor.

Zum Stichtag 30.09.2024 waren beim BSI insgesamt 1127 Betreiber mit 2086 Anlagen registriert.

Die folgenden Abbildungen zeigen die Summe der KRITIS-Betreiber und der Anlagen pro Sektor.

Bei den Sektoren handelt es sich um KRITIS-Sektoren: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung (§ 2 Absatz 10 Nummer 1 BSIG).

Anzahl Betreiber nach Sektoren
SektorAnzahl der Betreiber
Energie297
Wasser79
Ernährung57
ITK64
Gesundheit215
Finanzen/Versicherung128
Transport/Verkehr86
Siedlungsabfallentsorgung231

Historie Anzahl KRITIS-Betreiber nach Sektoren

Anzahl Anlagen nach Sektoren
SektorAnzahl der Anlagen
Energie501
Wasser178
Ernährung100
ITK109
Gesundheit335
Finanzen/Versicherung278
Transport/Verkehr209
Siedlungsabfallentsorgung377

Historie Anzahl Anlagen nach Sektoren

Die KRITIS-Sektoren sind sehr heterogen. Während zum Beispiel im Sektor Gesundheit viele Betreiber lokal verortet sind (beispielsweise ein Krankenhaus), sind die Anlagen im Sektor Informationstechnik und Telekommunikation oder im Sektor Transport und Verkehr (beispielsweise im Schienennetz) über Landesgrenzen hinweg vernetzt.

KRITIS-Betreiber und Anlagen im Sektor Energie

Da alle anderen KRITIS-Sektoren vom Sektor Energie abhängig sind, nimmt der Sektor Energie eine Sonderrolle ein. Die Energieversorgung hat eine herausragende Bedeutung für das Funktionieren des Gemeinwesens.

Kritische Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 BSIG werden in folgenden Bereichen erbracht (gemäß § 2 Absatz 1 bis 5 BSI-KritisV):

  • 1. Stromversorgung: Stromerzeugung, Stromübertragung, Stromverteilung, Stromhandel
  • 2. Gasversorgung: Gasförderung, Gastransport und -speicherung, Gasverteilung, Gashandel
  • 3. Kraftstoff- und Heizölversorgung: Erdölförderung und Produktenherstellung, Erdöltransport und -lagerung, Kraftstoff- und Heizölverteilung, Mineralölhandel
  • 4. Fernwärmeversorgung: Erzeugung von Fernwärme, Verteilung von Fernwärme, Steuerung und Überwachung.

Die Anlagenkategorien und Schwellenwerte für den Sektor Energie ergeben sich aus Anhang 1 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Energie. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Energie
nullBetreiberAnlagen
Energie297 501

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Energie

KRITIS-Betreiber und Anlagen im Sektor Wasser

Ausreichend vorhandenes Trinkwasser ist ebenso wie eine funktionierende Abwasserbeseitigung die Grundlage für das reibungslose Funktionieren von Gesellschaft und Wirtschaft.

Wasser dient nicht nur als wichtigstes Lebensmittel für Mensch und Tier, sondern ist sowohl Produktionsmittel für die Nahrungsmittelindustrie als auch ein wichtiger Bestandteil zur Erhaltung der Hygiene. Benötigt wird also ausreichend Wasser in einer entsprechend hohen Qualität. Darüber hinaus schützt eine funktionierende Abwasserbeseitigung vor der Verbreitung von Krankheiten und der Verunreinigung unserer Gewässer.

Die kritischen Dienstleistungen im Sektor Wasser sind die Trinkwasserversorgung und die Abwasserbeseitigung.

Die Anlagenkategorien der Branche Trinkwasserversorgung sind:

  • die Gewinnungsanlage
  • die Wasseraufbereitungsanlage
  • das Wasserverteilungssystem
  • die Leitzentrale

Die Anlagenkategorien in der Branche Abwasserbeseitigung sind:

  • die Kanalisation
  • die Kläranlage 
  • die Leitzentrale

Die Trinkwasserversorgung und die Abwasserentsorgung sind in den meisten Fällen lokal angesiedelt. Das bedeutet, die meisten Städte und Kreise haben ihre eigenen Ver- und Entsorgungsanlagen oder schließen sich mit den umliegenden Kommunen zu sogenannten Zweckverbänden zusammen.

Ein Betreiber betreibt meist zwischen einer und drei Anlagen (in seltenen Fällen mehr), die die Schwelle nach BSI-KritisV für eine zu registrierende Anlage überschreiten. Die zugrunde gelegten Schwellenwerte des Sektors Wasser orientieren sich am Regelschwellenwert von 500.000 versorgten Personen. Es wird von einem durchschnittlichen Trinkwasserverbrauch von 44 m3 ausgegangen. Hieraus ergibt sich ein Schwellenwert von 22 Millionen m3 für die Anlagen der Trinkwasserversorgung (500.000 Personen x 44 m3/Jahr ergibt 22 Millionen m3/Jahr). Für die Abwasserentsorgung orientieren sich die Schwellenwerte an den angeschlossenen Einwohnenden, bzw. der Ausbaugröße der Kläranlage.

Aufgrund der lokalen Orientierung der Betreiber des Sektors Wasser gemeinsam mit dem Regelschwellenwert von 500.000 versorgten Personen kommt es zu einer insgesamt relativ geringen Zahl an Betreibern im Sektor.

Generisches Beispiel: Die Stadtwerke Musterstadt haben ca. 600.000 Personen in ihrem Versorgungsgebiet. Die Wasserversorgung wird durch zwei Wasserwerke mit Trinkwasser versorgt, von denen eines am nördlichen und eines am südlichen Rand der Stadt liegt. Die beiden Wasserwerke versorgen in diesem vereinfachten Beispiel jeweils 300.000 Einwohnende mit jeweils 44 m3/Jahr. Die Anlage produziert demnach 13,2 Millionen m3/Jahr und liegt damit unter dem Schwellenwert für die Trinkwasserversorgungsanlagen von 22 Millionen m3/Jahr. Sie ist daher keine KRITIS-Anlage nach BSIG.

Die Anlagenkategorien und Schwellenwerte für den Sektor Wasser ergeben sich aus Anhang 2 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Wasser. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Wasser
nullBetreiberAnlagen
Wasser79 178

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Wasser

KRITIS-Betreiber und Anlagen im Sektor Ernährung

Nahrung ist Grundlage unseres Lebens. Die ausreichende und stets gewährleistete Versorgung der Bevölkerung mit Nahrungsmitteln ist zweifelsfrei lebensnotwendig. Störungen der Nahrungsmittelversorgung könnten massive Auswirkungen auf die Bevölkerung haben. Daher zählt auch der Sektor Ernährung zu den Kritischen Infrastrukturen. 

Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens ist im Sektor Ernährung die Versorgung der Allgemeinheit mit Lebensmitteln (Lebensmittelversorgung) kritische Dienstleistung. Die Lebensmittelversorgung wird in den Bereichen Lebensmittelherstellung und -behandlung sowie Lebensmittelhandel erbracht.

Die Anlagenkategorien und Schwellenwerte für den Sektor Ernährung ergeben sich aus Anhang 3 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Ernährung. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren

Anzahl Betreiber/Anlagen Ernährung
nullBetreiberAnlagen
Ernährung57 100

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Ernährung

KRITIS-Betreiber und Anlagen im Sektor Informationstechnik und Telekommunikation

Der Austausch von Informationen ist in unserer modernen Gesellschaft zu einem sehr wichtigen Wirtschaftsfaktor und Bestandteil des täglichen Lebens geworden. Ausfälle oder Beeinträchtigungen der hierfür erforderlichen technischen Infrastruktur können aufgrund der Abhängigkeiten in den Prozessen und der Wertschöpfung zu sektorübergreifenden Schäden in der deutschen Wirtschaft und zu einer direkten Gefährdung von Leib und Leben führen.

Besonders problematisch ist die Verbreitung von Schadcode über reguläre Update-Mechanismen von Software, also über die Software-Lieferkette (Supply-Chain) eines Dienstleisters zu seinen Kunden, die in den vergangenen Jahren mehrfach beobachtet wurde. So sind beispielsweise durch die Manipulation von Sicherheits-Updates, die beim Kunden eingespielt werden, Angriffe auf sehr gut geschützte IT-Systeme möglich. Solche Angriffe sind äußerst schwer zu erkennen, da der Quellcode üblicherweise vom Kunden nicht eingesehen werden kann.

Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind im Sektor Informationstechnik und Telekommunikation kritische Dienstleistungen:

  • Sprach- und Datenübertragung

    • Zugang
    • Übertragung
    • Vermittlung
    • Steuerung
  • Datenspeicherung und -verarbeitung

    • Housing
    • IT-Hosting
    • Vertrauensdienste

Die Anlagenkategorien und Schwellenwerte für den Sektor Informationstechnik und Telekommunikation ergeben sich aus Anhang 4 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Informationstechnik und Telekommunikation. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Informationstechnik und Telekommunikation
nullBetreiberAnlagen
Informationstechnik und Telekommunikation64 109

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Informationstechnik und Telekommunikation

KRITIS-Betreiber und Anlagen im Sektor Gesundheit

Die medizinische Behandlung von Patientinnen und Patienten im Krankenhaus, die Versorgung mit lebenswichtigen Medikamenten sowie die Analyse von Proben in Laboren – diese Dienstleistungen sind essenzielle Bestandteile der gesundheitlichen Versorgung. Ob Produktion von Medikamenten, medizinische Forschung oder medizinische Versorgung in Krankenhäusern: Der Sektor Gesundheit hat eine hohe Bedeutung für das Funktionieren der Gesellschaft. Im Sektor Gesundheit werden vier kritische Dienstleistungen erbracht, um die medizinische Versorgung der Bevölkerung mittel- und unmittelbar sicherzustellen:

  • Stationäre medizinische Versorgung in Krankenhäusern
  • Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind
  • Versorgung mit verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper
  • Laboratoriumsdiagnostik

Unter die Dienstleistung "stationäre medizinische Versorgung" fällt etwa die Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung in Krankenhäusern mit über 30.000 vollstationären Fällen im Jahr.

Die Anlagenkategorien und Schwellenwerte für den Sektor Gesundheit ergeben sich aus Anhang 5 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Gesundheit. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Gesundheit
nullBetreiberAnlagen
Gesundheit215 335

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Gesundheit

KRITIS-Betreiber und Anlagen im Sektor Finanz- und Versicherungswesen

Der Sektor Finanz- und Versicherungswesen hat eine herausgehobene Bedeutung für die Gesellschaft. In unserer arbeitsteiligen Welt erfolgt der Austausch von Waren und Dienstleistungen in der Regel gegen Geldzahlungen. Somit kommt der Abwicklung von Zahlungen eine gesellschaftlich hohe Bedeutung zu, da ohne Zugang zu Zahlungsmöglichkeiten nahezu jegliche Geschäftstätigkeit unmöglich ist.

Der Handel mit Wertpapieren und Derivaten dient auf der einen Seite der Partizipation der Bevölkerung an der Wertschöpfung von Unternehmen und auf der anderen Seite zur Finanzierung von Unternehmen. Aufgrund der gesellschaftlichen Relevanz werden Anlagen zu deren Erbringung zu den Kritischen Infrastrukturen gezählt.

Ein wichtiges Interesse der Bevölkerung besteht in der Abfederung negativer sozialer Folgewirkungen durch Krankheit, Pflegebedürftigkeit oder Arbeitslosigkeit. Ebenfalls ist die finanzielle Versorgung im Alter durch Rentenzahlungen ein wichtiges gesellschaftliches Gut. Der Schutz vor materiellen Verlusten ist für die Bevölkerung ebenso wichtig.

Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind kritische Dienstleistungen im Sektor Finanz- und Versicherungswesen:

  • Bargeldversorgung
  • Kartengestützter Zahlungsverkehr
  • Konventioneller Zahlungsverkehr
  • Handel mit Wertpapieren und Derivaten sowie die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften
  • Versicherungsdienstleistungen und Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende

Die Anlagenkategorien und Schwellenwerte für den Sektor Finanz- und Versicherungswesen ergeben sich aus Anhang 6 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Finanz- und Versicherungswesen. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Finanz- und Versicherungswesen
nullBetreiberAnlagen
Finanz- und Versicherungswesen128 278

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Finanz- und Versicherungswesen

KRITIS-Betreiber und Anlagen im Sektor Transport und Verkehr

Sicher von A nach B kommen - für eine funktionierende Gesellschaft unverzichtbar. Der Sektor Transport und Verkehr spielt in Deutschland wirtschaftlich und gesellschaftlich eine wichtige Rolle. Der Sektor ist wesentlich für die Versorgungssicherheit in Deutschland und für eine funktionierende Wirtschaft. Um diesen Zweck zu erfüllen, hat sich ein komplexes System an Transport- und Verkehrsdienstleistungen inklusive gegenseitiger Abhängigkeiten entwickelt. Diese Abhängigkeiten betreffen nicht nur den Sektor, sondern auch alle anderen Sektoren sind vom Sektor Transport und Verkehr abhängig: Vom Transportsektor hängt nicht nur viel ab, er selbst ist auch zwingend auf die Funktionsfähigkeit anderer Sektoren angewiesen. Hierzu zählt insbesondere der Sektor Energie durch die Bereitstellung von Elektrizität und Treibstoff für den Betrieb der Verkehrsträger.

Wegen ihrer besonderen Bedeutung ist im Sektor Transport und Verkehr die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) kritische Dienstleistung im Sinne des § 8 Absatz 1 der BSI-KritisV. Der Personen- und Güterverkehr wird in den Bereichen Luftverkehr, Eisenbahnverkehr, See- und Binnenschifffahrt, Straßenverkehr, öffentlicher Personennahverkehr (ÖPNV) und Logistik sowie verkehrsträgerübergreifend erbracht.

Es gibt diverse Fortbewegungsmittel und komplexe technische Anlagen für deren Überwachung und Steuerung. Beim Luftverkehr fallen beispielsweise die Passagier- und Frachtabfertigung, Infrastruktur und Flugsicherung unter die kritische Dienstleistung.

Die Anlagenkategorien und Schwellenwerte für den Sektor Transport und Verkehr ergeben sich aus Anhang 7 der BSI-KritisV.

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Transport und Verkehr. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Transport und Verkehr
nullBetreiberAnlagen
Transport und Verkehr86 209

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Transport und Verkehr

KRITIS-Betreiber und Anlagen im Sektor Siedlungsabfallentsorgung

Eine verlässliche und leistungsfähige Abfallentsorgung ist für unsere Gesellschaft essenziell. Störungen in der Abfallentsorgung können sich unmittelbar auf die Funktionsfähigkeit des öffentlichen Lebens auswirken.

Mit dem zweiten IT-Sicherheitsgesetz hat der Gesetzgeber im Jahr 2021 die Siedlungsabfallentsorgung als neuen KRITIS-Sektor in § 2 Absatz 10 Nr. 1 BSIG hinzugefügt.

Im Kreislaufwirtschaftsgesetz (KrWG) definiert der Gesetzgeber Siedlungsabfälle als Abfälle aus privaten Haushalten und vergleichbaren Einrichtungen, zum Beispiel hausmüllähnliche Abfälle aus Arzt- und Rechtsanwaltspraxen, Verwaltungsgebäuden, Schulen, Kindergärten, Krankenhäusern und Pflegeeinrichtungen sowie hausmüllähnliche Abfälle aus Gewerbe und Industrie. Ferner gehören zu den Siedlungsabfällen (...) Bioabfälle sowie getrennt erfasste Wertstoffe wie Glas und Papier (PPK). Diese Definition ist grundlegend für die Identifizierung von KRITIS-Anlagen.

Es ist leicht vorstellbar, welche Auswirkungen eine Störung oder ein Ausfall der Entsorgung von Abfällen haben kann. Es ist offensichtlich, dass hierdurch u. a. erhebliche gesundheitliche Gefährdungen der Bevölkerung oder Umweltschäden entstehen können. Als Beispiele sind die mögliche Ausbreitung von Krankheiten und Schädlingen, Verschmutzung von Grundwasser oder die Gefährdung des Straßenverkehrs zu nennen.

Die Schwellenwerte des Sektors Siedlungsabfallentsorgung orientieren sich am Regelschwellenwert von 500.000 versorgten Personen. Die Bemessungskriterien richten sich dabei nach den angeschlossenen Einwohnenden, bzw. den Tonnen Abfall pro Jahr. Zur Umrechnung werden die durchschnittlich im Jahr anfallenden Abfälle pro Person der verschiedenen Abfallströme (Rest- oder gemischter Gewerbeabfall, Bioabfall, LVP- und Kunststoffabfall, PPK-Abfall und Glasabfall) genutzt.

Aufgrund der breit gefächerten Anlagentypen und der üblichen Aneinanderreihung von Anlagen des Sektors Siedlungsabfallentsorgung (z. B. Sammlung, Lagerung, Sortierung, Verbrennung), kommt es trotz einer überwiegend lokalen Orientierung der Betreiber zu einer insgesamt vergleichsweise hohen Zahl an Betreibern und Anlagen im Sektor Siedlungsabfallentsorgung.

Die Anlagenkategorien und Schwellenwerte für den Sektor Siedlungsabfallentsorgung ergeben sich aus Anhang 8 der BSI-KritisV

Dieses Diagramm zeigt die Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Siedlungsabfallentsorgung. Ein KRITIS-Betreiber kann mehrere Anlagen registrieren.

Anzahl Betreiber/Anlagen Siedlungsabfallentsorgung
nullBetreiberAnlagen
Siedlungsabfallentsorgung231 377

Historie Anzahl der beim BSI registrierten KRITIS-Betreiber und Anlagen im Sektor Siedlungsabfallentsorgung

Managementsysteme für Informationssicherheit und Geschäftskontinuität

Kritische Infrastrukturen müssen aufgrund ihrer hohen Bedeutung für das Gemeinwesen verfügbar sein. Hohe Cybersicherheit bildet hierbei eine unverzichtbare Basis. Betreiber Kritischer Infrastrukturen sind nach § 8a Absatz 3 BSIG gesetzlich verpflichtet, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Diese Nachweise enthalten eine Einschätzung der prüfenden Stelle zur Wirksamkeit der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (Business Continuity Management System, BCMS) beim geprüften Betreiber. Dies geschieht mittels eines Reifegradmodells. Die Einteilung in Reifegrade orientiert sich an klassischen Reifegradmodellen, eine Reifegradbestimmung nach wissenschaftlichen Methoden wird vom BSI jedoch nicht gefordert. Die Auswertung der dem BSI übermittelten Reifegrade können KRITIS-Betreibern eine Einschätzung geben, wie reif Ihre Managementsysteme im Vergleich des Sektors oder auch sektorübergreifend sind.

Die Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG beschreibt folgende Reifegrade für ISMS und BCMS:

  • Reifegrad 1: Ein ISMS/BCMS ist zwar geplant, aber bisher nicht etabliert.
  • Reifegrad 2: Ein ISMS/BCMS ist weitestgehend etabliert.
  • Reifegrad 3: Ein ISMS/BCMS ist etabliert und dokumentiert.
  • Reifegrad 4: Zusätzlich zum Reifegrad 3 wurde das ISMS/BCMS regelmäßig auf Effektivität überprüft.
  • Reifegrad 5: Zusätzlich zum Reifegrad 4 wurde das ISMS/BCMS regelmäßig verbessert.

In die Statistik fließen die Reifegrade aus dem jeweils letzten eingereichten Nachweis ein. Für den Sektor Siedlungsabfallentsorgung liegen derzeit noch keine Nachweise vor.

Die Anzahl der Nachweise entspricht nicht der Anzahl der Betreiber. Einige energiewirtschaftliche Betreiber sind gemäß § 11 Absatz 1f EnWG nachweispflichtig. Diese Nachweise enthalten Umsetzungsgrade der Systeme zur Angriffserkennung, aber keine ISMS/BCMS-Reifegrade. Außerdem gibt es Betreiber, die nach § 8d Absatz 2 BSIG nicht nachweispflichtig sind. Schließlich gibt es kürzlich registrierte Betreiber, zum Beispiel im Sektor Siedlungsabfallentsorgung, die erst zwei Jahre nach der Registrierung einen Nachweis einreichen müssen.

Reifegrade der ISMS und BCMS im Sektor Energie

Reifegrade ISMS und BCMS im Sektor Energie
EnergieISMSBCMS
Reifegrad 113
Reifegrad 22027
Reifegrad 34555
Reifegrad 42822
Reifegrad 52915

Historie Reifegrade der ISMS und BCMS im Sektor Energie

Reifegrade der ISMS und BCMS im Sektor Wasser

Reifegrade ISMS und BCMS im Sektor Wasser
WasserISMSBCMS
Reifegrad 103
Reifegrad 2812
Reifegrad 31221
Reifegrad 43028
Reifegrad 53016

Historie Reifegrade der ISMS und BCMS im Sektor Wasser

Reifegrade der ISMS und BCMS im Sektor Ernährung

Reifegrade ISMS und BCMS im Sektor Ernährung
ErnährungISMSBCMS
Reifegrad 102
Reifegrad 21312
Reifegrad 31824
Reifegrad 4109
Reifegrad 593

Historie Reifegrade der ISMS und BCMS im Sektor Ernährung

Reifegrade der ISMS und BCMS im Sektor Informationstechnik und Telekommunikation

Reifegrade ISMS und BCMS im Sektor Informationstechnik und Telekommunikation
ITKISMSBCMS
Reifegrad 102
Reifegrad 2310
Reifegrad 31112
Reifegrad 4105
Reifegrad 51712

Historie Reifegrade der ISMS und BCMS im Sektor Informationstechnik und Telekommunikation

Reifegrade der ISMS und BCMS im Sektor Gesundheit

Reifegrade ISMS und BCMS im Sektor Gesundheit
GesundheitISMSBCMS
Reifegrad 1316
Reifegrad 276103
Reifegrad 37359
Reifegrad 44528
Reifegrad 52213

Historie Reifegrade der ISMS und BCMS im Sektor Gesundheit

Reifegrade der ISMS und BCMS im Sektor Finanz- und Versicherungswesen

Reifegrade ISMS und BCMS im Sektor Finanz- und Versicherungswesen
Finanz- und VersicherungswesenISMSBCMS
Reifegrad 100
Reifegrad 2626
Reifegrad 33724
Reifegrad 42128
Reifegrad 54228

Historie Reifegrade der ISMS und BCMS im Sektor Finanz- und Versicherungswesen

Reifegrade der ISMS und BCMS im Sektor Transport und Verkehr

Reifegrade ISMS und BCMS im Sektor Transport und Verkehr
TUVISMSBCMS
Reifegrad 127
Reifegrad 22230
Reifegrad 33220
Reifegrad 486
Reifegrad 589

Historie Reifegrade der ISMS und BCMS im Sektor Transport und Verkehr

Einsatz von Systemen zur Angriffserkennung

Die Bedrohungslage ist so hoch wie nie zuvor. Daher sind zuverlässige organisatorische und technische Wege der Angriffserkennung gerade für Kritische Infrastrukturen unverzichtbar. Mit dem IT-Sicherheitsgesetz 2.0 wurde für KRITIS-Betreiber im Mai 2021 ausdrücklich der Einsatz von Systemen zur Angriffserkennung im BSIG vorgeschrieben (§ 8a Absatz 1a BSIG). Diese Systeme stellen eine effektive Maßnahme zur Erkennung von Cyberangriffen dar und unterstützen insbesondere die Schadensreduktion. Die Betreiber mussten die Einführung eines Systems zur Angriffserkennung erstmalig in Nachweisen nach dem 1. Mai 2023 gegenüber dem BSI nachweisen. Die gesetzliche Verpflichtung betrifft aber nicht nur KRITIS-Betreiber, die die Schwellenwerte der BSI-KritisV überschreiten, sondern über § 11 Absatz 1d EnWG auch alle Strom- und Gasnetzbetreiber.

Die Qualität der eingesetzten Systeme gemäß § 8a Absatz 1a BSIG bzw. nach § 11 Absatz 1e EnWG lässt sich mit Hilfe eines Umsetzungsgradmodells bewerten. Dieses können Auditoren und Prüfer nutzen, um zu beurteilen, wie weit die organisatorischen und technischen Maßnahmen in der geprüften Kritischen Infrastruktur fortgeschritten sind.

Die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung beschreibt folgende Umsetzungsgrade:

  • Umsetzungsgrad 0: Es sind bisher keine Maßnahmen zur Erfüllung der Anforderungen umgesetzt und es bestehen auch keine Planungen zur Umsetzung von Maßnahmen.
  • Umsetzungsgrad 1: Es bestehen Planungen zur Umsetzung von Maßnahmen zur Erfüllung der Anforderungen, jedoch für mindestens einen Bereich noch keine konkreten Umsetzungen.
  • Umsetzungsgrad 2: In allen Bereichen wurde mit der Umsetzung von Maßnahmen zur Erfüllung der Anforderungen begonnen. Es sind noch nicht alle MUSS-Anforderungen erfüllt worden.
  • Umsetzungsgrad 3: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Idealerweise wurden SOLLTE-Anforderungen hinsichtlich ihrer Notwendigkeit und Umsetzbarkeit geprüft. Ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.
  • Umsetzungsgrad 4: Alle MUSS- Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen wurden erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.
  • Umsetzungsgrad 5: Alle MUSS-Anforderungen wurden für alle Bereiche erfüllt. Alle SOLLTE-Anforderungen und KANN-Anforderungen wurden für alle Bereiche erfüllt, außer sie wurden stichhaltig und nachvollziehbar begründet ausgeschlossen. Für alle Bereiche wurden sinnvolle zusätzliche Maßnahmen entsprechend der Risikoanalyse/Schutzbedarfsfeststellung identifiziert und umgesetzt. Ein kontinuierlicher Verbesserungsprozess wurde etabliert.

Ziel der Anwendung eines Umsetzungsgradmodells ist es, die Qualität von Systemen zur Angriffserkennung zu erhöhen. Durch regelmäßige Analysen kann überprüft werden, welche Teilbereiche noch unzureichend gesteuert sind. Ein niedriger Umsetzungsgrad begründet einen besonderen Handlungsbedarf. Umsetzungsgradmodelle können folglich dabei unterstützen, Schwerpunkte für die Weiterentwicklung von Systemen zur Angriffserkennung zu setzen.

Umsetzungsgrade der Systeme zur Angriffserkennung nach KRITIS-Sektoren

In die Statistik fließt der Umsetzungsgrad aus dem jeweils letzten eingereichten Nachweis ein. Für den Sektor Siedlungsabfallentsorgung liegen derzeit noch keine Nachweise vor.

Die Anzahl der Nachweise entspricht nicht der Anzahl der Betreiber. Einige energiewirtschaftliche Betreiber sind gemäß § 11 Absatz 1f EnWG nachweispflichtig. Diese Nachweise enthalten Umsetzungsgrade der Systeme zur Angriffserkennung, aber keine ISMS/BCMS-Reifegrade. Außerdem gibt es Betreiber, die nach § 8d Absatz 2 BSIG nicht nachweispflichtig sind. Schließlich gibt es kürzlich registrierte Betreiber, zum Beispiel im Sektor Siedlungsabfallentsorgung, die erst zwei Jahre nach der Registrierung einen Nachweis einreichen müssen.

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Energie

Umsetzungsgrade SzA im Sektor Energie
EnergieSysteme zur Angriffserkennung
Umsetzungsgrad 02
Umsetzungsgrad 17
Umsetzungsgrad 248
Umsetzungsgrad 337
Umsetzungsgrad 44
Umsetzungsgrad 52

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Energie

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Wasser

Umsetzungsgrade SzA im Sektor Wasser
WasserSysteme zur Angriffserkennung
Umsetzungsgrad 00
Umsetzungsgrad 18
Umsetzungsgrad 220
Umsetzungsgrad 317
Umsetzungsgrad 47
Umsetzungsgrad 51

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Wasser

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Ernährung

Umsetzungsgrade SzA im Sektor Ernährung
ErnährungSysteme zur Angriffserkennung
Umsetzungsgrad 00
Umsetzungsgrad 13
Umsetzungsgrad 211
Umsetzungsgrad 314
Umsetzungsgrad 44
Umsetzungsgrad 51

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Ernährung

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Informationstechnik und Telekommunikation

Umsetzungsgrade SzA im Sektor Informationstechnik und Telekommunikation
ITKSysteme zur Angriffserkennung
Umsetzungsgrad 00
Umsetzungsgrad 10
Umsetzungsgrad 27
Umsetzungsgrad 313
Umsetzungsgrad 43
Umsetzungsgrad 53

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Informationstechnik und Telekommunikation

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Gesundheit

Umsetzungsgrade SzA im Sektor Gesundheit
GesundheitSysteme zur Angriffserkennung
Umsetzungsgrad 01
Umsetzungsgrad 143
Umsetzungsgrad 292
Umsetzungsgrad 345
Umsetzungsgrad 415
Umsetzungsgrad 50

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Gesundheit

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Finanz- und Versicherungswesen

Umsetzungsgrade SzA im Sektor Finanz- und Versicherungswesen
Finanz- und VersicherungswesenSysteme zur Angriffserkennung
Umsetzungsgrad 00
Umsetzungsgrad 12
Umsetzungsgrad 222
Umsetzungsgrad 324
Umsetzungsgrad 421
Umsetzungsgrad 54

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Finanz- und Versicherungswesen

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Transport und Verkehr

Umsetzungsgrade SzA im Sektor Transport und Verkehr
Transport und VerkehrSysteme zur Angriffserkennung
Umsetzungsgrad 00
Umsetzungsgrad 123
Umsetzungsgrad 226
Umsetzungsgrad 311
Umsetzungsgrad 41
Umsetzungsgrad 50

Historie Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Transport und Verkehr

Gemeldete Störungen

Eine zuverlässige Prävention und Detektion sind für KRITIS essenziell. Mindestens ebenso wichtig ist es jedoch, sicher davon auszugehen, dass IT-Störungen und Angriffe auftreten werden, wiederkehrend und regelmäßig. Reaktiv müssen Betreiber hierauf vorbereitet sein.

Die Meldepflicht für Betreiber Kritischer Infrastrukturen gemäß § 8b Absatz 4 BSIG gilt für Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können. Die Verpflichtung zur Meldung von IT-Störungen an das BSI wurde mit dem Gesetz zur Umsetzung der NIS-Richtlinie auf alle Energieversorgungsnetzbetreiber, Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste ausgeweitet. Einige der eingehenden Meldungen beinhalten Vorkommen, die unterhalb der gesetzlichen Meldeschwelle liegen.

Ein hohes Meldeaufkommen ist nicht zwangsläufig ein Indikator für den Stand der Informationssicherheit des jeweiligen Sektors oder die Lage insgesamt.

Das folgende Diagramm zeigt die Störungen, die dem BSI im dritten Quartal 2024 von KRITIS-Betreibern gemeldet wurden.

gemeldete Störungen nach Sektoren
Sektorgemeldete Störungen
Energie50
Wasser3
Ernährung14
IT und Telekommunikation40
Gesundheit51
Finanz- und Versicherungswesen33
Transport und Verkehr39
Siedlungsabfallentsorgung11

Historie gemeldete Störungen nach Sektoren

Ausblick

Die nächste Aktualisierung dieser Seite wird voraussichtlich zum 3. Februar 2025 erfolgen.