Skip to main content
PHYSEC - security for things logoPHYSEC - security for things logo

Schutz kritischer Infrastruktur

|

30 min

Schutz kritischer Infrastruktur: Anforderungen, Risiken und neue Ansätze für KRITIS-Sicherheit

Schutz kritischer Infrastruktur gewinnt zunehmend an Bedeutung. Energieversorgung, Wasserwirtschaft, Gesundheitswesen, Verkehrssysteme und Kommunikationsnetze sind essenziell für das gesellschaftliche und wirtschaftliche Leben. Gleichzeitig steigen die Anforderungen an ihre Sicherheit: Neben Cyberangriffen rücken auch physische Bedrohungen wie Sabotage, Vandalismus und Manipulation stärker in den Fokus.

Zusätzlichen Handlungsdruck erzeugen neue regulatorische Vorgaben wie NIS2, CER, das geplante KRITIS-Dachgesetz und Standards wie IEC 62443. Betreiber kritischer Infrastrukturen müssen ihre Sicherheitskonzepte daher ganzheitlich weiterentwickeln und digitale, physische sowie organisatorische Risiken gemeinsam betrachten.

 

Schutz kritischer Infrastruktur – Kurzüberblick

Der Schutz kritischer Infrastruktur umfasst Maßnahmen zur Sicherstellung der Funktionsfähigkeit essenzieller Systeme wie Energieversorgung, Wasserwirtschaft, Transport oder Kommunikation.

Zu den wichtigsten Sicherheitsdimensionen gehören:

  • Cybersecurity zum Schutz digitaler Systeme

  • Physische Sicherheit zum Schutz kritischer Anlagen

  • Organisatorische Maßnahmen wie Risikoanalyse und Notfallmanagement

Regulatorische Vorgaben wie NIS2, CER, das KRITIS-Dachgesetz und Standards wie IEC 62443 verpflichten Betreiber dazu, Risiken systematisch zu bewerten und geeignete Sicherheitsmaßnahmen umzusetzen.

Beispiele für kritische Infrastrukturen

Energieversorgung Wasserwirtschaft Kommunikation & IT Transport & Verkehr Gesundheitswesen
Strom- und Gasnetze Wasserwerke Telekommunikationsnetze Flughäfen Krankenhäuser
Umspannwerke Pumpstationen Rechenzentren Bahninfrastruktur medizinische Versorgungssysteme
Fernwärmeinfrastruktur Abwasseranlagen Internetinfrastruktur Verkehrssteuerungssysteme  

Warum der Schutz kritischer Infrastruktur immer wichtiger wird

Die Anforderungen an den Schutz kritischer Infrastruktur steigen aus drei Gründen deutlich: Erstens nimmt die Bedrohungslage zu. Kritische Anlagen sind attraktive Ziele für Sabotage, Vandalismus und gezielte Angriffe, weil Ausfälle weitreichende Folgen für Versorgung, Sicherheit und Wirtschaft haben können.

Zweitens erhöht die Digitalisierung die Angriffsfläche. Durch die stärkere Vernetzung von OT- und IT-Systemen, Fernwartung und IoT-basierter Sensorik entstehen neue Abhängigkeiten und zusätzliche potenzielle Schwachstellen.

Drittens wachsen die Anforderungen an die Resilienz. Betreiber müssen nicht nur Störungen verhindern, sondern auch in der Lage sein, Vorfälle frühzeitig zu erkennen, angemessen zu reagieren und kritische Dienste aufrechtzuerhalten.

Regulatorische Anforderungen an die Sicherheit kritischer Infrastrukturen

Die steigende Bedrohungslage spiegelt sich auch in den regulatorischen Anforderungen wider. Betreiber kritischer und besonders wichtiger Einrichtungen müssen Risiken heute systematisch bewerten, geeignete Maßnahmen umsetzen und ihre Sicherheitskonzepte nachvollziehbar dokumentieren.

 

NIS2-Richtlinie

Die NIS2-Richtlinie erweitert die europäischen Vorgaben zur Cybersicherheit erheblich und betrifft deutlich mehr Unternehmen und Einrichtungen als bisher. Ziel ist es, das Sicherheitsniveau kritischer und wichtiger Einrichtungen in der Europäischen Union insgesamt anzuheben und ein einheitlicheres Verständnis von Risiko- und Sicherheitsmanagement zu schaffen.

Im Zentrum steht dabei die Verpflichtung, Sicherheitsmaßnahmen nicht nur punktuell, sondern als strukturierten Managementansatz zu etablieren. Betreiber müssen Risiken identifizieren, bewerten und geeignete technische wie organisatorische Maßnahmen umsetzen. Dazu gehören insbesondere:

  • Risikoanalysen und Sicherheitsmanagement, um Bedrohungen systematisch zu erfassen und angemessen zu priorisieren

  • technische und organisatorische Maßnahmen, die sich am tatsächlichen Risikoprofil der Einrichtung orientieren

  • Incident-Response-Prozesse, damit Sicherheitsvorfälle erkannt, bewertet, gemeldet und bearbeitet werden können

  • Business Continuity und Krisenmanagement, um kritische Dienste auch im Störungsfall aufrechterhalten zu können

  • Sicherheitsanforderungen entlang der Lieferkette, da Schwachstellen bei Dienstleistern oder Zulieferern ebenfalls erhebliche Risiken verursachen können

 

CER-Richtlinie und KRITIS-Dachgesetz

Die CER-Richtlinie (Critical Entities Resilience) ergänzt NIS2 um den Aspekt der Resilienz kritischer Einrichtungen. Im Mittelpunkt steht die Fähigkeit, wesentliche Dienstleistungen auch bei Störungen, Angriffen oder Ausfällen aufrechtzuerhalten. Anders als NIS2 berücksichtigt die CER-Richtlinie ausdrücklich auch physische und infrastrukturelle Risiken und bildet damit auf europäischer Ebene den zentralen Rahmen für die Resilienz kritischer Einrichtungen.

Zu den zentralen Anforderungen der CER-Richtlinie gehören:

  • Risikobewertungen für kritische Einrichtungen und Standorte, einschließlich physischer und infrastruktureller Risiken

  • Umsetzung geeigneter Schutzmaßnahmen, insbesondere im Bereich der physischen Sicherheit

  • Resilienzstrategien und Notfallplanung, um die Kontinuität kritischer Dienste sicherzustellen

  • Berücksichtigung sektorübergreifender Abhängigkeiten, da Störungen häufig mehrere Bereiche betreffen

In Deutschland wird die CER-Richtlinie durch das geplante KRITIS-Dachgesetz in nationales Recht überführt. Das KRITIS-Dachgesetz konkretisiert die europäischen Vorgaben und schafft einen einheitlichen Rahmen für den Schutz kritischer Infrastrukturen auf nationaler Ebene. Es überführt die Anforderungen der CER-Richtlinie in verbindliche Regelungen für Betreiber in Deutschland und ergänzt bestehende Sicherheitsanforderungen.

Dabei stehen insbesondere folgende Aspekte im Fokus:

  • Verpflichtende Umsetzung von Resilienzmaßnahmen für kritische Einrichtungen

  • Stärkere Berücksichtigung physischer Sicherheitsanforderungen

  • Klare Zuständigkeiten und Nachweispflichten für Betreiber

  • Verbesserte Zusammenarbeit zwischen Behörden und Betreibern

  • Strukturierte Vorbereitung auf Krisen- und Ausfallszenarien

 

IEC 62443

Die internationale Normenreihe IEC 62443 ist ein zentraler Referenzrahmen für die Sicherheit industrieller Automatisierungs- und Kontrollsysteme. Sie spielt insbesondere dort eine wichtige Rolle, wo Operational Technology (OT), industrielle Steuerungen und vernetzte Anlagen Teil kritischer Infrastruktur sind.

Die Normenreihe betrachtet Sicherheit nicht nur auf einer einzelnen Ebene, sondern entlang verschiedener Rollen und Systembestandteile – von Betreibern über Integratoren bis hin zu Komponentenherstellern. Für die Praxis besonders relevant ist, dass IEC 62443 einen strukturierten Ansatz für OT-Security vorgibt und Sicherheitsanforderungen in industrielle Umgebungen übersetzt.

Dazu gehören unter anderem:

  • Zonierung und Segmentierung von Systemen, um sicherheitsrelevante Bereiche voneinander abzugrenzen

  • Definition von Sicherheitslevels, abhängig vom Schutzbedarf und Bedrohungsprofil

  • Anforderungen an sichere Systemarchitekturen, damit Risiken bereits im Design berücksichtigt werden

  • Regelungen für Zugriffskontrolle, Benutzerverwaltung und Rechtekonzepte

  • Anforderungen an Wartung, Updates und sicheren Betrieb

  • Berücksichtigung physischer Sicherheitsaspekte, etwa dort, wo der Zugriff auf Anlagen unmittelbare Auswirkungen auf deren Integrität und Betriebssicherheit haben kann

 

Warum diese Regelwerke gemeinsam betrachtet werden sollten

In der Praxis greifen diese Regelwerke ineinander: NIS2 stärkt das Cyber-Risikomanagement, CER fokussiert Resilienz und physische Widerstandsfähigkeit, das KRITIS-Dachgesetz schafft den nationalen Rahmen und IEC 62443 liefert Orientierung für OT-Umgebungen. Für Betreiber wird damit klar: Wirksame KRITIS-Sicherheit erfordert ein Zusammenspiel aus Cybersecurity, physischer Sicherheit und organisatorischer Resilienz.

 

Webinar: Physische Sicherheit in KRITIS-Sicherheitskonzepten

Viele regulatorische Anforderungen adressieren physische Schutzmaßnahmen – in der praktischen Umsetzung bleiben jedoch häufig Fragen offen.

Welche Risiken sind tatsächlich relevant?
Welche Maßnahmen sind für dezentrale Anlagen geeignet?
Und wie lassen sich physische Sicherheitsaspekte sinnvoll in bestehende OT- und KRITIS-Konzepte integrieren?

In unserer PHYSEC SEAL Beraterschulung als Webinar zeigen wir, wie sich physische Manipulationserkennung als ergänzender Baustein moderner Sicherheitsstrategien einsetzen lässt.

Im Webinar erfahren Sie unter anderem:

  • welche regulatorischen Entwicklungen für die physische Sicherheit relevant sind

  • welche Risiken bei kritischen und unbemannten Anlagen häufig unterschätzt werden

  • wie technische Manipulationserkennung bestehende Sicherheitskonzepte ergänzen kann

  • wie PHYSEC SEAL in Sicherheits- und Beratungskonzepte integriert werden kann

 

Jetzt zur Webinaranmeldung

Maßnahmen zum Schutz kritischer Infrastruktur

Der Schutz kritischer Infrastruktur basiert auf einer Kombination verschiedener Sicherheitsmaßnahmen.

Organisatorische Maßnahmen

  • Risikoanalysen und Sicherheitskonzepte

  • Notfall- und Krisenmanagement

  • Schulungen und Sensibilisierung von Mitarbeitenden

Technische Sicherheitsmaßnahmen

  • Netzwerksegmentierung

  • Zugriffskontrollen

  • Sicherheitsmonitoring

  • Intrusion Detection Systeme

Physische Sicherheitsmaßnahmen

  • Zutrittskontrollsysteme

  • Videoüberwachung

  • Alarmanlagen

  • technische Manipulationserkennung an Anlagen

Je nach Anlagentyp und Risikoprofil müssen diese Maßnahmen sinnvoll kombiniert werden. Besonders bei dezentralen und unbemannten Anlagen sind physische Schutzmaßnahmen ein wichtiger Bestandteil ganzheitlicher Sicherheitskonzepte.

Sicherheitsdimensionen moderner KRITIS-Sicherheitskonzepte Die Grafik zeigt drei zentrale Sicherheitsdimensionen moderner KRITIS-Sicherheitskonzepte: Cybersecurity mit Maßnahmen wie Firewalls und Netzwerksegmentierung, physische Sicherheit mit Zutrittskontrollen und Manipulationserkennung sowie organisatorische Maßnahmen wie Risikoanalysen, Notfallmanagement und Compliance. Sicherheitsdimensionen moderner KRITIS-Sicherheitskonzepte Cybersecurity IT & OT-Sicherheit • Firewalls• Netzwerksegmentierung• Intrusion Detection• Monitoring• Zugriffskontrollen Physische Sicherheit Schutz kritischer Anlagen • Zutrittskontrollen• Videoüberwachung• Alarmanlagen• Manipulationserkennung Organisation Prozesse & Compliance • Risikoanalysen• ISMS / Governance• Notfallmanagement• Compliance• Sicherheitsrichtlinien
Moderne KRITIS-Sicherheitskonzepte verbinden Cybersecurity, physische Sicherheit und organisatorische Maßnahmen zu einem ganzheitlichen Schutzansatz.

Warum klassische Sicherheitskonzepte oft nicht ausreichen

Klassische Sicherheitskonzepte setzen häufig auf Zutrittskontrollen, Videoüberwachung und Alarmanlagen. Diese Maßnahmen bleiben wichtig, stoßen jedoch an Grenzen, wenn technische Manipulationen an Anlagen frühzeitig erkannt oder physische Ereignisse in digitale Sicherheitsprozesse eingebunden werden sollen. Gerade in dezentralen Infrastrukturen entsteht hier oft eine sicherheitsrelevante Lücke.

Neue Ansätze für den Schutz kritischer Infrastruktur

Moderne Sicherheitsstrategien entwickeln sich zunehmend in Richtung cyber-physischer Sicherheitskonzepte. Sie verbinden digitale Sicherheitsmechanismen mit der Überwachung physischer Veränderungen an kritischen Anlagen und schaffen so eine zusätzliche Sicherheitsebene. Dadurch lassen sich Manipulationen früher erkennen, physische Ereignisse in Sicherheitsprozesse einbinden und der Zustand kritischer Anlagen transparenter überwachen.

Ein Beispiel für einen solchen Ansatz ist PHYSEC SEAL. Die Lösung ergänzt klassische Schutzmaßnahmen um technische Manipulationserkennung und ist besonders für unbemannte oder dezentral verteilte Anlagen relevant, bei denen physische Veränderungen frühzeitig erkannt werden sollen.

 

Physische Sicherheit systematisch in KRITIS-Sicherheitskonzepte integrieren


Damit physische Sicherheit wirksam in KRITIS-Sicherheitskonzepte eingebunden werden kann, empfiehlt sich ein strukturiertes Vorgehen:

  1. Kritische Assets identifizieren: Relevante Anlagen und Infrastrukturkomponenten werden bestimmt.

  2. Risiken bewerten: Bedrohungen wie Manipulation, Sabotage oder unbefugte Eingriffe werden analysiert.

  3. Maßnahmen ableiten: Technische, physische und organisatorische Schutzmaßnahmen werden passend zum Risikoprofil festgelegt.

  4. In bestehende Sicherheitsprozesse integrieren: Physische Ereignisse werden in Monitoring, Alarmierung und Reaktionsprozesse eingebunden.

 

Häufig gestellte Fragen zum Schutz kritischer Infrastruktur

Zu kritischer Infrastruktur zählen Einrichtungen und Systeme, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft oder öffentliche Sicherheit hätte.

In erster Linie sind die Betreiber kritischer Infrastrukturen für deren Sicherheit verantwortlich. Gleichzeitig definieren staatliche Stellen regulatorische Anforderungen.

Zu den wichtigsten Regelwerken gehören:

  • NIS2-Richtlinie

  • CER-Richtlinie

  • KRITIS-Dachgesetz

  • IT-Sicherheitsgesetz

  • IEC 62443

Viele Anlagen kritischer Infrastruktur sind geografisch verteilt und nicht permanent überwacht. Dadurch entstehen potenzielle Sicherheitslücken, insbesondere im Hinblick auf physische Manipulation oder Sabotage.

Cyber-physische Sicherheit beschreibt Sicherheitskonzepte, die digitale und physische Schutzmechanismen miteinander verbinden, um Angriffe oder Manipulationen frühzeitig zu erkennen.

Back

Starten Sie jetzt durch und lassen Sie sich von unseren Experten beraten!

Persönlichen Beratungstermin vereinbaren