Titelbild eines Artikels über KRITIS und IAM

Es gibt heutzutage kaum einen gesellschaftlichen Bereich, der nicht von digitalen Prozessen durchdrungen ist. Auf der einen Seite erreichen wir dadurch einen nie dagewesenen Grad an Effizienz. Auf der anderen Seite machen wir uns aber auch verwundbar. Denn es war nie zuvor so einfach, ohne jede physische Gewalt katastrophale Schäden anzurichten.

Um diesen Gefahren entgegenzuwirken, hat das BMI 2009 die Verordnung zum Schutz Kritischer Infrastrukturen erlassen. Wir schauen uns an, welche Rolle Identity und Access Management im Rahmen der durch das BMI definierten Bedrohungskategorien spielt und welche Änderungen an der BSI-Kritisverordnung es durch das erste IT-Sicherheitsgesetz, das IT-Sicherheitsgesetz 2.0 und die Kritisverordnung 2.0 gab.

Inhalte (verbergen)

Kritische Infrastrukturen – wer zählt dazu?

Als Kritische Infrastrukturen (KRITIS) bezeichnet das Bundesministerium des Inneren (BMI) jene Organisationen und Einrichtungen, deren ernsthafte Beeinträchtigung oder Ausfall dramatische Folgen für das staatliche Gemeinwohl hätte (z.B. Versorgungsengpässe und Störungen der öffentlichen Sicherheit).

Die BSI-Kritisverordnung beschreibt die einzelnen Sektoren und die Schwellenwerte, die darüber entscheiden, ob es sich bei einer Einrichtung um eine Kritische Infrastruktur handelt.

Einrichtungen, die per Definition als Kritische Infrastrukturen gelten, sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, ihre informationstechnischen Systeme, Komponenten oder Prozesse gemäß dem aktuellen Stand der Technik abzusichern.

Branchenspezifische Sicherheitsstandards

KRITIS-Betreiber müssen gemäß § 8a BSIG dem BSI gegenüber alle zwei Jahre nachweisen, dass der Schutz ihrer informationstechnischen Systeme, Komponenten oder Prozesse dem Stand der Technik entspricht.

Für die Definition dieses “Stands der Technik” hat jede Branche (in Zusammenarbeit mit dem UP KRITIS) die Möglichkeit, einen sog. branchenspezifischen Sicherheitsstandard (B3S) zu erarbeiten, der durch das BSI geprüft und (bei festgestellter Eignung) freigegeben wird.

Der B3S für KRITIS-Betreiber aus dem Gesundheitsbereich wurde z.B. durch die Deutsche Krankenhausgesellschaft (DKG) erarbeitet. Verantwortlich für den Informationssicherheitsprozess ist der Informationssicherheitsbeauftragte (CISO) der jeweiligen Einrichtung.

Titelbild eines Artikels über KRITIS und IAM

BSI KRITIS-Verordnung vs. BSI IT-Grundschutz

Die BSI-Kritisverordnung und der BSI IT-Grundschutz sind nicht deckungsgleich. Mit dem IT Grundschutz gibt das BSI Unternehmen, Behörden und andere Institutionen aller Größen eine pauschalisierte Vorgehensweise für den Schutz ihrer Informationstechnik an die Hand. Die Umsetzung ist jedoch nicht verpflichtend.

Die BSI-Kritisverordnung hingegen zielt ausschließlich auf den Schutz der Kritischen Infrastrukturen ab. Die Umsetzung (z.B. mithilfe der branchenspezifischen Sicherheitsstandards) ist für Unternehmen, die die jeweiligen Schwellenwerte erreichen, verpflichtend.

Was zählt als kritische Infrastruktur

Die Rechtsgrundlage für Kritische Infrastrukturen und deren Betreiber ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz). Ob eine Einrichtung als kritisch gilt oder nicht, ergibt sich anhand von bestimmten Schwellenwerten.

Ein Krankenhaus gilt beispielsweise als Kritische Einrichtung, wenn es eine vollstationäre Fallzahl von 30.000 pro Jahr übersteigt. Zu den Kritischen Einrichtungen können öffentliche und privatwirtschaftlich geführte Institutionen aus den folgenden Sektoren zählen:

  • Ernährung (Ernährungswirtschaft, Lebensmittelhandel)

  • Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)

  • Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)

  • Wasser (öffentliche Wasserversorgung u. öffentliche Abwasserbeseitigung)

  • Energie (Elektrizität, Gas, Mineralöl, Fernwärme)

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

  • Informationstechnik und Telekommunikation (Telekommunikation u. Informationstechnik)

  • NEU: Siedlungsabfallentsorgung

IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz wurde geschaffen, um die IT-Sicherheit von Unternehmen, den Schutz der kritischen IT-Komponenten in der Bundesverwaltung, und den Schutz von Bürgerinnen und Bürgern im Internet zu verbessern. Langzeitziel ist es, die digitalen Infrastrukturen und IT-Systeme Deutschlands zu den sichersten weltweit zu machen.

Am 28. Mai 2021 ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) offiziell in Kraft getreten, das neue Sicherheitsanforderungen an die Betreiber kritischer Infrastrukturen stellt, einige Schwellenwerte für kritische Infrastrukturen anpasst und das BSI mit neuen Kompetenzen ausstattet.


Zu den Änderungen durch das IT-Sicherheitsgesetz 2.0 sowie damit verbundene Rechtsverordnungen zählen etwa:

  • Die kritischen Infrastrukturen werden um die Branche Abfallentsorgung erweitert.

  • Die in der KRITIS-Verordnung definierten Meldepflichten werden auf Bereiche im öffentlichen Interesse (z.B. die Rüstungsindustrie und die Verschlussdaten-IT) ausgeweitet.

  • Betreiber kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung (sog. Intrusion Detection Systems (IDS)) einzusetzen und außergewöhnliche Störungen und andere Risikoquellen an das Bundesamt für Informationssicherheit zu melden.


KRITIS IAM – was leistet Access Management?

Betreiber Kritischer Infrastrukturen stehen in der Pflicht, die Informationstechnik ihrer Einrichtung bestmöglich abzusichern, um sich vor Cyberangriffen zu schützen.

Die BSI-Kritisverordnung definiert verschiedene Bedrohungs- und Schwachstellenkategorien, gegen die sämtliche informationstechnischen Systeme, Komponenten und Prozesse abzusichern sind. Zu den definierten Bedrohungen/Schwachstellen zählen u.a.:

BSI-Kritisverordnung umsetzen

Die branchenspezifischen Sicherheitsstandards definieren neben dem spezifischen Maßnahmenempfehlungen, die nur für die jeweilige Branche erforderlich bzw. sinnvoll sind, eine Reihe von allgemeingültigen, branchen-unabhängigen Maßnahmen.

Unter Abschnitt 5.3 (Technische Informationssicherheit) der Orientierungshilfe zum B3S empfiehlt der Bund für die sichere Authentisierung folgende Maßnahmen:

A 3.4.1 Identitäts- und Rechtemanagement
A 3.4.2 Multifaktor-Authentisierung (Zweifaktor-Authentisierung)
A 3.4.3 Zugriffskontrolle (Sicheres Logon)
A 3.4.4 Rollentrennung (Getrennte Admin-Konten)

WIE die auf Expertenmeinungen beruhenden Maßnahmenempfehlungen jeweils umzusetzen sind, gibt das Bundesamt für Informationssicherheit NICHT vor. Betreiber können die Art und Weise der Umsetzung sowie die Art der Überprüfung (Zertifizierung) also selbst wählen.

Titelbild eines Artikels über KRITIS und IAM

Warum KRITIS IAM brauchen

Das rasante Wachstum von Cloud- und Mobiltechnologien und der Ausbau digitaler Lieferketten und Ökosysteme haben dafür gesorgt, dass die Grenzen zwischen On-Premise- und Cloud-Diensten immer mehr verschwimmen.

Während diese Entwicklung auf der einen Seite begrüßenswert ist, bedeutet sie zugleich aber auch, dass die digitalen Ressourcen von Unternehmen und anderen Einrichtungen verwundbarer sind als jemals zuvor. Die traditionelle Abgrenzung von Unternehmensnetz und World Wide Web löst sich zunehmend auf und stellt das IT-Sicherheitsmanagement vor enorme Herausforderungen.

Webinar Anmeldung Icon

Melden Sie sich auch zu unserem Webinar an!

„Identity Access Management in der BSI Kritisverordnung“
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

„Identity Access Management in der BSI Kritisverordnung“
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Keine IT-Sicherheit ohne Identitäts-Management

Vor diesem Hintergrund hat sich die Identität als die einzige Konstante und die zuverlässigste Kontrollinstanz zur Absicherung der eigenen digitalen Ressourcen herauskristallisiert.

IT-Sicherheitsmanagement ohne Identitäts-Management ist heute nicht mehr denkbar.


Aus diesem Grund sollten KRITIS-Betreiber die lückenlose Absicherung der Identities in ihrer Einrichtung priorisieren, BEVOR sie die Implementierung von Sicherheitskonzepten und -software, die auf diesen Identities basieren, in Angriff nehmen. Die Implementierung einer Software für Identity und Access Management ist daher ein sinnvoller erster Schritt, um die Vorgaben der BSI-KRITIS-Verordnung zu erfüllen.

IAM schließt kritische Sicherheitslücken

Viele der durch das BSI definierten Bedrohungen bzw. Schwachstellen lassen sich durch eine IAM-Software wie tenfold managen. Restlos beseitigen können Sie die Risiken selbstverständlich nie. Doch durch den Einsatz einer IAM-Software können Sie bestehende Sicherheitslücken schließen und die Angriffsflächen signifikant reduzieren.

Es ist daher wenig überraschend, dass jeder vom BSI freigegebene B3S, wenn auch in variierender Formulierung, die Maßnahmenempfehlung „Identitäts- und Rechtemanagement“ enthält. Das BSI fordert, dass Betreiber Kritischer Einrichtungen in Bezug auf den Umgang mit Benutzerkonten und Zugriffsrechten folgende Maßnahmen umsetzen:

  • standardisierte und automatisierte Prozesse im Berechtigungsmanagement

  • systemübergreifende Datenbank für Benutzerkonten und Zugriffsrechte (idealerweise aus einer zentralen Identity-Quelle gespeist)

  • regelmäßige Rezertifizierung (= Überprüfung) sämtlicher Zugriffsberechtigungen

  • Dokumentation und Reporting sämtlicher Prozesse in Bezug auf Benutzeranlage, Änderung und Deaktivierung

  • automatisierte Anpassung und Deaktivierung von Berechtigungen bei Bedarf

KRITIS-Maßnahmenempfehlungen umsetzen mit tenfold

Natürlich ist es für eine vollständige Konformität mit den BSI-KRITIS-Vorschriften nicht ausreichend, tenfold zu implementieren. Sie schaffen hiermit jedoch eine stabile Basis, auf der Sie aufbauen können. Die Funktionen unserer IAM-Software decken folgende Maßnahmenempfehlungen ab:

Haben Sie einen Überblick darüber, wie viele Ressourcen in Ihrem Unternehmen durch händische Administration gebunden sind? Und wie hoch die Fehlerquote bei diesen Vorgängen ist? tenfold standardisiert und automatisiert jene Prozesse. Dadurch steigern Sie nicht nur die Effizienz Ihrer Organisation, sondern Sie sparen auch Kosten.

Der Schlüssel zum Erfolg sind sogenannte Rollen, durch welche wir die Berechtigungsvergabe mit Ihrer Organisationsstruktur verknüpfen. Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch effizient, weil sie es der Software ermöglicht, Standardrechte automatisch zuzuteilen, aber auch automatisch zu entfernen, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern (User Lifeycycle Management).

Darüber hinaus versetzt die tenfold Anwendungsintegration Sie in die Lage, Berechtigungen vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu erteilen.

Mehr Informationen

tenfold unterstützt den Daten-Import aus einem Vorsystem. Das bedeutet, dass es z.B. möglich ist, Personaldaten aus der HR-Abteilung nach tenfold zu importieren. Sämtliche Änderungen, die anschließend in tenfold durchgeführt werden, übertragen sich durch Rück-Synchronisierung auch an die HR-Datenbank und umgekehrt. Das bedeutet, dass alle mit tenfold integrierten Datenbanken immer den gleichen Datenstand aufweisen.

Diese Funktion ist wichtig, weil die doppelte Eingabe von Benutzerdaten in zwei verschiedenen Datenbanken enormes Fehlerpotenzial birgt. Typische Schwierigkeiten, die ohne entsprechende Schnittstelle auftreten, sind z.B. fehlende IT-Ressourcen am ersten Arbeitstag eines neuen Mitarbeiters und verwaiste Konten.

Mehr Informationen

Datendiebstahl und Angriffe mit Ransomware können jedes Unternehmen treffen. Doch bei KRITIS-Einrichtungen ist der daraus entstehende Schaden für das Allgemeinwesen massiv. Aus diesem Grund gleicht tenfold die aktuelle Berechtigungsstruktur mit den initial definierten Rollen ab und entfernt zuverlässig alle Rechte, die nicht notwendig sind.

Zusätzlich gibt es einen sogenannten Rezertifizierungsprozess: Der jeweilige Dateneigentümer wird in regelmäßigen Abständen automatisch dazu aufgefordert, sämtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestätigen oder umgehend entfernen.

Mehr Informationen

tenfold speichert jede Änderung an Benutzern und Berechtigungen. Diese können jederzeit lückenlos nachvollzogen werden.

Die Reporting-Funktion schließt eine nachträgliche Manipulation von Daten zuverlässig aus. Das Reporting setzt sich zusammen aus dem tenfold Auditor, dem tenfold Pathfinder und diversen Reports in unterschiedlichen Formaten (online, PDF, Excel).

Mehr Informationen

Die automatische Anpassung und Deaktivierung von Benutzerkonten ist in tenfold durch das User Lifecycle Management garantiert.

tenfold verwaltet den gesamten Lebenszyklus eines Benutzers vom Onboarding bis zum Offboarding zentral und zuverlässig. Die Funktion garantiert, dass ein Mitarbeiter zu jedem Zeitpunkt seiner Zugehörigkeit zum Unternehmen mit allen Zugriffsberechtigungen ausgestattet ist, die er benötigt.

Gleichzeitig stellt sie aber auch sicher, dass er zu keinem Zeitpunkt über mehr Berechtigungen verfügt als unbedingt notwendig (Principle of Least Privilege). Das ULM sorgt u.a. dafür, dass Benutzeridentitäten für alle wichtigen Systeme und Anwendungen (z.B. Active DirectoryAzure Active Directory und Microsoft Exchange (Online)) automatisch angelegt, geändert und deaktiviert werden.

Mehr Informationen

[GRATIS WHITEPAPER] IAM in der BSI-Kritisverordnung

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Funktionen von tenfold welche Maßnahmenempfehlungen des BSI für Betreiber Kritischer Infrastrukturen abdecken.

Zum Download

[GRATIS WHITEPAPER] IAM in der BSI-Kritisverordnung

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Funktionen von tenfold welche Maßnahmenempfehlungen des BSI für Betreiber Kritischer Infrastrukturen abdecken.

Zum Download