Das KRITIS-Dachgesetz, das im September 2025 vom Bundeskabinett beschlossen wurde, soll die EU-weite CER-Richtlinie in deutsches Recht umsetzen. Da Deutschland die Umsetzungsfrist bis zum 17. Oktober 2024 verpasst hat, wird mit einem Inkrafttreten des Gesetzes erst Ende 2025 oder Anfang 2026 gerechnet – nach der Verabschiedung durch Bundestag und Bundesrat.
In einer Welt, in der Stromnetze, Wasserwerke, Finanzsysteme und digitale Plattformen immer stärker miteinander verzahnt sind, wächst die Verwundbarkeit unserer Gesellschaft täglich und mit ihr die Gefahr von Cyberangriffen und Ausfällen kritischer Infrastrukturen. Unternehmen und Institutionen werden immer stärker zu potenziellen Angriffszielen, deren Ausfall weitreichende Folgen haben kann.
Lange bevor die Zahlen dieser Bedrohung so deutlich sichtbar wurden, hat die Bundesregierung reagiert: Mit der ersten nationalen Strategie für kritische Infrastrukturen (KRITIS) wurden in Deutschland bereits im Jahr 2009 jene Einrichtungen identifiziert, deren Ausfall die Versorgungssicherheit, die öffentliche Ordnung oder die wirtschaftliche Stabilität gefährden kann. Dazu zählen Energieversorger, Wasserversorger, Gesundheitsdienste, Transportnetzbetreiber, Finanzdienstleister und zunehmend auch digitale Plattformen und Zulieferketten. Im Jahr 2021 wurden Gesetze wie das IT-Sicherheitsgesetz 2.0 eingeführt, die Betreiber kritischer Infrastrukturen verpflichten, technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, Sicherheitsvorfälle zu melden und Risikomanagementsysteme einzuführen.
Doch das war nur der Anfang: Auf europäischer Ebene trat am 16. Januar 2023 die NIS2-Richtlinie in Kraft, ein regulatorisches Schwergewicht, das Betreiber wesentlicher und wichtiger Einrichtungen dazu verpflichtet, Cyberrisiken systematisch anzugehen: vom Risikomanagement über Vorfallreaktion bis zur Geschäftskontinuität.
Und weil es nicht nur digitale Risiken sind, die kritische Einrichtungen bedrohen, folgt mit der CER-Richtlinie (Critical Entities Resilience) ein zweiter Meilenstein: Hier geht es um die physische Resilienz, also um Naturkatastrophen, Sabotage, Personal- oder Lieferkettenausfälle, die ebenso fatale Auswirkungen haben können wie ein Cyberangriff. Diese Regelwerke werden in Deutschland im geplanten KRITIS-Dachgesetz zusammengeführt, denn Unternehmen sollen nicht in einem Flickenteppich aus Vorschriften agieren, sondern in einem einheitlichen Rechtsrahmen für digitale und physische Resilienz. Geschäftsleitung, Aufsichtsrat, IT-Leitung und Security-Verantwortliche haften persönlich, wenn Pflichten vernachlässigt werden, und es drohen Bußgelder im Millionenbereich.
Der Schlüssel ist Resilienz auf allen Ebenen. Kritische Systeme müssen identifiziert, Risiken analysiert und priorisiert werden.
Doch neben dem Regelwerk bleiben die Zahlen beeindruckend und alarmierend: In Europa etwa verzeichnete jede Organisation im dritten Quartal 2024 im Durchschnitt 1557 Angriffe pro Woche, ein Anstieg von 86 Prozent gegenüber dem Vorjahr. In Deutschland meldete die Wirtschaftsvereinigung Bitkom eine wirtschaftliche Belastung von rund 148 Mrd. Euro durch Cyberangriffe im Jahr 2023, fast ein Drittel mehr als im Vorjahr. Laut einer Studie von KPMG wurde festgestellt, dass mehr als jedes dritte Unternehmen in Deutschland innerhalb der letzten zwei Jahre Opfer eines Cyberangriffs wurde. Bei mehr als der Hälfte dieser betroffenen Unternehmen sind die Schäden gegenüber früher gestiegen. Auf europäischer Ebene sprechen Studien von etwa 307 Mrd. Euro Schaden für die vier größten Volkswirtschaften Europas in den letzten fünf Jahren.
Wie gehen die Eindringlinge vor? Die Angriffe reichen von klassischen Phishing-E-Mails über Social Engineering bis zu komplexen Ransomware Kampagnen. Bei Letzteren wiegt besonders schwer, dass ganze Produktionslinien oder Lieferketten lahmgelegt werden können.
Etwa zwei Drittel aller dokumentierten Angriffe sind Ransomware-Angriffe. Hauptziel sind Industrie- und Produktionsbetriebe, wobei Phishing, Angriffe auf Clouddienste und Datenlecks zu den häufigsten Angriffspfaden zählen. Ein Unternehmen kann bereits durch einen Klick auf einen infizierten Link oder eine kompromittierte Dienstleisterverbindung ernsthaft gefährdet sein. Damit beginnt das Dominospiel: Die IT-Systeme werden verschlüsselt, Daten abgezogen, Dienstleistungen blockiert. Die Folge sind Produktions- oder Versorgungsausfälle, Vertrauensverlust bei Kundschaft und Partnern, regulatorische Meldepflichten und hohe Kosten, manchmal bis zur Insolvenz.
Die Folgen gehen weit über den direkten finanziellen Schaden hinaus: Unternehmen sehen sich Produktionsstillständen gegenüber, Lieferketten brechen, Reputationsverluste setzen ein, Kundendaten geraten in falsche Hände, gesetzliche Meldepflichten werden aktiviert.
Der Schlüssel ist Resilienz auf allen Ebenen. Kritische Systeme müssen identifiziert, Risiken analysiert und priorisiert werden. Technische Maßnahmen wie Firewalls, Multi-Faktor-Authentifizierung, Verschlüsselung, Updates und Back-ups sichern IT-Systeme. Physische Maßnahmen wie Zutrittskontrollen, Videoüberwachung und redundante Versorgung schützen Anlagen.
Organisation und Governance spielen eine ebenso große Rolle: Sicherheitsbeauftragte, Notfall- und Krisenpläne sowie regelmäßige Audits und Simulationen sorgen dafür, dass Unternehmen vorbereitet sind. Mitarbeiterschulungen erhöhen die Abwehr gegen Phishing und Social Engineering, während Lieferketten durch Audits und Sicherheitsvorgaben abgesichert werden. Monitoring-Systeme und Incident-Response-Pläne ermöglichen schnelle Reaktion und Einhaltung gesetzlicher Meldepflichten nach KRITIS, NIS2 und CER.
Kontinuierliche Verbesserung rundet das Konzept ab: Lessons Learned, Penetrationstests und Anpassungen an neue Bedrohungen sichern die Widerstandsfähigkeit. So bleiben Unternehmen auch in Krisenzeiten handlungsfähig und schützen gleichzeitig die Gesellschaft, die von ihren Infrastrukturen abhängt.
Denn in einer Zeit, in der nahezu jede Organisation im Schnitt tausendfach pro Woche Ziel von Angriffen wird, reicht es nicht mehr, reaktiv zu handeln. Die CER und NIS2 Regelungen bilden den gesetzlichen Rahmen für diesen Paradigmenwechsel: weg vom Einzelkampf, hin zu systematischer Resilienz.
Schreibe einen Kommentar