Anfrage
Notruf
Anfrage
Termin
POC starten
Notruf

Ratgeber 2026: IT-Sicherheit für kritische Infrastrukturen (KRITIS)

Foto generiert mit Microsoft Copilot

Cyberangriffe abwehren, Geschäftskontinuität sichern:  
IT-Sicherheit für kritische Infrastrukturen 

Cyberangriffe auf KRITIS-Unternehmen häufen sich. So verzeichnete der BSI-Lagebericht aus dem Jahr 2024 einen Anstieg von Cyberattacken auf KRITIS-Sektoren um fast 50 Prozent im Vergleich zum Vorjahr. Parallel dazu steigen auch die regulatorischen Anforderungen – denn Betreiber kritischer Infrastrukturen tragen Verantwortung weit über das eigene Unternehmen hinaus. 
In unserem Ratgeber erfahren Sie, wie Sie die IT-Sicherheit Ihrer kritischen Infrastruktur gewährleisten und die gesetzlichen Vorgaben erfüllen. 

 

TL;DR – Das Wichtigste zur KRITIS IT-Sicherheit im Überblick 

  • Cyberangriffe auf KRITIS-Unternehmen nehmen zu. 
  • Das IT-Sicherheitsgesetz 2.0 verlangt technische und organisatorische Schutzmaßnahmen. 
  • Systeme zur Angriffserkennung sind für KRITIS-Betreiber gesetzlich vorgeschrieben. 
  • Die KRITIS-Compliance umfasst Registrierung, Meldepflichten und regelmäßige Prüfungen. 
  • Mit strukturierten Maßnahmen wie ISMS, IAM und BCMS sichern Sie Ihre Infrastruktur ab. 
  • Professionelle IT-Sicherheit schützt nicht nur die Versorgung – sie stärkt auch Ihre Wettbewerbsfähigkeit.

     

Kritische Infrastruktur: Was ist das? 

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen würde. 

Zu den KRITIS-Sektoren in Deutschland gehören: 

  • Energie (Elektrizität, Gas, Kraftstoff, Fernwärme) 
  • Wasser (öffentliche Wasserversorgung, Abwasserentsorgung) 
  • Ernährung (Lebensmittelhandel, Lebensmittelproduktion) 
  • Informationstechnik und Telekommunikation 
  • Gesundheit (medizinische Versorgung, Arzneimittel, Labore) 
  • Finanz- und Versicherungswesen 
  • Transport und Verkehr (Logistik, Luftfahrt, Schifffahrt, Bahn) 
  • Medien und Kultur (Rundfunk, gedruckte Medien) 
  • Staatsverwaltung und Justiz 
  • Siedlungsabfallentsorgung

     

Warum ist IT-Sicherheit für kritische Infrastrukturen wichtig? 

Die Digitalisierung hat kritische Infrastrukturen effizienter, aber auch verwundbarer gemacht. Moderne SCADA-Systeme, IoT-Geräte und vernetzte Industrieanlagen bieten Cyberkriminellen neue Angriffsvektoren, die es abzuschirmen gilt. 

Doch IT-Sicherheit in kritischen Infrastrukturen ist kein Selbstläufer – sie erfordert höchste Präzision und tiefes Fachwissen, da sie mit komplexen Herausforderungen einhergeht: 

  • Kaskadeneffekte vermeiden 
    Ein Ausfall bei einem KRITIS-Betreiber kann andere kritische Infrastrukturen in Mitleidenschaft ziehen. Der Stromausfall einer Region kann beispielsweise Wasserwerke, Krankenhäuser und Kommunikationsnetze lahmlegen. 
  • 24/7-Verfügbarkeit gewährleisten 
    Kritische Infrastrukturen können nicht einfach „heruntergefahren“ werden für Wartungen oder nach einem Cyberangriff. Die Geschäftskontinuität muss jederzeit sichergestellt sein. 
  • Komplexe Angriffsoberfläche 
    KRITIS-Unternehmen kombinieren oft jahrzehntealte Systeme mit modernster Technik. Für die Sicherheit dieser heterogenen IT-Landschaft braucht es spezielles Know-how. 

 

Gesetzliche Pflichten IT-Security für KRITIS 

Das IT-Sicherheitsgesetz 2.0 definiert klare Pflichten für KRITIS-Betreiber. Diese umfassen sowohl administrative Aspekte als auch konkrete technische und organisatorische Cybersicherheitsmaßnahmen. 

Die KRITIS-Pflichten im Detail 

  1. Identifikation von KRITIS-Anlagen
    Die Identifikation als KRITIS-Betreiber ist eine Eigenverantwortung des Unternehmens. Folgende Punkte gilt es zu prüfen: 
  • Überschreiten Sie die sektorspezifischen Schwellenwerte? 
  • Betreiben Sie Anlagen oder Teile von Anlagen, die für die Funktionsfähigkeit einer kritischen Infrastruktur maßgeblich sind? 
  • Würde ein Ausfall Ihrer Anlage zu erheblichen Versorgungsengpässen führen?

  1. Registrierung als KRITIS-Betreiber
    Wenn Sie KRITIS sind, müssen Sie sich beim BSI registrieren. 
  • BSI-Registrierung: Binnen zwei Jahren nach Überschreitung der Schwellenwerte 
  • Kontaktstelle benennen: Zentrale Ansprechperson für alle KRITIS-Belange 
  • Kritische Komponenten melden: Einsatz ausländischer kritischer Komponenten beim BMI melden 
  • Anlagenübersicht: Vollständige Dokumentation aller KRITIS-relevanten Systeme

  1. KRITIS-Meldepflichten erfüllen
    Sie müssen in der Lage sein, dem BSI umfassend zu berichten. Die Meldepflichten sind zeitkritisch und detailliert. 
  • Erhebliche IT-Störungen: Meldung binnen 24 Stunden an das BSI 
  • Cyberangriffe: Auch Verdachtsfälle und erfolglose Attacken melden 
  • Sicherheitsvorfälle: Systematische Erfassung und Bewertung aller Vorfälle 
  • Berichterstattung: Regelmäßige Statusberichte über die IT-Sicherheitslage Ihrer kritischen Infrastruktur

  1. KRITIS-Geltungsbereich definieren
    Sie müssen KRITIS-Anlagen definieren und den Scope (Geltungsbereich Ihrer sicherheitsrelevanten Systeme) festlegen. 
  • Anlagen-Abgrenzung: Welche Systeme gehören zur KRITIS-Anlage? 
  • Abhängigkeiten identifizieren: Welche IT-Systeme unterstützen die kritische Funktion? 
  • Perimeter festlegen: Wo beginnt und endet Ihre KRITIS-Verantwortung? 
  • Dokumentation: Rechtssichere und nachvollziehbare Scope-Abgrenzung 

  1. KRITIS-Prüfungen durchführen
    Alle zwei Jahre müssen Sie Compliance nachweisen. 
  • Auditierungen: Durch anerkannte Prüfstellen oder Sachverständige 
  • Zertifizierungen: Nach anerkannten Standards wie ISO 27001 oder BSI IT-Grundschutz 
  • Dokumentation: Vollständige Nachweise über implementierte Maßnahmen

IT-Sicherheit für kritische Infrastrukturen: Die technischen Anforderungen 

Bereich 

Zielsetzung 

Umsetzung 

ISMS 
Information Security Management System 

Verantwortlichkeiten und Sicherheitsstrategie definieren 

• ISO 27001 oder BSI IT-Grundschutz 
• Integration in Managementsysteme 
• Jährliche Zielüberprüfung 

IAM 
Identity & Access Management 

Rollen, Berechtigungen und Zugriff steuern 

Zero Trust 
• Notfallzugriffe 
• Kontinuierliche Validierung 

BCMS 
Business Continuity Management System 

Ausfallrisiken minimieren und Notfallvorsorge treffen 

• Kaskadeneffekte beachten 
• Behördenkoordination 
• 24/7-Notfallorganisation 

Risiko-Management 

IT-Risiken systematisch bewerten und steuern 

• Bedrohungsanalyse 
• Schwachstellenbewertung 
• Cyberrisikoabschätzung 

Asset-Management 

Transparenz über IT-/OT-Assets schaffen 

• Legacy-Systeme integrieren 
• Systeme von Zulieferern 
• Standorte mit Ausfallsicherung 

Angriffserkennung Verpflichtend! 

Echtzeit-Erkennung und Reaktion auf Cyberangriffe 

• XDR, UEBA, AI-Erkennung 
• Überwachung technischer Anlagen 
• Suche nach versteckten Bedrohungen, bevor sie Schaden anrichten können 


9 Erfolgsfaktoren der IT-Sicherheit: So erfüllen Sie die KRITIS-Anforderungen 

  1. Systematisches ISMS etablieren
    Implementieren Sie ein Information Security Management System als Fundament.

    Erste Schritte: 
  • Benennen Sie einen Chief Information Security Officer (CISO) oder IT-Sicherheitsbeauftragten 
  • Entwickeln Sie eine IT-Sicherheitsleitlinie mit Top-Management-Involvierung 
  • Definieren Sie Rollen und Verantwortlichkeiten für alle sicherheitsrelevanten Aktivitäten 
  • Etablieren Sie einen kontinuierlichen Verbesserungsprozess

    Praktische Umsetzung: 
  • Nutzen Sie Standards wie ISO 27001 oder den BSI IT-Grundschutz als Rahmenwerk 
  • Integrieren Sie das ISMS in bestehende Managementsysteme (QMS, UMS) 
  • Planen Sie mindestens 6 bis 12 Monate für die vollständige Implementierung 
  • Führen Sie regelmäßige interne Audits durch 

 

  1. Identity und Access Management professionalisieren
    Pflegen Sie eine IAM-Strategie mit strikter Zugriffskontrolle.

    Technische Maßnahmen: 
  • Zentralisieren Sie die Benutzerverwaltung über Active Directory oder moderne Cloud-IAM 
  • Nutzen Sie Privileged Access Management (PAM) für administrative Zugriffe 
  • Führen Sie Mehrfaktor-Authentifizierung für alle kritischen Systeme ein 
  • Automatisieren Sie die Einrichtung und Löschung von Benutzerzugängen

    Organisatorische Begleitmaßnahmen: 
  • Definieren Sie Rollen und Berechtigungsmatrizen für alle KRITIS-Systeme 
  • Stellen Sie sicher, dass Mitarbeitende nur auf Informationen und Systeme zugreifen können, die sie für ihre Aufgaben unbedingt benötigen. 
  • Führen Sie regelmäßige Access Reviews durch (mindestens halbjährlich) 
  • Dokumentieren Sie alle Notfallzugriffe und deren Verwendung 

 

  1. Business Continuity Management (BCM) ausbauen
    Entwickeln Sie ein robustes Notfall- und Wiederherstellungs-Konzept (BCMS) für maximale Verfügbarkeit.

    Analysephase: 
  • Untersuchen Sie, welche Bereiche besonders wichtig sind – also wo ein Ausfall großen Schaden anrichten würde (Business Impact Analyse) 
  • Legen Sie fest, wie schnell Systeme wieder laufen müssen und wie viele Daten maximal verloren gehen dürfen (RTO/RPO) 
  • Erkennen Sie Schwachstellen und Abhängigkeiten, z. B. wenn ein einzelner Ausfall alles lahmlegt 
  • Bewerten Sie, wie sich Probleme auf andere wichtige Bereiche auswirken können – etwa auf Strom, Wasser oder Kommunikation

    Umsetzungsphase: 
  • Erstellen Sie szenariobasierte IT-Notfallpläne (Cyberangriff, Naturkatastrophe, Personalausfall) 
  • Etablieren Sie redundante Systeme und alternative Betriebsstätten 
  • Richten Sie automatische Umschaltungen ein, damit bei einem Ausfall sofort ein Ersatzsystem übernimmt 
  • Testen Sie alle Notfallpläne mindestens halbjährlich in realitätsnahen Übungen 

 

  1. Risiko-Management systematisch angehen
    Etablieren Sie eine datenbasierte Risikostrategie.

    Risikoidentifikation: 
  • Nutzen Sie strukturierte Methoden wie OCTAVE oder FAIR für die Risikobewertung 
  • Führen Sie regelmäßige Threat Modeling-Sessions durch 
  • Integrieren Sie Threat Intelligence für aktuelle Bedrohungslagen 
  • Berücksichtigen Sie sowohl IT- als auch OT-spezifische Risiken

    Risikomanagement-Prozess: 
  • Definieren Sie Ihre Risikoappetit und -toleranz klar 
  • Verwenden Sie ein Risiko-Dashboard für das Management 
  • Etablieren Sie Eskalationsprozesse für kritische Risiken 
  • Führen Sie quartalsweise Risiko-Reviews durch 

 

  1. Asset-Management vollständig digitalisieren
    Schaffen Sie hundertprozentige Transparenz über Ihre IT-Landschaft.

    Technische Implementierung: 
  • Nutzen Sie automatisierte Discovery-Tools für kontinuierliche Inventarisierung 
  • Setzen Sie auf eine zentrale Configuration Management Database (CMDB) 
  • Klassifizieren Sie alle Assets nach Kritikalität und Schutzbedarf 
  • Integrieren Sie Scanner für kontinuierliche Schwachstellenerkennung

    Prozessuale Begleitung: 
  • Definieren Sie Asset-Verantwortliche für alle kritischen Systeme 
  • Implementieren Sie Change-Management-Prozesse 
  • Führen Sie regelmäßige Asset-Reviews durch 
  • Dokumentieren Sie alle Abhängigkeiten und Datenflüsse 

 

  1. Angriffserkennung mit SIEM/XDR
    Bauen Sie ein modernes System auf, das Angriffe erkennt und darauf reagieren kann. 

  • Wählen Sie passende Programme, die speziell für kritische Infrastrukturen geeignet sind 
  • Überwachen Sie sowohl Ihre Büro-IT als auch Ihre Maschinen und Anlagen 
  • Nutzen Sie Programme, die ungewöhnliches Verhalten automatisch erkennen 
  • Verwenden Sie aktuelle Informationen über bekannte Bedrohungen 
  • Entscheiden Sie, ob Sie ein eigenes Sicherheitsteam aufbauen oder externe Profis beauftragen 
  • Sorgen Sie für eine ständige Überwachung 
  • Legen Sie klare Abläufe fest, wie bei einem Angriff reagiert wird 
  • Schulen Sie Ihr Team in Spurenanalyse und aktiver Bedrohungssuche 

 

  1. Sicherheitslücken regelmäßig testen
    Überprüfen Sie die Maßnahmen Ihrer KRITIS-IT-Sicherheit kontinuierlich.

    Testing-Strategie: 
  • Implementieren Sie kontinuierliche Scans auf Schwachstellen 
  • Testen Sie sowohl IT- als auch OT-Umgebungen 
  • Simulieren Sie realistische Angreiferszenarien

    Nachbereitung: 
  • Priorisieren Sie identifizierte Schwachstellen nach Risiko 
  • Legen Sie klare Schritte fest, wie gefundene Probleme behoben werden sollen. 
  • Stellen Sie sicher, dass alle wichtigen Sicherheitslücken wirklich geschlossen werden. 
  • Nutzen Sie die Erfahrungen aus früheren Vorfällen, um Ihre Schutzmaßnahmen zu verbessern. 

 

  1. Security Awareness und Training intensivieren
    Menschen sind oft das schwächste Glied – machen Sie sie zur stärksten Verteidigung.

    Umfassendes Awareness-Programm: 
  • Schulen Sie alle Mitarbeiter mindestens quartalsweise 
  • Entwickeln Sie rollenspezifische Sicherheitstrainings 
  • Etablieren Sie eine positive Sicherheitskultur mit Belohnungssystemen

    Spezielle KRITIS-Trainings: 
  • Schulen Sie Mitarbeiter zu KRITIS-spezifischen Bedrohungen 
  • Trainieren Sie Incident Response-Prozeduren 
  • Üben Sie gemeinsam mit Ihrem Team, wie Sie in einer Notfallsituation reagieren würden 
  • Sensibilisieren Sie für Social-Engineering-Angriffe 

 

  1. Externe Expertise strategisch nutzen
    Kombinieren Sie interne Kompetenzen mit spezialisierter externer Unterstützung.

    Managed Security Services: 
  • Nutzen Sie Managed Detection and Response (MDR) Services 

Praxisbeispiel: Wasserverband meistert KRITIS-Compliance in Rekordzeit 

Ein regionaler Wasserverband mit 60 Mitarbeitenden stand vor der Herausforderung, seine IT-Sicherheitsarchitektur kurzfristig KRITIS-konform zu gestalten. Die Lösung: Ein strukturiertes 20-Tage-Programm mit einem spezialisierten IT-Sicherheitsdienstleister. 

Der Erfolgsprozess: 

  1. Live-Demo mit konkreten Anwendungsfällen und ersten technischen Tests 
  2. Proof of Concept in der produktionsnahen Umgebung mit Simulation kritischer Use Cases 
  3. Reibungsloser Roll-out auf alle Endpoints inklusive Mitarbeiterschulung


Das Ergebnis: „Wir waren beeindruckt von der Geschwindigkeit und Professionalität des gesamten Prozesses. Innerhalb weniger Tage konnten wir nicht nur die Anforderungen der KRITIS erfüllen, sondern unsere IT-Sicherheit insgesamt signifikant verbessern“, so der IT-Leiter. 

Expertenstimme von Benedikt Leisten, Geschäftsführer der WeDoIT GmbH 

„Cyberbedrohungen entwickeln sich täglich weiter. Gleichzeitig verschärfen sich die regulatorischen Anforderungen. Für die meisten kritischen Infrastrukturen ist es daher wirtschaftlich und technisch sinnvoll, auf spezialisierte IT-Sicherheitsdienstleister zu setzen, statt alles intern aufzubauen.“ 

IT-Sicherheit für kritische Infrastrukturen: Pflicht, Schutz, Vorteil 

Die Absicherung kritischer Infrastrukturen ist komplex – aber machbar. Wer die gesetzlichen Vorgaben systematisch umsetzt, schützt nicht nur die öffentliche Versorgung, sondern auch das eigene Unternehmen vor Ausfällen, Bußgeldern und Reputationsverlust. Gleichzeitig eröffnet eine robuste IT-Sicherheitsarchitektur neue wirtschaftliche Chancen: Sie steigert die Resilienz, schafft Vertrauen bei Kunden und Partnern und positioniert Ihr Unternehmen als verlässlicher Akteur in einem digitalisierten Markt. 

FAQ: Häufige Fragen zur IT-Sicherheit für kritische Infrastrukturen 

Wie erkenne ich, ob mein Unternehmen KRITIS-pflichtig ist? 

Die KRITIS-Klassifizierung hängt von Ihrem Sektor und spezifischen Schwellenwerten ab. Bei Unsicherheiten sollten Sie einen KRITIS-Experten konsultieren. 

Was kostet die Umsetzung der KRITIS-Anforderungen? 

Die Kosten variieren je nach Unternehmensgröße und aktueller IT-Sicherheitslage. Kleinere KRITIS-Betreiber investieren oft 50.000 bis 200.000 Euro initial, größere Unternehmen mehrere Millionen. Externe Dienstleister können diese Kosten erheblich reduzieren. 

Wie lange dauert die Umsetzung der KRITIS-Compliance? 

Mit erfahrenen Partnern können grundlegende Maßnahmen in 3 bis 6 Monaten implementiert werden. Komplette KRITIS-Compliance erreichen die meisten Unternehmen in 12 bis 18 Monaten. 

Was passiert bei Verstößen gegen die KRITIS-Verordnung? 

Das BSI kann Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen. Zusätzlich drohen Reputationsschäden und im Extremfall der Entzug der Betriebserlaubnis. 

Kann ich KRITIS-Compliance vollständig intern umsetzen? 

Theoretisch ja, praktisch ist es für die meisten Unternehmen nicht empfehlenswert. Der IT-Fachkräftemangel und die Komplexität der Anforderungen sprechen für eine Zusammenarbeit mit spezialisierten Dienstleistern. 

Wie oft muss ich meine IT-Sicherheitsmaßnahmen nachweisen? 

Alle zwei Jahre müssen KRITIS-Betreiber dem BSI nachweisen, dass sie angemessene IT-Sicherheitsmaßnahmen implementiert haben. Zusätzlich sind erhebliche IT-Störungen binnen 24 Stunden zu melden. 

Muss ich auch meine Lieferanten auf IT-Sicherheit prüfen? 

Ja, die NIS-2-Richtlinie und das IT-Sicherheitsgesetz fordern ausdrücklich die Berücksichtigung der Lieferkette. Kritische Dienstleister und Zulieferer müssen ebenfalls angemessene IT-Sicherheitsstandards erfüllen. 

Was ist der Unterschied zwischen KRITIS und NIS-2? 

KRITIS regelt die nationalen Anforderungen in Deutschland, während NIS-2 die EU-weite Richtlinie ist. NIS-2 erweitert den Kreis betroffener Unternehmen erheblich und wird in deutsches Recht umgesetzt.