Dr. Patrik Buchmüller, Klaus Joas
Die Sektoren Finanz- und Versicherungswesen sowie Gesundheit gehören zu den kritischen Infrastrukturen (Kritis), die im Zuge der Corona-Pandemie besonderen Status erlangt haben. In der breiten Öffentlichkeit wenig bekannt ist, dass "kritische Infrastrukturen" rechtlich genau definiert sind im "BSI-Gesetz" sowie der sog. BSI-Kritis-Verordnung (BSI-KritisV). Neben der generellen Versorgungssicherheit spielt bei der Aufnahme eines Sektors in die aktuell 7 Sektoren umfassende Liste v.a. die Exponiertheit gegenüber IT-Risiken und die Zeitkritikalität der jeweiligen Leistungen des Sektors eine Rolle.
Was sind Betreiber kritischer Infrastruktur?
Gemäß Corona-Verordnung des Landes Baden-Württemberg (CoronaVO BW) werden Beschäftigte in "Bereichen der kritischen Infrastruktur" bei der Kinderbetreuung im Sinne der Berechtigung zur Nutzung einer Notbetreuung bevorzugt behandelt. Als kritische Infrastruktur gemäß CoronaVO BW gelten dabei die Kritis-Sektoren gemäß BSI-KritisV, die gesamte Infrastruktur zur medizinischen und pflegerischen Versorgung inkl. Unterstützungsbereiche, Wohnungslosenhilfe, psychiatrische Einrichtungen und Suchtberatungsstellen, Regierung/Verwaltung/Parlament/Justiz und "notwendige Einrichtungen der öffentlichen Daseinsvorsorge", Polizei/Feuerwehr sowie Rundfunk/Presse und Verkehrsbetriebe.
Neben den genannten Sektoren sind dabei gem. § 2 (10) BSIG auch die Energie, Informationstechnik und Telekommunikation, Wasser, Transport und Verkehr sowie Ernährung systemrelevant. Genauer gesagt, sind gem. BSI-KRITIS-Verordnung Unternehmen in den genannten Sektoren Betreiber kritischer Infrastrukturen, sofern ihre Leistungen jeweils mindestens 500.000 Personen versorgen.
Betreiber kritischer Infrastruktur fallen in den Aufgabenbereich des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Mit dem im Jahr 2004 gegründeten Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wurde zudem eine weitere staatliche Stelle geschaffen, die zum Schutz kritischer Infrastrukturen über IT-Belange hinaus beiträgt. Im Gegensatz zu der Definition der kritischen Infrastruktur in den Corona-Schutzmaßnahmen sind gem. BSI-Gesetz / BSI-KritisV nicht nur sehr ausgewählte Sektoren, sondern auch nur Unternehmen mit einer Mindestgröße in den jeweiligen Kritis-Sektoren festgelegt. Kleinteilig organisierte Bereiche wie Hausärzte, Metzgereien, Spargelproduzenten und andere Landwirtschaftsbetriebe unterliegen demnach bisher keinerlei Vorgaben hinsichtlich der Aufrechterhaltung ihrer Geschäftstätigkeit im Krisenfall, obwohl sie in ihrer Gesamtheit ebenfalls zur Versorgungssicherheit der Bevölkerung beitragen.
Unter anderem aufgrund einiger in die Öffentlichkeit gelangter Hacker-Angriffe sind die Kritis-Sektoren Finanz- und Versicherungswesen sowie Gesundheit besonders prominent im Fokus der Diskussion um die IT-Sicherheit. Entscheidender Unterschied zwischen den beiden Sektoren ist allerdings, dass der Finanzsektor einer viel stärkeren Regulierung und Prüfungsdichte im Bereich IT-Sicherheit gegenüber dem Gesundheitssektor ausgesetzt ist. Im Folgenden geben wir einen Kurzüberblick, wie die Unternehmen in den beiden Sektoren ähnlichen Herausforderungen ausgesetzt sind und vergleichbare Lösungsansätze erfolgsversprechend sind.