Digitale Fronten

Zuständig für dieses Thema ist vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es ist die zentrale Behörde für Cybersecurity in Deutschland, überwacht die IT-Sicherheit in kritischen Sektoren, gibt Warnungen heraus, koordiniert Präventionsmaßnahmen und erarbeitet technische Standards sowie Handlungsempfehlungen für Betreiber von KRITIS. Jedes Jahr veröffentlicht das Amt zudem einen Lagebericht zum Stand der IT-Sicherheit, zuletzt am 11. November vergangenen Jahres. Der Tenor auch diesmal: „Die Gesamtlage ist nach wie vor angespannt“, so BSI-Präsidentin Claudia Plattner bei der Vorstellung des Berichts. „Mit Blick auf das Ziel, die Cybersicherheitslage in Deutschland zu verbessern, haben wir noch ein großes Stück Arbeit vor uns.“

Doch es gibt auch Positives zu vermelden. So wird – endlich – die rechtliche Grundlage für den KRITIS-Schutz derzeit grundlegend neu geordnet. Nicht nur, dass ab diesem Jahr erste Maßnahmen aus dem Cyber Resilience Act (CRA) angewendet werden müssen. Mit dem NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz hat die Bundesregierung im Sommer 2025 auch zwei zentrale Gesetzesvorhaben auf den Weg gebracht, die das Cybersicherheitsniveau in Deutschland nachhaltig verändern sollen (bei Redaktionsschluss noch nicht durch Bundestag und Bundesrat verabschiedet).

Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht wird das BSI die Aufsichtsbehörde für deutlich mehr Unternehmen als zuvor. So waren bislang nur rund 4.500 Einrichtungen erfasst: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung wird das Amt künftig weitere 25.000 Unternehmen beaufsichtigen, für die dann auch neue gesetzliche Pflichten in der IT-Sicherheit greifen. Sie müssen sich etwa registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagementmaßnahmen implementieren. Dazu zählen unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherung der Lieferketten, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Zudem macht die NIS-2-Richtlinie Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

Während die gesetzlichen Rahmenbedingungen also zunehmend klarer werden, bleibt die eigentliche Herausforderung in der Praxis bestehen: der organisatorische und kulturelle Wandel in den Betrieben selbst. Darauf weist Paul Weissmann von OpenKRITIS hin, einer Initiative für den Schutz Kritischer Infrastrukturen und den Austausch zwischen Staat, Wirtschaft und Forschung. Viele Unternehmen, sagt er, setzten noch immer auf kurzfristige Maßnahmen oder reagierten erst nach einem Vorfall, statt Cybersicherheit als dauerhaften Prozess zu verstehen. „Die größte Schwachstelle zurzeit ist die Umsetzung. Denn es geht nicht darum, einmal etwas für seine Cyberabwehr zu machen, und dann hat man seine Pflicht und Schuldigkeit getan. Cyberabwehr ist eine Daueraufgabe, für die Strukturen verändert und regelmäßig angepasst werden müssen“, betont Weissmann.

Damit spricht er ein Kernproblem an: Zwar schreiben Gesetze und Richtlinien wie NIS 2 oder das IT-Sicherheitsgesetz 2.0 inzwischen vor, dass Betreiber ein „Information Security Management System“ (ISMS) und ein „Business Continuity Management System“ (BCMS) einführen müssen, doch häufig fehlen Ressourcen, Know-how oder die nötige Priorisierung im Management. Weissmann plädiert deshalb für mehr Tatkraft auf beiden Seiten – bei den Unternehmen, die ihre Prozesse und Zuständigkeiten anpassen müssen, und bei der Politik, die Regulierung konsequenter umsetzen und zugleich praxisnäher begleiten sollte. Nur so könne aus formaler Compliance echte Cyberresilienz entstehen.

Dass die KRITIS-Cybersicherheit nicht mehr nur als Aufgabe der jeweiligen Betreiber angesehen wird, ist vielleicht der wichtigste Aspekt bei den gesetzlichen Neuregelungen – sagt Weissmann, und das findet auch Andreas Harner, Leiter der Abteilungen CERT@VDE und DKE Cybersecurity. Denn Cybersicherheit beginnt überall dort, wo die technischen Grundlagen solcher Systeme entstehen: in der Industrie, bei den Herstellern und Zulieferern, die Komponenten, Steuerungen und Software bereitstellen. „Lange Zeit haben viele Unternehmen geglaubt, sie könnten die Verantwortung einfach an die Betreiber weitergeben“, so Harner. Doch dieses Denken funktioniere heutzutage einfach nicht mehr. „Jeder ist Teil einer Lieferkette – und damit auch Teil der Verantwortung für Cybersicherheit.“ So bestehen Kritische Infrastrukturen aus hochkomplexen, eng vernetzten Systemen, die aus unzähligen digitalen Bausteinen zusammengesetzt sind. Wenn ein einzelner Bestandteil eine Schwachstelle aufweist, kann dies weitreichende Folgen für die gesamte Lieferkette haben – auch am Ende dieser Kette, bei der KRITIS selbst.

Genau an dieser Schnittstelle zwischen Technik und Verantwortung setzt auch der Cyber Resilience Act (CRA) an, erklärt Prof. Dr. Dennis-Kenji Kipker, Legal Advisor im CERT@VDE. Er verpflichtet Hersteller, Sicherheitslücken offenzulegen und ihre Produkte über den gesamten Lebenszyklus zu pflegen. „Vielfach ist es genau ebenjene digitale Lieferkette, die bei Angriffen mehr und mehr gezielt kompromittiert wird“, so Kipker. Denn: „Warum sollte ich mir eine an sich in den Prozessen schon seit Jahren hochregulierte Kritische Infrastruktur als Angriffsziel aussuchen, wenn ich denselben Erfolg auch mit einem viel weniger aufwendigen Angriff auf einen Zulieferer in ihrer digitalen Lieferkette erzielen kann?“

Und dabei geht es auch keineswegs nur um klassische IT-Komponenten, sondern auch um sogenannte Operational Technology (OT), also Systeme, die physische Prozesse steuern oder überwachen – etwa in Energieanlagen, Fabriken, Chemieparks oder Wasserwerken. „Jedes System ist anders aufgebaut, mit einer Vielzahl von Herstellern, Komponenten und langen Lebenszyklen“, erklärt Harner. „Diese Vielfalt macht die Absicherung besonders anspruchsvoll, denn anders als in der klassischen IT lassen sich Patches und Updates nicht einfach ausrollen.“ Deshalb wurde auch schon vor rund zehn Jahren als gemeinsames Projekt von VDE, BSI und Industrieunternehmen das CERT@VDE gegründet. Wird in einem OT-System eine Sicherheitslücke entdeckt und gemeldet, prüfen die VDE-Experten die Meldung, bewerten die betroffenen Komponenten und erstellen strukturierte Warnhinweise – sogenannte Advisories. Diese werden so aufbereitet, dass Hersteller, Betreiber und andere Akteure in der Lage sind, schnell und zielgerichtet zu handeln. Das System schafft so einen standardisierten Informationsfluss, der verhindert, dass kritische Schwachstellen unbemerkt bleiben oder zu spät behoben werden. „Ziel ist es, Cybersicherheit nicht dem Zufall zu überlassen, sondern sie als festen Bestandteil industrieller Verantwortung zu verankern“, so Harner.