IT-Sicherheitsmaßnahmen bei kritischen Infrastrukturen: Anforderungen, Fortschritte und Ausblick 2025

Enormer Zuwachs an Pflichten – Wie sicher sind unsere lebenswichtigen Systeme?

Mit dem Inkrafttreten neuer Regelungen stehen Unternehmen der Energieversorgung, des Verkehrs, im Finanzwesen und der Gesundheitsbranche vor der größten Neuordnung der IT-Sicherheitsmaßnahmen für kritische Infrastrukturen (KRITIS), die Deutschland je erlebt hat. Die Zahl der betroffenen Unternehmen steigt ab 2025 auf über 30.000 und rückt damit nicht nur Großkonzerne, sondern auch zahlreiche Mittelständler ins Zentrum der Cybersecurity-Diskussion. Was bedeutet das für Versorgungssicherheit, Wirtschaftsstabilität und Resilienz grundlegender Dienste?

Erweiterte Gesetze und strengere Kontrollen: NIS2, KRITIS-Dachgesetz & DORA

Die regulatorische Landschaft verändert sich grundlegend: Das KRITIS-Dachgesetz sowie das NIS2-Umsetzungsgesetz machen Vorgaben auf europäischer Ebene erstmals direkt im deutschen Recht verbindlich – und weiten den Kreis der betroffenen Unternehmen enorm aus. Sektorspezifische Regelungen wie DORA für Finanzunternehmen kommen hinzu. Für betroffene Unternehmen bedeutet das eine verpflichtende Umsetzung von weitreichenden IT-Sicherheitsmaßnahmen – darunter die Einführung von Informationssicherheits-Managementsystemen (ISMS), verpflichtende Risikoanalysen, Rekonstruktion und Nachweisfähigkeit von Angriffsereignissen sowie Meldepflichten bei Vorfällen (Quelle).

Höhere Mindeststandards und neue Prüfwerkzeuge

Erstmals werden bundesweit verbindliche Mindeststandards für den physischen Schutz kritischer Infrastrukturen definiert. Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) steht Unternehmen als zentrales Werkzeug zur Verfügung, um zu prüfen, ob sie unter die neuen Regelungen fallen und welche Maßnahmen konkret umzusetzen sind. Im Fokus stehen dabei die Widerstandsfähigkeit der Systeme (Resilienz), insbesondere zur Abwehr und Erkennung von Cyberangriffen in Echtzeit (Quelle).

Angriffswelle auf die Lieferkette & verschobene Schwerpunktsetzung

Während große Unternehmen mit hohem Ressourcenaufwand bereits umfassende Schutzmaßnahmen etabliert haben, geraten kleine und mittlere Unternehmen (KMU) zunehmend ins Visier von Cyberkriminellen. Statistiken zeigen: Rund 70 Prozent der befragten Mittelständler waren im Vorjahr von mindestens einem Cyberangriff betroffen. Die Breite der Angriffe reicht dabei von klassischem Phishing über Ransomware bis zu gezielten Attacken auf automatisierte Steuerungssysteme.

Lieferkettenangriffe nehmen erneut zu – für Betreiber von kritischen Produktions- und Versorgungsanlagen wie Energie, Wasser oder Verkehr bedeutet das, dass IT-Sicherheit nicht mehr an der eigenen Unternehmensgrenze Halt macht. Die neuen Vorgaben verlangen deshalb eine integrative Betrachtung der gesamten Zuliefererkette, inklusive regelmäßiger Audits und Sicherheitsüberprüfungen bei Dienstleistern (Quelle).

Compliance vs. wirksamer Schutz: Eine Gratwanderung

Ein essenzielles Problem bleibt: Viele Unternehmen konzentrieren ihre Ressourcen so stark auf die Einhaltung der gesetzlichen Vorgaben, dass praxistaugliche Abwehr- und Reaktionsmaßnahmen im Ernstfall auf der Strecke bleiben. Die Herausforderung für die kommenden Jahre besteht darin, regulatorische Compliance und tatsächliche Sicherheit gegeneinander auszubalancieren, sodass anwendbare, handlungsorientierte Strategien den theoretischen Regelwerken folgen.

Best Practices, Stand der Technik und Ausblick

Moderne Sicherheitskonzepte für Betreiber kritischer Infrastrukturen setzen nicht länger ausschließlich auf harte Perimeter-Verteidigung. Aktuelle Trends sind der Ausbau von:

• Zero Trust-Architekturen – kein Benutzer oder Dienst erhält automatisch Vertrauen, Zugriffe werden kontextbasiert und granular geprüft.
• Angrifferkennungssysteme (EDR/XDR, SIEM) in Echtzeit, die Muster und Anomalien identifizieren, bevor Schaden entsteht.
• Verstärkte Schulungen und Sensibilisierung der Mitarbeitenden, insbesondere zur Verteidigung gegen Social Engineering und Ransomware.
• Redundanz und Notfallpläne, um bei erfolgreichen Angriffen Ausfallzeiten und Datenverluste zu minimieren.

Wissenschaft und Wirtschaft fordern zudem, Regularien rund um den sicheren und offenen Austausch von Forschungs- und Betriebsdaten schneller zu konkretisieren, um Innovationspotenziale im Bereich der Abwehrmaßnahmen besser zu heben (Quelle).

Eine konsequente Ausweitung der IT-Sicherheitsmaßnahmen bei kritischen Infrastrukturen bringt große Vorteile: Sie schützt die Gesellschaft vor Versorgungsausfällen und Angriffsfolgen, stärkt das Vertrauen in Wirtschaft und Verwaltung und fördert Innovationen. Wirtschaftliche Stabilität, Wettbewerbsfähigkeit und Versorgungssicherheit hängen in Zukunft noch stärker von der Wirksamkeit der umgesetzten Maßnahmen ab. Nachteile liegen in den deutlich gestiegenen Investitions- und Betriebskosten für Unternehmen, vor allem für Mittelstand und KMU. Vor allem im Bereich praktischer Umsetzungsunterstützung und Wissenstransfer besteht noch Nachholbedarf – hier sind Politik und Branchenverbände gefordert, Werkzeuge, Leitfäden und Best Practices noch zugänglicher zu machen. Langfristig profitieren Menschen und Wirtschaft durch weniger Störungen, sichere digitale Angebote und eine insgesamt resilientere Infrastruktur – vorausgesetzt, regulatorische Vorgaben werden durch echte Abwehrfähigkeit und laufendes Training ergänzt.