# IT-Security for Critical Infrastructure (KRITIS)

> Erstellt Sicherheitskonzepte fuer Betreiber Kritischer Infrastrukturen (KRITIS) gemaess BSI IT-Grundschutz und IT-Sicherheitsgesetz 2.0. Mappt Assets auf Grundschutz-Bausteine, prueft KRITIS-Schwellenwerte und validiert die Compliance.



Tags: IT-Sicherheitsgesetz 2.0, BSI, KRITIS, IT-Grundschutz, Cybersecurity, Germany, Infrastructure


## Example Prompts

- Erstelle ein Sicherheitskonzept nach BSI IT-Grundschutz fuer unser Krankenhaus
- Pruefe, ob unsere Anlage als KRITIS eingestuft wird (Schwellenwertpruefung)
- Mappe unsere IT-Assets auf die relevanten BSI Grundschutz-Bausteine
- Pruefe unser bestehendes Sicherheitskonzept auf KRITIS-Compliance

URL: https://rakenne.app/skills/kritis-it-security/index.md

Try this skill: https://rakenne.app/a/?skill=kritis-it-security



## Ueberblick

Die Skill **IT-Security for Critical Infrastructure (KRITIS)** unterstuetzt Rakenne-Nutzer bei der Erstellung von Sicherheitskonzepten fuer Betreiber Kritischer Infrastrukturen gemaess dem **BSI IT-Grundschutz** und dem **IT-Sicherheitsgesetz 2.0 (BSIG)**. Sie deckt den gesamten Prozess ab: von der KRITIS-Schwellenwertpruefung ueber die Strukturanalyse und Schutzbedarfsfeststellung bis zur vollstaendigen Modellierung mit BSI Grundschutz-Bausteinen. Die Skill umfasst zwei Validierungstools, ein vollstaendiges Sicherheitskonzept-Template, eine KRITIS-Compliance-Checkliste und Referenzdokumente zu BSI-Standards und Grundschutz-Bausteinen. Regulierte Sektoren: Energie, Wasser, Gesundheit, Transport und IT/Telekommunikation.

## Erste Schritte

Laden Sie Ihr IT-Inventar, Asset-Listen oder bestehende Sicherheitsdokumente in den Projekt-Workspace und aktivieren Sie die Skill *IT-Security for Critical Infrastructure (KRITIS)*. Der Agent fuehrt Sie durch den Prozess: KRITIS-Einstufung pruefen, Informationsverbund analysieren, Assets auf Grundschutz-Bausteine mappen, Schutzbedarfsfeststellung durchfuehren und das Sicherheitskonzept nach BSI-Standard 200-2 strukturieren. Das Ergebnis wird als fertiger Entwurf mit Baustein-Zuordnung und Compliance-Checkliste gespeichert.

---

## Beispiel-Konversation

Nachfolgend ein Beispiel, wie eine typische Sitzung zur Erstellung eines Sicherheitskonzepts fuer ein Krankenhaus ablaufen kann. Der Agent prueft die KRITIS-Einstufung, mappt die IT-Assets und erstellt das Sicherheitskonzept.

> **Sie:** Wir muessen ein Sicherheitskonzept nach BSI IT-Grundschutz fuer unser Krankenhaus erstellen. Wir haben ca. 650 Betten und 38.000 vollstationaere Faelle pro Jahr. Die IT-Infrastruktur umfasst das KIS (Krankenhausinformationssystem), Bildarchivierung (PACS), medizinische Geraete mit Netzwerkanbindung und ein Rechenzentrum am Standort.
>
> **Agent:** Ich pruefe zunaechst die KRITIS-Einstufung Ihres Krankenhauses.
>
> **criticality_impact_checker** ausgefuehrt:
> - Sektor: Gesundheit, Branche: Stationaere Versorgung, Anlagetyp: Krankenhaus
> - Schwellenwert: 30.000 vollstationaere Faelle/Jahr
> - Messwert: 38.000 → **126,7 % Auslastung**
> - **Ergebnis: KRITIS** — Ihr Krankenhaus ueberschreitet den Schwellenwert.
>
> Damit gelten die Pflichten des IT-Sicherheitsgesetzes 2.0: Registrierung beim BSI, Meldepflicht, §8a-Nachweis alle 2 Jahre und Angriffserkennungssysteme. Soll ich mit dem vollstaendigen Sicherheitskonzept beginnen? Bitte laden Sie dazu Ihr IT-Inventar in den Workspace.
>
> **Sie:** Hier ist unser IT-Inventar in `inventar/it_assets.md`. Es listet alle Server, Netzwerke, Anwendungen und Raeume. Bitte Standard-Absicherung nach BSI-Standard 200-2.
>
> **Agent:** Ich habe Ihr Inventar gelesen und den **bsi_grundschutz_navigator** ausgefuehrt. Ergebnis:
>
> - **38 Bausteine** zugeordnet, verteilt auf alle 10 Schichten
> - **KRITIS-spezifisch:** IND.1 (Medizintechnik-Netz), DER.1 (Angriffserkennungssystem), DER.4 (Notfallmanagement)
> - **Hinweis:** Schicht IND — Ihre medizinischen Geraete mit Netzwerkanbindung fallen unter IND.2.1 (Allgemeine ICS-Komponente). IT/OT-Segmentierung empfohlen.
>
> Ich habe das Sicherheitskonzept-Template kopiert und die KRITIS-Einstufung (Abschnitt 1.3), die Strukturanalyse (Abschnitt 3) mit Ihren Assets und die Baustein-Zuordnung (Abschnitt 5) eingetragen. Die Schutzbedarfsfeststellung zeigt: KIS und PACS mit Schutzbedarf "sehr hoch" (Verfuegbarkeit), Patientendaten "sehr hoch" (Vertraulichkeit). Es verbleiben Platzhalter fuer den IT-Grundschutz-Check (Soll-Ist-Vergleich) und die ergaenzende Risikoanalyse — diese erfordern Ihre internen Bewertungen. Die KRITIS-Compliance-Checkliste ist beigefuegt.

---

## Dokumentauszug

Nachfolgend ein repraesentativer Auszug aus einem **Sicherheitskonzept**, das mit Unterstuetzung der Skill erstellt wurde.

---

### Sicherheitskonzept — Auszug

**Klinikum Musterstadt GmbH**
**Geltungsbereich: IT-Infrastruktur der stationaeren Versorgung**

---

#### 1.3 KRITIS-Einstufung

| Kriterium | Wert |
|---|---|
| Sektor | Gesundheit |
| Branche | Stationaere Versorgung |
| Anlagetyp | Krankenhaus |
| Schwellenwert | 30.000 vollstationaere Faelle/Jahr |
| Messwert | 38.000 Faelle/Jahr |
| **Ergebnis** | **KRITIS — Schwellenwert ueberschritten (126,7 %)** |

#### 4.2 Schutzbedarf der IT-Systeme (Auszug)

| Nr. | System | Vertraulichkeit | Integritaet | Verfuegbarkeit | Begruendung |
|---|---|---|---|---|---|
| S-01 | KIS (Krankenhausinformationssystem) | Sehr hoch | Sehr hoch | Sehr hoch | Patientendaten, versorgungskritisch |
| S-02 | PACS (Bildarchivierung) | Hoch | Sehr hoch | Sehr hoch | Diagnostische Bilddaten, Befundung |
| S-03 | Laborinformationssystem (LIS) | Hoch | Sehr hoch | Hoch | Laborergebnisse fuer Behandlung |
| S-04 | Active Directory / IAM | Hoch | Hoch | Hoch | Zentrale Authentifizierung |
| S-05 | Medizingeraete-Netz (OT) | Normal | Hoch | Sehr hoch | Patientensicherheit, Safety |

#### 5.1 Zuordnung der Bausteine (Auszug)

| Zielobjekt | Baustein-ID | Baustein-Name | Begruendung |
|---|---|---|---|
| KIS | APP.4.3 | Relationale Datenbanksysteme | Oracle-DB-Backend |
| KIS | APP.3.1 | Webanwendungen und Webservices | Web-Frontend |
| PACS | SYS.1.8 | Speicherloesungen | SAN-Anbindung |
| Medizingeraete-Netz | IND.1 | Prozessleit- und Automatisierungstechnik | Netzwerkgebundene Medizintechnik |
| Medizingeraete-Netz | NET.1.1 | Netzarchitektur und -design | IT/OT-Segmentierung |
| Rechenzentrum | INF.2 | Rechenzentrum sowie Serverraum | Zentrales RZ |
| Rechenzentrum | INF.14 | Gebaeude-Infrastruktur | USV, Klimatisierung, Notstrom |

---

*Dieser Auszug ist illustrativ. Der endgueltige Inhalt muss die einrichtungsspezifischen Daten und die aktuelle BSI-Grundschutz-Kompendium-Edition widerspiegeln.*

---

## Validierungen durch die Extension-Tools

Die Skill beinhaltet zwei Extension-Tools, die die **KRITIS-Einstufung** und die **Baustein-Zuordnung** automatisch pruefen.

### criticality_impact_checker

Prueft, ob eine Anlage die Schwellenwerte der BSI-KritisV ueberschreitet und als Kritische Infrastruktur (KRITIS) einzustufen ist. Berechnet das Ergebnis fuer die angegebene Anlage und Metrik.

| Pruefung | Beschreibung |
|----------|-------------|
| **Schwellenwertvergleich** | Vergleicht den Messwert der Anlage mit dem gesetzlichen Schwellenwert der BSI-KritisV. Berechnet die prozentuale Auslastung und meldet UEBERSCHRITTEN oder UNTERSCHRITTEN. |
| **KRITIS-Pflichten** | Bei Ueberschreitung werden die resultierenden Pflichten aufgelistet: Registrierung, Kontaktstelle, Meldepflicht, §8a-Nachweis, Angriffserkennungssysteme. |
| **Sektoren** | Energie (Strom, Gas, Kraftstoff, Fernwaerme), Wasser (Trinkwasser, Abwasser), Gesundheit (Krankenhaeuser, Pharma, Labore), Transport (Luft, Schiene, Schiff, Strasse, OEPNV, Logistik), IT/Telekommunikation. |

```
criticality_impact_checker sektor="Gesundheit" branche="Stationaere Versorgung" anlage_typ="Krankenhaus" messwert=38000
```

### bsi_grundschutz_navigator

Analysiert eine Asset-Liste oder ein IT-Inventar (Markdown/Text) und mappt die enthaltenen Assets auf die relevanten BSI IT-Grundschutz Bausteine des Kompendiums.

| Pruefung | Beschreibung |
|----------|-------------|
| **Baustein-Zuordnung** | Erkennt Assets im Text und ordnet sie den passenden Grundschutz-Bausteinen zu, gruppiert nach Schicht (ISMS, ORP, CON, OPS, DER, APP, SYS, IND, NET, INF). |
| **Pflichtbausteine** | Listet die immer anzuwendenden Bausteine (ISMS.1, ORP.1–4, CON.1–3, OPS.1.1.3–5, DER.1, DER.2.1, DER.4). |
| **KRITIS-spezifisch** | Weist auf KRITIS-relevante Bausteine hin: Angriffserkennungssysteme (DER.1), Meldepflicht (DER.2.1), Notfallmanagement (DER.4), industrielle IT (IND.1). |
| **Lueckenanalyse** | Meldet Schichten ohne erkannte Assets als Pruefhinweis. |

```
bsi_grundschutz_navigator path="inventar/it_assets.md"
```

### Ergebnisinterpretation

- **criticality_impact_checker:** KRITIS-Einstufung bestimmt den regulatorischen Rahmen. Anlagen ueber dem Schwellenwert unterliegen den vollen BSIG-Pflichten; Anlagen darunter sollten dennoch BSI IT-Grundschutz als Best Practice anwenden.
- **bsi_grundschutz_navigator:** Die automatische Zuordnung dient als Ausgangsbasis und muss manuell ergaenzt werden, insbesondere fuer branchenspezifische Anforderungen und OT-Komponenten.

Die Tools ersetzen keine formale BSI-Zertifizierung oder §8a-Pruefung — sie dienen als strukturelle Qualitaetssicherung bei der Erstellung des Sicherheitskonzepts.


---

Back to [Skill Library](https://rakenne.app/skills/index.md)