Die KRITIS-Anforderungen machen deutlich: Sicherheit ist keine Kostenfrage, sondern Voraussetzung für Business Continuity

Alexandra — Tue, 05 Aug 2025 17:54:47 +0000

Die Bedrohungslage für die Wirtschaft und Institutionen ist in den letzten Jahren deutlich gestiegen. Opfer von Sabotage, Wirtschaftsspionage oder Ransomware-Attacken zu werden, zählt mittlerweile zu den häufigsten Risiken. Gerade die Unternehmen, die zu den KRITIS-Einrichtungen gehören, müssen gesetzesseitig besondere Vorkehrungen treffen, um sich gegen Angriffe und Ausfälle aller Art zu schützen. Torsten Hiermann von CriseConsult gibt im Interview wichtige Einblicke in die Herausforderungen, denen sich Unternehmen in Bezug auf physische und Cybersicherheit gegenübersehen.

Ganzheitliche Sicherheitskonzepte als Grundlage einer wirksamen KRITIS-Strategie

Warum ist ein 360-Grad-Sicherheitsansatz in KRITIS so entscheidend? Wo erleben Sie in der Praxis, dass Sicherheitsmaßnahmen isoliert betrachtet werden, ohne das große Ganze einzubeziehen?

Torsten Hiermann: Der 360-Grad-Ansatz ist immer entscheidend – besonders, wenn es um den Schutz von Unternehmenswerten oder sogar um die Sicherheit von Menschen geht. Dabei bedeutet 360 Grad nicht, dass alle Bereiche das gleiche Sicherheitsniveau benötigen. Schutzziele und Maßnahmen können durchaus unterschiedlich sein, selbst innerhalb eines Unternehmens oder Areals. Entscheidend ist jedoch, Sicherheit ganzheitlich und integriert zu betrachten. Ein Beispiel aus der Praxis wäre, dass Unternehmen umfangreich über Drohnendetektion und -abwehr nachdenken, andererseits aber die Fahrzeuge von Handwerksunternehmen mehr oder weniger unkontrolliert auf das Firmengelände gelassen werden. Das passt nicht zusammen und zeigt, warum eine isolierte Betrachtung von Sicherheitsmaßnahmen nicht zielführend ist.

Welche typischen Schwachstellen in der physischen Sicherheit haben Sie beobachtet? Wie oft sind diese auf fehlende Integration mit anderen Sicherheitsbereichen zurückzuführen?

Torsten Hiermann: Technisch gesehen gibt es ausreichend wirksame Maßnahmen zur physischen Absicherung. Schwachstellen entstehen in der Praxis häufig durch zwei Hauptfaktoren: mangelnde Security-Awareness und fehlende Investitionsbereitschaft. Die Awareness ist hier besonders entscheidend, denn sie bestimmt, ob und wie konsequent ein Unternehmen seine Werte professionell und auf zeitgemäßem Niveau schützt. Wichtig ist dabei, realistisch zu bleiben: Nicht alle theoretisch möglichen Maßnahmen sind wirtschaftlich sinnvoll. Ein 360-Grad-Ansatz bedeutet vielmehr, gezielt Risikobetrachtungen vorzunehmen. Ein typisches Praxisbeispiel:

Unternehmen sensibilisieren Mitarbeiter intensiv für Social Engineering. Gleichzeitig sind Mitarbeiterparkplätze offen zugänglich oder Parkausweise signalisieren potenziellen Angreifern, dass dieses Auto zu einem Beschäftigten der Firma XY gehört. Die Zuordnung eines privaten Fahrzeugs zu einem Mitarbeiter eines Unternehmens macht aus dem Fahrzeug ein Ziel: Firmenausweis, Transponder, Laptop . . . Unternehmenssicherheit beginnt nicht am Perimeter, sondern samstags auf dem Parkplatz am Baumarkt. Hier wird nämlich im Zweifelsfall aus einer zufälligen Begegnung ein „Target“, weil der schwarze Audi A6 über die Parkplakette oder auch den beschrifteten Kennzeichenhalter signalisiert: Hier steht das Fahrzeug eines Mitarbeiters in gehobener Funktion der Firma XY. Oder aus der Täterperspektive betrachtet: Die Person, die in den Wagen ein- oder aussteigt, ist meine Person of Interest . . .

Herausforderungen und Schlüsselfaktoren bei der Umsetzung von KRITIS-Anforderungen

Wie gut sind KRITIS-Betreiber auf die neuen Anforderungen des KRITIS-Dachgesetzes und NIS2 vorbereitet? Wo sehen Sie die größten Herausforderungen in der Umsetzung?

Torsten Hiermann: Ich sehe hier weniger eine Herausforderung als vielmehr einen deutlichen Mehraufwand. Und wenn wir einen Blick werfen auf das, was geschützt werden soll, dann geht es letztlich um Business Continuity, also um die Absicherung unternehmerischer Aktivitäten. Wichtig wird daher sein, welche konkreten Vorgaben und Fristen seitens des Gesetzgebers gesetzt werden. Die Anforderungen des KRITIS-Dachgesetzes und von NIS2 sind verständlicherweise invasiv – dies ist angesichts vielfältiger aktueller Bedrohungslagen auch notwendig. Es muss aber ein angemessener Maßstab und ein angemessener Zeitraum zur Umsetzung von Maßnahmen zur Verfügung stehen.

Inwiefern stellt die Trennung zwischen IT-Sicherheit und physischer Sicherheit ein Problem dar? Sehen Sie hier ein strukturelles Defizit?

Torsten Hiermann: IT-Sicherheit und physische Sicherheit sind zwei eigenständige Bereiche mit unterschiedlichen Ansätzen und Anforderungen. Beide Bereiche verlangen spezifische Risikobewertungen, Maßnahmen und Reaktionsstrukturen. Entscheidend ist jedoch, dass diese Bereiche letztendlich ineinandergreifen müssen. Eine ganzheitliche Betrachtung bedeutet nicht, dass es eine allmächtige übergeordnete Corporate Security oder einen allmächtigen CISO (Chief Information Security Officer) geben muss. Unstrittig dürfte aber sein: Komplexen Bedrohungslagen begegnet man idealerweise mit integrierten Sicherheitskonzepten. Die Sicherheit einer Organisation wird bestimmt von einem ganzheitlichen Ansatz. Sicherheit ist eine Gemeinschaftsaufgabe, die im Übrigen bereits damit beginnt, „Tailgating“ (unberechtigtes Zutrittserschleichen) zu verhindern.

Welche Best Practices haben Sie für die praktische Umsetzung eines ganzheitlichen Sicherheitsansatzes in KRITIS? Gibt es konkrete Maßnahmen oder Checklisten, die sich bewährt haben?

Torsten Hiermann: Ich empfehle einen Blick auf die Schutzmaßnahmen im Bundeskanzleramt. Aber ernsthaft: Je nach Bedrohungslage und Schutzzielen sind Sicherheitskonzepte so komplex, dass einfache Checklisten nicht mehr ausreichen. Je höher die KRITIS-Anforderungen, desto sinnvoller ist es, Sicherheitsberater oder Fachplaner einzubeziehen. Man kann das gut mit Spezialkliniken vergleichen: Die Erfahrung und Expertise unterscheiden sich erheblich zwischen Kliniken, die wenige und jenen, die viele spezialisierte Eingriffe durchführen.

Gibt es eine Fehleinschätzung, die Ihnen immer wieder begegnet, wenn es um Sicherheit in KRITIS geht?

Torsten Hiermann: Die grundlegendste Fehleinschätzung resultiert daraus, dass aufgrund fehlender Evidenz die Notwendigkeit von integrierten Sicherheitsmaßnahmen nicht gesehen wird, nach dem Motto „Es ist bisher ja nichts passiert“. Während diese Haltung in weniger kritischen Bereichen vertretbar sein mag, müssen KRITIS-Unternehmen deutlich strengere Maßstäbe anlegen. Sicherheit darf nicht reaktiv sein, sondern muss präventiv und strategisch geplant werden.

„Sicherheit darf nicht erst mit der Gesetzespflicht beginnen. Wer KRITIS betreibt, trägt Verantwortung – für Menschen, Versorgung und Stabilität.“

Torsten Hiermann, CriseConsult

Welche Technologien oder neuen Sicherheitskonzepte halten Sie für besonders zukunftsweisend?

Torsten Hiermann: Entscheidend sind die Vernetzung und Integration von Systemen, Detektion und Aktion werden stärker miteinander verbunden, auch durch den Einsatz Künstlicher Intelligenz. Allerdings zeigen Erfahrungen, dass professionelle Angreifer immer neue Wege suchen und finden werden. Wenn die technischen Sicherheitsmaßnahmen sehr hoch sind, kann die Sicherheitskultur im Unternehmen zur Schwachstelle werden – und umgekehrt. Auch hier gilt erneut: Der 360-Grad-Ansatz ist alternativlos.

Was sind Ihre drei wichtigsten Empfehlungen für KRITIS-Betreiber, um ihre Sicherheitsstrategie nachhaltiger und effektiver zu gestalten?

Torsten Hiermann: Nachhaltig steht für dauerhaft wirksam. Und effektiv heißt: es muss auch wirken. Spontan agierende Täter lassen sich abschrecken. Professionell agierende Täter passen ihre Strategien an. Im Umkehrschluss bedeutet dies: Sicherheitsmaßnahmen müssen gespiegelt am jeweiligen Schutzziel State-of-the-Art sein und immer wieder neu an aktuellen Risikoanalysen und Bedrohungsszenarien ausgerichtet werden. Sicherheit ist ein Prozess. Keine Stand-alone-Technologie und kein statisches Konzept

NOX SYSTEMS begleitet KRITIS-Betreiber, Planer und Errichter mit integrierbaren Sicherheitslösungen – für eine Sicherheitsarchitektur, die mitdenkt. > Unsere Lösungen

Der Beitrag Die KRITIS-Anforderungen machen deutlich: Sicherheit ist keine Kostenfrage, sondern Voraussetzung für Business Continuity erschien zuerst auf NOX SYSTEMS | Security beyond limits.

NIS2-Anforderungen: Herausforderungen und Chancen für KRITIS-Betreiber

Alexandra — Thu, 27 Mar 2025 18:47:32 +0000

Die Cybersicherheitslandschaft in Europa befindet sich im Wandel. Mit der neuen EU-Richtlinie NIS2 (Network and Information Security Directive 2) werden strengere Sicherheitsanforderungen an Betreiber kritischer Infrastrukturen (KRITIS) gestellt. Besonders betroffen sind Sektoren wie das Gesundheitswesen und die Energieversorgung, die essenzielle Dienstleistungen für die Gesellschaft bereitstellen. Doch was bedeutet das konkret für KRITIS-Betreiber wie Krankenhäuser und Energieversorger?

Die Kernanforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie und deren noch zu beschließende Umsetzung mit dem NIS2UmsuCG, erweitert die bisherigen Sicherheitsanforderungen und setzt neue Maßstäbe für den Schutz kritischer Infrastrukturen. Für über 30.000 betroffene Unternehmen in Deutschland werden damit die Security-Pflichten steigen. Unternehmen müssen ein hohes Sicherheitsniveau gewährleisten, was die Implementierung robuster Risikomanagement-Systeme, Notfallpläne und Sicherheitsvorkehrungen erfordert. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, um eine frühzeitige Reaktion zu ermöglichen. Verstöße gegen die Vorgaben können hohe Strafen nach sich ziehen. Zudem wird der Anwendungsbereich erweitert, sodass nun auch mittlere und große Unternehmen einbezogen werden.

KRITIS-Krankenhaus: Cybersicherheit im Gesundheitswesen

Krankenhäuser sind besonders sensible Einrichtungen – hier geht es nicht nur um wirtschaftlichen Schaden, sondern unmittelbar um Menschenleben und den Schutz persönlicher Daten. Die NIS2-Anforderungen bedeuten eine verstärkte Verpflichtung, umfassende und robuste IT-Sicherheitskonzepte zu entwickeln. Krankenhäuser müssen jetzt verstärkt in Systeme investieren, die kritische Patientendaten schützen und gleichzeitig die Versorgung sicherstellen, selbst wenn es zu Cyberangriffen kommt. Auch das Personal wird stärker in die Pflicht genommen: Um Fehler zu reduzieren, müssen Beschäftigte gezielt geschult werden. Besonders kritisch ist der Schutz sensibler Patientendaten, deren Verlust gravierende Folgen hätte und neben rechtlichen Konsequenzen vor allem das Vertrauen der Bevölkerung erschüttern würde.

KRITIS-Energieversorgung: Schutz vor Cyberbedrohungen

Im Bereich der Energieversorgung liegt die Herausforderung vor allem darin, den stetigen Ausbau digitaler Technologien sicher zu begleiten. Je stärker etwa sogenannte Smart Grids und digitale Steuerungssysteme in die Energieinfrastruktur integriert werden, desto attraktiver und anfälliger werden diese Strukturen für Cyberattacken. Die NIS2-Richtlinie fordert von Energieversorgern deshalb eine umfassendere Sicherheitsstrategie, die nicht nur präventiv, sondern auch reaktiv ausgelegt sein muss. Hierzu gehören der Aufbau redundanter Systeme und eine enge, proaktive Zusammenarbeit mit Behörden und CERTs (Computer Emergency Response Teams). Diese Maßnahmen sollen sicherstellen, dass mögliche Cyberbedrohungen frühzeitig erkannt und abgewehrt werden.

Herausforderungen und Chancen durch NIS2

Die Umsetzung der NIS2-Anforderungen bringt erhebliche Herausforderungen mit sich, insbesondere in Bezug auf finanzielle und personelle Ressourcen. Gleichzeitig bietet die Richtlinie aber auch Chancen. Durch robuste Sicherheitsmaßnahmen werden Krankenhäuser und Energieversorger widerstandsfähiger gegen Cyberangriffe. Unternehmen, die hohe Sicherheitsstandards erfüllen, können sich als zuverlässige Partner und Dienstleister positionieren. Zudem können die steigenden Anforderungen als Anreiz dienen, neue Sicherheitslösungen und Technologien zu entwickeln. Die NIS2-Richtlinie bringt erhebliche Veränderungen für Betreiber kritischer Infrastrukturen. Insbesondere Krankenhäuser und Energieversorger müssen umfassende Sicherheitskonzepte implementieren, um den neuen Anforderungen gerecht zu werden. Trotz der Herausforderungen bietet die Umsetzung der NIS2-Vorgaben eine Chance, langfristig widerstandsfähiger gegen Cyberangriffe zu werden und das Vertrauen der Gesellschaft in die Versorgungssicherheit zu stärken. Die Zeit zur Umsetzung ist begrenzt – wer jetzt handelt, sichert sich einen entscheidenden Vorteil für die Zukunft.

Finden Sie Ihre NIS2-konforme Sicherheitslösung

Der Beitrag NIS2-Anforderungen: Herausforderungen und Chancen für KRITIS-Betreiber erschien zuerst auf NOX SYSTEMS | Security beyond limits.

Cyber-Sicherheit Archive - NOX SYSTEMS | Security beyond limits