Was sind Kritische Infrastrukturen (KRITIS) in der Energiewirtschaft?

Definition

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die Sektoren und Branchen der kritischen Infrastrukturen sind vom Bundesamt für Sicherheit in der Informationstechnik festgelegt.

Kategorisierung

Das Bundesministerium hat insgesamt neun unterschiedliche Bereiche definiert, in denen kritische Infrastrukturen (KRITIS) zu finden sind.

  • Energie: Elektrizität, Gas, Mineralöl
  • Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel
  • Informationstechnik und Telekommunikation
  • Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
  • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
  • Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
  • Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
  • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerk

KRITIS in der Energiewirtschaft

Im Folgenden möchten wir uns nur auf den Bereich Energie konzentrieren. Aufgrund der immer weiter wachsenden Bedeutung der Digitalisierung und der damit einhergehenden Vernetzung kommt es zu einer stärkeren Abhängigkeit kritischer Infrastrukturen von IT- und Kommunikationssystemen. Diese Systeme sind nach Ansicht des Gesetzgebers besonders einer Bedrohung von außen ausgesetzt. Insofern ist es gerade die Informationssicherheit, die einen hohen Stellenwert in der Gesetzgebung zu kritischen Infrastrukturen einnimmt.

Folgende Gesetze und Vorgaben sind für die IT-Sicherheit im Rahmen von KRITIS im Energiesektor von Bedeutung. Hier werden sowohl die Definitionen für kritische Infrastrukturen, als auch die Pflichten der Betreiber und Schwellenwerte festgehalten, ab wann eine Anlage eine kritische Infrastruktur ist:

Aus diesem Ensemble an Gesetzen ergeben sich die Verpflichtungen für Betreiber von KRITIS. Die branchenspezifischen Sicherheitsstandards wurden für den Bereich Virtuelle Kraftwerke gemeinsam mit Aggregatoren wie Next Kraftwerke und dem BDEW entwickelt. Diese müssen sowohl für die Einhaltung bestimmter Standards in der IT-Sicherheit sorgen als auch mit entsprechenden Audits die Einhaltung dieser Standards nachweisen. Zudem müssen Vorfälle, die in den Bereich IT-Sicherheit fallen an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden.

Die Audits zur IT-Sicherheit bedeuten, dass sowohl die Prozesse des KRITIS-Unternehmens dokumentiert werden müssen, als auch dass mindestens alle zwei Jahre entsprechende Audits, Prüfungen oder Zertifizierungen nachgewiesen werden müssen. 

Anlagenkategorien & Schwellenwerte nach BSI-KritisV

Eine besondere Bedeutung kommt der BSI-KritisV zu. Sie legt fest, welche Infrastrukturen als KRITIS gelten. In den Bereich der Stromversorgung fallen Erzeugungsanlagen, dezentrale Stromproduzenten, Speicher, Aggregatoren wie etwa Next Kraftwerke, Übertragungs- und Verteilnetze sowie Stromhändler und Messstellen. Jedoch gilt dies nicht für jeden Teilnehmer. Das BSI hat für jeden der Bereiche Schwellenwerte festgelegt, ab wann ein Marktteilnehmer der KRITIS zuzurechnen ist.

Stromerzeugung

Anlagenkategorie Bemessungskriterium Schwellenwert
Erzeugungsanlage installierte Netto-Nennleistung (elektrisch) in MW 420
Erzeugungsanlage mit Wärmeauskopplung (KWK-Anlage) installierte Netto-Nennleistung in MW* 420
Dezentrale Energieerzeugungsanlage installierte Netto-Nennleistung (elektrisch) in MW 420
Speicheranlage installierte Netto-Nennleistung (elektrisch) in MW 420
Anlage oder System zur Steuerung/Bündelung elektrischer Leistung installierte Netto-Nennleistung (elektrisch) in MW 420

*direkt mit Wärmeauskopplung verbundene elektrische Wirkleistung bei Wärmenennleistung ohne Kondensationsanteil

Stromübertragung

Anlagenkategorie Bemessungskriterium Schwellenwert
Übertragungsnetz Durch Letztverbraucher und Weiterverteiler entnommene Jahresarbeit in GWh/Jahr 3700
Zentrale Anlage und Systeme für den Stromhandel* Handelsvolumen an der Börse in TWh/Jahr 200

*soweit diese den physischen kurzfristigen Spothandel und das deutsche Marktgebiet betreffen

Stromverteilung

Anlagenkategorie Bemessungskriterium Schwellenwert
Verteilernetz Durch Letztverbraucher und Weiterverteiler entnommene Jahresarbeit in GWh/Jahr 3700
Messstelle Leistung der angeschlossenen Verbrauchsstelle bzw. Einspeisung in MW 420

Nachdem geklärt ist, ob eine Anlage eine KRITIS ist, wird in einer technischen Analyse definiert, welche Komponenten und Prozesse für den Betrieb relevant sind, welche technischen System genutzt werden und welche Risiken bestehen beziehungsweise wie sie minimiert werden können. In einem zweiten Schritt werden dann die bestehenden Anforderungen aus Gesetzen, Vorgaben und Normen analysiert. Bekannte Normen sind unter anderem die ISO/IEC 27001 oder die ISO/TR 27019 bzw. ISO IEC 27019. Im Anschluss werden entsprechende Maßnahmen geplant und umgesetzt. Die Prüfung dieser Maßnahmen wird durch eine „prüfende Stelle“ durchgeführt. Diese Stelle kann etwa der TÜV sein oder eines von der DAkkS (Deutsche Akkreditierungsstelle) zertifiziertes Prüfungsunternehmen.

Auch das Informationssicherheitsmanagementsystem (ISMS) von Next Kraftwerke ist nach ISO/IEC 27001:2013 durch den TÜV Rheinland zertifiziert. Weitere Informationen...