„Bis 17. Juli 2026 müssen KRITIS-Betreiber Maßnahmen treffen, um sich gegen Gefahren aller Art abzusichern“, sagt Markus Weidenauer, Geschäftsführer der SecCon Group. Eine strukturierte Risikobeurteilung nach ISO 31000, die Risiken systematisch identifiziert, analysiert und bewertet, ist dabei ein erster essenzieller Baustein auf dem Weg hin zu einem funktionierenden, praxisnahen und ganzheitlichen Resilienzkonzept. SecCon macht fünf Stationen fest, die Unternehmen angehen sollten.
1. Kritische Schutzgüter identifizieren
„Bevor an konkrete Maßnahmen gedacht werden kann, muss definiert sein, was im Betrieb unverzichtbar ist“, betont Weidenauer. Das gestaltet sich je nach Sektor unterschiedlich.
Entsprechend wichtig ist es, dass Betreiber in den KRITIS-Branchen Energie, Wasser, Ernährung, Gesundheitswesen, Transport, Verkehr, Informationstechnik und Telekommunikation, Finanzwesen sowie Abfallentsorgung individuell, aber systematisch unternehmenskritische Schutzgüter und Prozesse identifizieren. Dazu gehören physische Anlagen ebenso wie IT-Systeme oder Betriebsmittel, deren Ausfall unmittelbar die Erbringung der kritischen Dienstleistung gefährden würde. In der Energieversorgung sind das beispielsweise Schalt- und Messanlagen, Speicher oder zentrale Netzknoten. „Auch dezentral gelegene, unbesetzte Trafostationen oder Netzübergabepunkte gelten als kritisch“, sagt Weidenauer.
Außerdem sollten IT- und OT-Systeme wie Netzleittechnik oder SCADA-Systeme sowie personelle Schlüsselressourcen in Leistellen und Bereitschaftsdiensten auf den Prüfstand. „Gleiches gilt für externe Abhängigkeiten, etwa von Telekommunikation, Notstromversorgung,
Treibstoffen oder spezialisierten Dienstleistern“, ergänzt Weidenauer.
2. Gefährdungen ganzheitlich erfassen
Sind die kritischen Schutzgüter und Prozesse klar identifiziert, steht die Basis für ein realistisches Bedrohungsbild, aus dem sich potenzielle Risiken ableiten lassen. „Hier gilt es, einen All-Gefahren-Ansatz zu verfolgen“, betont Weidenauer. Neben technischen Gefahren werden durch KRITIS auch Naturkatastrophen, menschliches Fehlverhalten, interne Drohungen, Sabotage sowie Cyberangriffe beachtet. „Ziel ist es, ein vollständiges und realistisches Bedrohungsbild – angepasst an Standort, Struktur und Branche – zu schaffen.“
Im Bereich der Informationstechnik und Telekommunikation gehören dazu vor allem Cyberattacken durch Ransomware, DDoS-Angriffe oder die Manipulation von Steuerungs- und Managementsystemen. „Was bislang weniger Beachtung fand, aber künftig an Bedeutung gewinnt, sind Bedrohungen durch Naturphänomene wie Überschwemmungen, gezielte Sabotageakte durch Innentäter oder das gezielte Anwerben von Mitarbeitern über fremde Nachrichtendienste, um Insiderwissen zum Nachteil der Infrastruktur zu generieren“, erklärt Weidenauer.
3. Risken bewerten, analysieren und priorisieren
Für jedes identifizierte und analysierte Risiko werden Eintrittswahrscheinlichkeiten prognostiziert sowie das potenzielle Schadensausmaß bewertet. „Dieses Vorgehen erlaubt es, nicht nur eine Klassifizierung vorzunehmen, sondern auch eine Priorisierung für die Handlungsstrategie“, sagt Weidenauer.
Im Gesundheitswesen ist dabei vor allem entscheidend, wie sich Risiken auf die Patientenversorgung und die allgemeine medizinische Leistungsfähigkeit auswirken. „Ein konkretes Beispiel für kritische Risiken ist der Ausfall eines klinischen IT-Systems oder gleich des Krankenhausinformationssystems, das zum Beispiel digitale Patientenakten, das Laborinformationssystem oder auch den Bereich Diagnostik integriert“, erläutert Weidenauer. Aber auch Störungen der Medizintechnik bei bildgebenden Verfahren, OP-Technik oder lebensunterstützenden Systemen, insbesondere wenn keine Redundanzen vorhanden sind, beurteilt der Experte als prioritär.
4. Schutz und Resilienzmaßnahmen ableiten
Auf Basis der Risikobeurteilung gilt es, Schutzziele zu definieren, an denen sich konkrete Maßnahmen wie Zutrittskontrollen, Schutzzonen oder Alarmpläne orientieren. Um Risiken zu verringern und beherrschbar zu machen, sollte beispielsweise im Bereich Finanzen nicht nur in verbesserte technische Maßnahmen, etwa zur Absicherung von Rechenzentren und Netzen, investiert werden. Wichtig sind auch organisatorische Aspekte wie belastbare Krisen- und Notfallpläne mit klaren Entscheidungs- und Eskalationswegen und personelle Maßnahmen – allen voran Sensibilisierungstrainings von Mitarbeitenden für Social Engineering sowie der Schutz von Führungspersonen in besonderen Lagen.
5. Dokumentation, Überprüfung und Aktualisierung
„Eine Risikobeurteilung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess“, unterstreicht Weidenauer. Ergebnisse müssen dokumentiert, Verantwortlichkeiten klar benannt und Maßnehmen regelmäßig überprüft werden. „Veränderungen der Bedrohungslage, neue gesetzliche Anforderungen oder organisatorische Anpassungen erfordern eine kontinuierliche Aktualisierung.“ Wer hier systematisch vorgeht, erhöht nachhaltig die Krisenfestigkeit und Handlungsfähigkeit des eigenen Betriebs.
