KRITIS in Zahlen: BSI gibt Einblicke in Stand der IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik zeigt den Stand der kritischen Infrastrukturen in Deutschland. Einige Branchen müssen noch nachbessern.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Eine Person sitzt am Computer

(Bild: Thapana_Studio/Shutterstock.com)

Lesezeit: 4 Min.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Statistiken über den Zustand der kritischen Infrastrukturen (KRITIS) in Deutschland veröffentlicht. Um den Schutz und die Sicherheit dieser kritischen Infrastrukturen zu gewährleisten und mögliche Risiken durch Cyberangriffe oder andere Bedrohungen zu minimieren, arbeitet das BSI eng mit den Betreibern zusammen. Die erstmalige Veröffentlichung enthält Auswertungen bis zum 29. April 2024. Die Statistiken sollen schrittweise ausgebaut werden, um Transparenz zu ermöglichen.

In Deutschland gibt es derzeit 1119 KRITIS-Betreiber mit insgesamt 2019 Anlagen in den Sektoren Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr und Siedlungsabfallentsorgung. Den größten KRITIS-Sektor macht der Bereich Energie aus, danach kommt der Gesundheitsbereich, dicht gefolgt von der Siedlungsabfallentsorgung.

Anzahl der KRITIS-Anlagen nach Sektoren

(Bild: BSI)

Dabei geht das BSI folgenden Fragen nach: "Wo sind wir Aufsicht und wie oft, wie verteilen sich Infrastrukturen auf Sektoren, wie ist der Stand der Absicherung und wie sieht das Meldeverhalten der Sektoren aus?" Insgesamt ist die KRITIS-Branche laut BSI sehr heterogen: "Während zum Beispiel im Sektor Gesundheit viele Betreiber lokal verortet sind (beispielsweise im Krankenhaus), sind die Anlagen im Sektor Informationstechnik und Telekommunikation oder im Sektor Transport und Verkehr (beispielsweise im Schienennetz) über Landesgrenzen hinweg vernetzt", erklärt das BSI.

Ein Teil der Betreiber hat bisher noch keine Angaben gemacht, die Branche Siedlungsabfallentsorgung fehlt zum Beispiel noch. Weitere Zahlen will das BSI zum 1. August 2024 veröffentlichen.

Die Reifegradstatistiken des BSI für Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (Business Continuity Management System, BCMS) sind sehr durchwachsen. Sie zeigen, wie gut die Betreiber der verschiedenen Branchen im Durchschnitt IT-Sicherheitsvorfälle vorbeugen und wie gut sie auf Krisenfälle vorbereitet sind – also den Stand der Informationssicherheit der Branche. Dabei ist der Reifegrad eines Managementsystems ein Wert von 1 bis 5, der angibt, wie etabliert das System im Unternehmen ist und in welchem Stadium es sich befindet.

Reifegrade des BSI:

  • Reifegrad 1: Ein ISMS/BCMS ist zwar geplant, aber bisher nicht etabliert.
  • Reifegrad 2: Ein ISMS/BCMS ist weitestgehend etabliert.
  • Reifegrad 3: Ein ISMS/BCMS ist etabliert und dokumentiert.
  • Reifegrad 4: Zusätzlich zum Reifegrad 3 wurde das ISMS/BCMS regelmäßig auf Effektivität überprüft.
  • Reifegrad 5: Zusätzlich zum Reifegrad 4 wurde das ISMS/BCMS regelmäßig verbessert.

Systeme mit Reifegrad 4 und 5 sind (meist ISO-) zertifiziert und werden kontinuierlich weiterentwickelt. Aus den bisherigen Angaben der Betreiber geht hervor, dass der ISMS-Reifegrad in der IT-Branche bei 4,1 von 5 liegt. In anderen Bereichen, wie dem Bereich Gesundheit liegt er bei 3 und in der Verkehrsbranche bei 2,9 von 5.

Umsetzungsgrade der Systeme zur Angriffserkennung im Sektor Gesundheit

(Bild: BSI)

Darüber stellt das BSI – ebenfalls nach Branchen aufgeschlüsselt – Statistiken zur Einführung von Angriffserkennungssystemen bereit, die nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgeschrieben sind. Demnach haben 250 Betreiber die notwendigen Anforderungen noch nicht umgesetzt.

Ebenfalls zeigt das BSI, wie viele IT-Störungen und Angriffe im ersten Quartal 2024 von KRITIS-Betreibern gemeldet wurden. Während die Bereiche Siedlungsabfallentsorgung und Ernährung mit einem und drei gemeldeten Vorfällen im einstelligen Bereich bleiben, wurden in den Bereichen IT und Telekommunikation (25), Gesundheit (26), Transport und Verkehr (32), Finanz- und Versicherungswesen (34) und im größten Bereich Energie (50) deutlich mehr Vorfälle gemeldet.

Reifegrade der ISMS und BCMS im Sektor Gesundheit.

(Bild: BSI)

Die Angaben sind laut BSI jedoch "nicht zwangsläufig ein Indikator für den Stand der Informationssicherheit des jeweiligen Sektors". KRITIS-Betreiber würden zum Teil auch Vorkommen melden, die "unterhalb der gesetzlichen Meldeschwelle liegen".

(mack)