IT-Security for Critical Infrastructure (KRITIS)
Get Started with This SkillUeberblick
Die Skill IT-Security for Critical Infrastructure (KRITIS) unterstuetzt Rakenne-Nutzer bei der Erstellung von Sicherheitskonzepten fuer Betreiber Kritischer Infrastrukturen gemaess dem BSI IT-Grundschutz und dem IT-Sicherheitsgesetz 2.0 (BSIG). Sie deckt den gesamten Prozess ab: von der KRITIS-Schwellenwertpruefung ueber die Strukturanalyse und Schutzbedarfsfeststellung bis zur vollstaendigen Modellierung mit BSI Grundschutz-Bausteinen. Die Skill umfasst zwei Validierungstools, ein vollstaendiges Sicherheitskonzept-Template, eine KRITIS-Compliance-Checkliste und Referenzdokumente zu BSI-Standards und Grundschutz-Bausteinen. Regulierte Sektoren: Energie, Wasser, Gesundheit, Transport und IT/Telekommunikation.
Erste Schritte
Laden Sie Ihr IT-Inventar, Asset-Listen oder bestehende Sicherheitsdokumente in den Projekt-Workspace und aktivieren Sie die Skill IT-Security for Critical Infrastructure (KRITIS). Der Agent fuehrt Sie durch den Prozess: KRITIS-Einstufung pruefen, Informationsverbund analysieren, Assets auf Grundschutz-Bausteine mappen, Schutzbedarfsfeststellung durchfuehren und das Sicherheitskonzept nach BSI-Standard 200-2 strukturieren. Das Ergebnis wird als fertiger Entwurf mit Baustein-Zuordnung und Compliance-Checkliste gespeichert.
Beispiel-Konversation
Nachfolgend ein Beispiel, wie eine typische Sitzung zur Erstellung eines Sicherheitskonzepts fuer ein Krankenhaus ablaufen kann. Der Agent prueft die KRITIS-Einstufung, mappt die IT-Assets und erstellt das Sicherheitskonzept.
Sie: Wir muessen ein Sicherheitskonzept nach BSI IT-Grundschutz fuer unser Krankenhaus erstellen. Wir haben ca. 650 Betten und 38.000 vollstationaere Faelle pro Jahr. Die IT-Infrastruktur umfasst das KIS (Krankenhausinformationssystem), Bildarchivierung (PACS), medizinische Geraete mit Netzwerkanbindung und ein Rechenzentrum am Standort.
Agent: Ich pruefe zunaechst die KRITIS-Einstufung Ihres Krankenhauses.
criticality_impact_checker ausgefuehrt:
- Sektor: Gesundheit, Branche: Stationaere Versorgung, Anlagetyp: Krankenhaus
- Schwellenwert: 30.000 vollstationaere Faelle/Jahr
- Messwert: 38.000 → 126,7 % Auslastung
- Ergebnis: KRITIS — Ihr Krankenhaus ueberschreitet den Schwellenwert.
Damit gelten die Pflichten des IT-Sicherheitsgesetzes 2.0: Registrierung beim BSI, Meldepflicht, §8a-Nachweis alle 2 Jahre und Angriffserkennungssysteme. Soll ich mit dem vollstaendigen Sicherheitskonzept beginnen? Bitte laden Sie dazu Ihr IT-Inventar in den Workspace.
Sie: Hier ist unser IT-Inventar in
inventar/it_assets.md. Es listet alle Server, Netzwerke, Anwendungen und Raeume. Bitte Standard-Absicherung nach BSI-Standard 200-2.Agent: Ich habe Ihr Inventar gelesen und den bsi_grundschutz_navigator ausgefuehrt. Ergebnis:
- 38 Bausteine zugeordnet, verteilt auf alle 10 Schichten
- KRITIS-spezifisch: IND.1 (Medizintechnik-Netz), DER.1 (Angriffserkennungssystem), DER.4 (Notfallmanagement)
- Hinweis: Schicht IND — Ihre medizinischen Geraete mit Netzwerkanbindung fallen unter IND.2.1 (Allgemeine ICS-Komponente). IT/OT-Segmentierung empfohlen.
Ich habe das Sicherheitskonzept-Template kopiert und die KRITIS-Einstufung (Abschnitt 1.3), die Strukturanalyse (Abschnitt 3) mit Ihren Assets und die Baustein-Zuordnung (Abschnitt 5) eingetragen. Die Schutzbedarfsfeststellung zeigt: KIS und PACS mit Schutzbedarf “sehr hoch” (Verfuegbarkeit), Patientendaten “sehr hoch” (Vertraulichkeit). Es verbleiben Platzhalter fuer den IT-Grundschutz-Check (Soll-Ist-Vergleich) und die ergaenzende Risikoanalyse — diese erfordern Ihre internen Bewertungen. Die KRITIS-Compliance-Checkliste ist beigefuegt.
Dokumentauszug
Nachfolgend ein repraesentativer Auszug aus einem Sicherheitskonzept, das mit Unterstuetzung der Skill erstellt wurde.
Sicherheitskonzept — Auszug
Klinikum Musterstadt GmbH Geltungsbereich: IT-Infrastruktur der stationaeren Versorgung
1.3 KRITIS-Einstufung
| Kriterium | Wert |
|---|---|
| Sektor | Gesundheit |
| Branche | Stationaere Versorgung |
| Anlagetyp | Krankenhaus |
| Schwellenwert | 30.000 vollstationaere Faelle/Jahr |
| Messwert | 38.000 Faelle/Jahr |
| Ergebnis | KRITIS — Schwellenwert ueberschritten (126,7 %) |
4.2 Schutzbedarf der IT-Systeme (Auszug)
| Nr. | System | Vertraulichkeit | Integritaet | Verfuegbarkeit | Begruendung |
|---|---|---|---|---|---|
| S-01 | KIS (Krankenhausinformationssystem) | Sehr hoch | Sehr hoch | Sehr hoch | Patientendaten, versorgungskritisch |
| S-02 | PACS (Bildarchivierung) | Hoch | Sehr hoch | Sehr hoch | Diagnostische Bilddaten, Befundung |
| S-03 | Laborinformationssystem (LIS) | Hoch | Sehr hoch | Hoch | Laborergebnisse fuer Behandlung |
| S-04 | Active Directory / IAM | Hoch | Hoch | Hoch | Zentrale Authentifizierung |
| S-05 | Medizingeraete-Netz (OT) | Normal | Hoch | Sehr hoch | Patientensicherheit, Safety |
5.1 Zuordnung der Bausteine (Auszug)
| Zielobjekt | Baustein-ID | Baustein-Name | Begruendung |
|---|---|---|---|
| KIS | APP.4.3 | Relationale Datenbanksysteme | Oracle-DB-Backend |
| KIS | APP.3.1 | Webanwendungen und Webservices | Web-Frontend |
| PACS | SYS.1.8 | Speicherloesungen | SAN-Anbindung |
| Medizingeraete-Netz | IND.1 | Prozessleit- und Automatisierungstechnik | Netzwerkgebundene Medizintechnik |
| Medizingeraete-Netz | NET.1.1 | Netzarchitektur und -design | IT/OT-Segmentierung |
| Rechenzentrum | INF.2 | Rechenzentrum sowie Serverraum | Zentrales RZ |
| Rechenzentrum | INF.14 | Gebaeude-Infrastruktur | USV, Klimatisierung, Notstrom |
Dieser Auszug ist illustrativ. Der endgueltige Inhalt muss die einrichtungsspezifischen Daten und die aktuelle BSI-Grundschutz-Kompendium-Edition widerspiegeln.
Validierungen durch die Extension-Tools
Die Skill beinhaltet zwei Extension-Tools, die die KRITIS-Einstufung und die Baustein-Zuordnung automatisch pruefen.
criticality_impact_checker
Prueft, ob eine Anlage die Schwellenwerte der BSI-KritisV ueberschreitet und als Kritische Infrastruktur (KRITIS) einzustufen ist. Berechnet das Ergebnis fuer die angegebene Anlage und Metrik.
| Pruefung | Beschreibung |
|---|---|
| Schwellenwertvergleich | Vergleicht den Messwert der Anlage mit dem gesetzlichen Schwellenwert der BSI-KritisV. Berechnet die prozentuale Auslastung und meldet UEBERSCHRITTEN oder UNTERSCHRITTEN. |
| KRITIS-Pflichten | Bei Ueberschreitung werden die resultierenden Pflichten aufgelistet: Registrierung, Kontaktstelle, Meldepflicht, §8a-Nachweis, Angriffserkennungssysteme. |
| Sektoren | Energie (Strom, Gas, Kraftstoff, Fernwaerme), Wasser (Trinkwasser, Abwasser), Gesundheit (Krankenhaeuser, Pharma, Labore), Transport (Luft, Schiene, Schiff, Strasse, OEPNV, Logistik), IT/Telekommunikation. |
criticality_impact_checker sektor="Gesundheit" branche="Stationaere Versorgung" anlage_typ="Krankenhaus" messwert=38000
bsi_grundschutz_navigator
Analysiert eine Asset-Liste oder ein IT-Inventar (Markdown/Text) und mappt die enthaltenen Assets auf die relevanten BSI IT-Grundschutz Bausteine des Kompendiums.
| Pruefung | Beschreibung |
|---|---|
| Baustein-Zuordnung | Erkennt Assets im Text und ordnet sie den passenden Grundschutz-Bausteinen zu, gruppiert nach Schicht (ISMS, ORP, CON, OPS, DER, APP, SYS, IND, NET, INF). |
| Pflichtbausteine | Listet die immer anzuwendenden Bausteine (ISMS.1, ORP.1–4, CON.1–3, OPS.1.1.3–5, DER.1, DER.2.1, DER.4). |
| KRITIS-spezifisch | Weist auf KRITIS-relevante Bausteine hin: Angriffserkennungssysteme (DER.1), Meldepflicht (DER.2.1), Notfallmanagement (DER.4), industrielle IT (IND.1). |
| Lueckenanalyse | Meldet Schichten ohne erkannte Assets als Pruefhinweis. |
bsi_grundschutz_navigator path="inventar/it_assets.md"
Ergebnisinterpretation
- criticality_impact_checker: KRITIS-Einstufung bestimmt den regulatorischen Rahmen. Anlagen ueber dem Schwellenwert unterliegen den vollen BSIG-Pflichten; Anlagen darunter sollten dennoch BSI IT-Grundschutz als Best Practice anwenden.
- bsi_grundschutz_navigator: Die automatische Zuordnung dient als Ausgangsbasis und muss manuell ergaenzt werden, insbesondere fuer branchenspezifische Anforderungen und OT-Komponenten.
Die Tools ersetzen keine formale BSI-Zertifizierung oder §8a-Pruefung — sie dienen als strukturelle Qualitaetssicherung bei der Erstellung des Sicherheitskonzepts.