Kritische Infrastrukturen m眉ssen sicherer werden

Daniela Furkel
Chefreporterin Personalmagazin

Kritis-Dachgesetz: Kritische Infrastrukturen und Sicherheit — Bild: Kranich17/ pixabay Kritis-Unternehmen m眉ssen sich dar眉ber im Klaren sein, welche Gefahren bestehen, wer potenzielle Angreifer sein k枚nnten und welche Bereiche physisch gesch眉tzt werden m眉ssen.

Das Kritis-Dachgesetz ver颅pflich颅颅颅tet Betreiber kritischer Infra颅struk颅turen zu verst盲rkten Schutz颅ma脽颅nahmen. Davon sind nicht nur Energie颅ver颅sor颅ger betroffen, sondern alle Firmen, die als Teil der kritischen Infra颅struktur ein颅gestuft werden. Das k枚nnen bis zu 30.000 Organisationen sein.聽

Im November 2024 hat das Bundeskabinett seinen Entwurf f眉r das Kritis-Dachgesetz beschlossen. Nach dem Inkrafttreten werden diejenigen Organisationen, die als kritische Infrastrukturen (kurz: Kritis) gelten, dazu verpflichtet, bis 2026 umfassende Ma脽nahmen zu ihrem physikalischen und digitalen Schutz zu ergreifen. "Dies sind Organisationen oder Einrichtungen mit wichtiger Bedeutung f眉r das staatliche Gemeinwesen, bei deren Ausfall oder Beeintr盲chtigung nachhaltig wirkende Versorgungsengp盲sse, erhebliche St枚rungen der 枚ffentlichen Sicherheit oder andere dramatische Folgen eintreten w眉rden", zitiert Mate Ursic, Business Development bei Dormakaba, die offizielle Definition. "Wie viele Unternehmen betroffen sind, ist keinesfalls selbsterkl盲rend", f盲hrt er fort und sagt, dass Sch盲tzungen zufolge bis zu 30.000 Betreiber und deren kritische Anlagen unter das neue Gesetz fallen k枚nnen. Zu den Sektoren z盲hlen unter anderem Energie, Transport und Verkehr, Gesundheit, Wasser und Ern盲hrung, IT und Telekommunikation, Kommunen und 枚ffentliche Einrichtungen sowie Finanzwesen und Versicherung.聽

Viele Mittelst盲ndler von Kritis-Dachgesetz betroffen

"Nicht nur gro脽e Unternehmen sind betroffen, sondern auch viele Mittelst盲ndler", erg盲nzt Rainer K. F眉ess, Vice President Marketing und Partner bei Atoria. Wie er in der Nachfrage der Unternehmen nach Informationen in Webinaren oder Whitepapern festgestellt hat, ist das offenbar noch nicht bei allen Betrieben angekommen. "Das mag daran liegen, dass noch nicht klar ist, wann das Kritis-Dachgesetz in Kraft tritt. Trotzdem sollten sich die Unternehmen schon jetzt damit besch盲ftigen."聽

Was bedeutet das f眉r die Zutrittskontrolle bei den Kritis-Unternehmen? "Sie sollten ihre bestehenden Zutrittskontrollsysteme 眉berpr眉fen und an die neuen Sicherheitsanforderungen anpassen. Zutrittskontrolle muss sicherstellen, dass nur berechtigte Personen Zutritt erhalten und dies nachvollziehbar, revisionssicher und digital dokumentiert wird", erkl盲rt Samuel Wyss, Teamlead Product Management Access Control bei Interflex Datensysteme. Die Unternehmen m眉ssen sich im Klaren dar眉ber sein, welche Gefahren bestehen, wer potenzielle Angreifer sein k枚nnten und welche Bereiche physisch gesch眉tzt werden m眉ssen. Er r盲t dazu, die bestehenden Systeme zu analysieren, um sicherzustellen, dass diese dem Stand der Technik entsprechen.聽

Kritis-Unternehmen sollten Zutrittskontrolle verst盲rken聽

Seiner Empfehlung nach sollten Unternehmen ein Zutrittskontrollsystem implementieren, das folgende Aspekte abdeckt:聽
鈥� 聽Vergabe von Zutrittsberechtigungen: Es sollte klar geregelt sein, wer zu welchem Zeitpunkt und aus welchem Grund Zutritt erh盲lt.
鈥� 聽Compliance: Es muss nachvollziehbar sein, wer wann wem Zutrittsberechtigungen erteilt hat.
鈥� 聽Protokollierung der Zutrittsbewegungen: Es muss dokumentiert werden, wer wann und wo Zutritt hatte.

"Zus盲tzlich sollten Unternehmen eine dynamische Rechtevergabe nutzen, die sich aus der Organisation oder den Aufgaben ableitet", sagt Wyss. Hierbei k枚nnen Mitarbeitende zeitlich begrenzte Zutrittsrechte f眉r bestimmte Bereiche beantragen, die 眉ber einen mehrstufigen Freigabe-Workflow gepr眉ft werden. Die Anfragen und Entscheidungen werden dokumentiert, damit gesetzliche und interne Richtlinien eingehalten werden. Sein Fazit: "Unternehmen, die bisher auf traditionelle Schlie脽systeme gesetzt haben, sollten auf moderne Zutrittskontrollsysteme umstellen, da diese die notwendige Protokollierung bieten und die erforderlichen Sicherheitskonzepte unterst眉tzen, um aus unserer Sicht den gesetzlichen Anforderungen gerecht zu werden und Sicherheitsl眉cken zu schlie脽en."

Diese Technologien gelten als unsicher

Das sagt ganz 盲hnlich auch Rainer F眉ess: "Wer vor zwei Jahren eine Zutrittskontrolle eines namhaften Anbieters eingef眉hrt hat, kann davon ausgehen, dass diese State of the Art ist. Aber wenn das System 15 Jahre alt ist, muss man genauer hinschauen." Denn meist ist es einfacher zu sagen, was unsicher ist 鈥� von Ausweismedien bis zu Schlie脽anlagen 鈥� als in einem Satz die Technologien aufzuz盲hlen, die die Kritis-Kriterien erf眉llen. Als unsicher gelten zum Beispiel 眉berholte Anlagen, die keine zentrale Protokollierung der Zutrittsbewegungen bieten. "Das erschwert Nachweise, erm枚glicht den Verlust von Bewegungsdaten und verlangsamt die Reaktion auf sicherheitskritische Vorf盲lle", so Samuel Wyss.聽

Rainer F眉ess erg盲nzt: "Nicht alle RFID-Systeme oder Ausweisverfahren bieten die ben枚tigte Sicherheit." Als Beispiele nennt er die Ausweisverfahren Legic Prime und Mifare Classic.聽

"Diese wurden bereits vor 15 Jahren gehackt, sind aber immer noch in vielen Anwendungen wie Zutrittskontrolle und Zeiterfassung im Einsatz", sagt Mate Ursic und f盲hrt fort: "Mit einem vergleichsweise einfachen Ger盲t, einem RFID-Reader aus dem Internet f眉r rund 200 Euro, kann man zuerst eine Zutrittskarte auslesen und das Ger盲t dann so umschalten, dass es die Karte elektronisch nachbildet. Am Ende lassen sich mit dem RFID-Reader all jene T眉ren 枚ffnen oder Anwendungen nutzen, zu denen auch die Originalkarte Zutritt gew盲hrt h盲tte." Laut den Anbietern gibt es modernere Verfahren, die nach dem heutigen Stand als sicher gelten, zum Beispiel Legic Advant oder Mifare Desfire.聽

Auch den traditionellen Schl眉ssel sollen Kritis-Unternehmen hinterfragen. Das Patent des Schl眉ssels sei nur zeitlich begrenzt g眉ltig und nach zehn oder 20 Jahren ausgelaufen, so Mate Ursic: "Nach Ablauf des Patents k枚nnte jeder den Schl眉ssel kopieren. 脛hnlich verh盲lt es sich, wenn Schl眉ssel verloren gingen, verlegt wurden oder man den 脺berblick verloren hat, wer wo mit welchen Berechtigungen Zutritt hat. All dies bedeutet, dass die Lebensdauer eines Schlosses ausgelaufen ist", sagt er.聽

Kritis-Dachgesetz: Die eigene Resilienz st盲rken聽

Das Kritis-Dachgesetz bringt noch viel mehr mit sich als die beschriebenen Folgen f眉r die Zutrittskontrolle. Den Betreibern kritischer Anlagen werden Ma脽nahmen auferlegt, die ihre Resilienz st盲rken k枚nnen. Dazu geh枚rt die Erarbeitung und Umsetzung von Resilienzpl盲nen, in denen auf der Basis von Risikoanalysen dargestellt wird, welche technischen, sicherheitsbezogenen und organisatorischen Ma脽nahmen zur St盲rkung der Resilienz getroffen werden. Es gilt, unbefugten Zutritt zu verhindern und die physische Infrastruktur, das Personal sowie andere Verm枚genswerte vor Risiken und Bedrohung zu sch眉tzen.聽

Zum aktuellen Stand ist jedoch noch vieles unklar. "Es herrscht eine allgemeine Verunsicherung gegen眉ber den aktuellen und k眉nftigen rechtlichen Vorgaben. Es fehlen klare Regelungen. Wir hoffen, dass der Gesetzgeber diesbez眉glich entweder nachsch盲rft und Handlungsanweisungen gibt oder Spielr盲ume l盲sst, solange die eingesetzten Sicherheitsma脽nahmen dem vielzitierten 鈥歋tand der Technik鈥� entsprechen", sagt Samuel Wyss. Trotz fehlender Klarheit r盲t Rainer F眉ess, sich schon jetzt mit dem Thema zu besch盲ftigen und die bislang eingesetzte Hard- und Software unter die Lupe zu nehmen: "Denn das Kritis-Dachgesetz kommt in jedem Fall auf die Unternehmen zu."

Dieser Beitrag ist erschienen in聽Personalmagazin 4/2025. Als Abonnent haben Sie Zugang zu diesem Beitrag und allen Artikeln dieser Ausgabe in unserem oder in der

Das k枚nnte Sie auch interessieren:

Psychische Belastung als Risiko f眉r Unternehmen

KMU sind schlecht vorbereitet auf Cyberbedrohungen