Das IT-Sicherheitsgesetz ist für Betreiber kritischer Infrastrukturen (KRITIS) die maßgebliche Grundlage für die Ausgestaltung ihrer Sicherheitsmaßnahmen. Die neue Fassung erweitert die Liste der betroffenen Unternehmen und definiert mehr Pflichten.
Ein erfolgreicher Hackerangriff auf ein Atomkraftwerk könnte die öffentliche Sicherheit erheblich gefährden
Niemand will sich die Folgen eines erfolgreichen Hacks auf ein Wasserwerk oder auf ein Atomkraftwerk vor Augen führen. Oder sich ausmalen, wenn es Kriminellen gelänge, den Strom flächendeckend abzuschalten. Die Branchen, die zur kritischen Infrastruktur zählen, sind zahlreich und decken viele Bereiche des täglichen Lebens ab. Dazu zählen außer Energie und Wasser auch Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Staat und Verwaltung sowie Medien und Kultur.
Alle Unternehmen und Institutionen haben eines gemeinsam: Kommt es zu einer Störung, sind nachhaltig wirkende Versorgungsengpässe, erhebliche Gefahren für die öffentliche Sicherheit oder andere dramatische Folgen für Wirtschaft, Staat und Gesellschaft möglich. Was das bedeutet, zeigt ein aktueller Cyberangriff in den USA: Colonial Pipeline, die fast die Hälfte des an der Ostküste verwendeten Kraftstoffs liefern, stellte nach einer Ransomware-Attacke den Betrieb ein. Die Hacker hatten das industrielle Kontrollsystem (ICS) ins Visier genommen, mit dem die Pipeline und der Fluss von Benzin, Diesel, Heizöl und Kerosin gesteuert werden. Das Abschalten löste eine Reihe von Dominoeffekten aus – darunter Panikkäufe an den Zapfsäulen und eine leichte Angst innerhalb der Regierung, dass sich der Schaden schnell auf andere Bereiche wie Massenverkehrsmittel, chemische Fabriken oder Raffineriebetriebe ausbreiten könnte.
Mehr Vorschriften, aber deswegen mehr Sicherheit?
Angesichts dieser weitreichenden Konsequenzen sind deutsche Einrichtungen und Unternehmen dazu aufgefordert, die KRITIS-Verordnung des BSI zur Umsetzung des IT-Sicherheitsgesetzes sowie das BSI-Gesetz für Betreiber Kritischer Infrastrukturen zu befolgen. Die Politik hat gerade das parlamentarische Gesetzgebungsverfahren für die Version 2.0 des IT-Sicherheitsgesetzes (IT-SiG 2.0) beendet. Zwar müssen zentrale Detailvorgaben noch über Verordnungen geregelt werden, nach der Unterzeichnung des Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt Ende Mai 2021 können nun aber bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.
Und das betrifft immer mehr Unternehmen und Institutionen in Deutschland: So wurden die Sektoren der kritischen Infrastrukturen um den Bereich Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen können. Daneben enthält das IT-SiG 2.0 die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Darunter fallen unter anderem die Rüstungsindustrie, alle Unternehmen mit hoher volkswirtschaftlicher Bedeutung, aber auch Hersteller von IT-Produkten zur Verarbeitung von Verschlusssachen.
Alle müssen die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ absichern. Im Rahmen des IT-SiG 2.0 sind sie zudem verpflichtet, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken. Kommt es zu Verstößen, werden künftig analog zu den DSGVO-Regelungen Geldbußen von bis zu zwei Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig.
Gleichzeitig erhält die zuständige Kontrollbehörde – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – deutlich mehr Rechte. So darf das BSI Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden) einsetzen. Für diese staatlichen Backdoors gibt es von Sicherheitsspezialisten keinen Beifall. Genauso in der Kritik stehen unverbindliche Formulierungen, die ungewollte Überschreitungen zumindest in der Theorie möglich machen: Auf verpflichtende Standards wie etwa die Ende-zu-Ende-Verschlüsselung hat die Politik verzichtet.
Nichtsdestotrotz sollten sich die betroffenen Unternehmen mit der Verschärfung ihrer Sicherheitsmaßnahmen auseinandersetzen. Das IT-Sicherheitsgesetz ist ein sogenanntes Artikel- oder Mantelgesetz. Das bedeutet, es ist die Grundlage für Veränderungen in zahlreichen anderen regulatorischen Vorgaben wie dem BSI-Gesetz (BSI-Kritisverordnung), dem Energiewirtschaftsgesetz, dem Telemediengesetz oder dem Telekommunikationsgesetz. Hinzu kommt die NIS2-Richtlinie, mit der die EU-Kommission die Resilienz auf dem Gebiet der Cybersicherheit in den Mitgliedsstaaten stärken will. Im Hinblick auf die Verpflichtung, EU-Gesetze zeitnah in nationales Recht umzusetzen, ist damit mehr oder weniger der Startschuss für ein IT-SiG 3.0 gefallen.
Mobile Kommunikation bietet viele Angriffspunkte
Um sich angemessen zu schützen und die Vorgaben des BSI zu erfüllen, brauchen KRITIS-Unternehmen stärker als je zuvor geeignete Sicherheitsmaßnahmen für die wichtigsten Schwachstellen. Das schließt die mobile Kommunikation der Mitarbeiter ein. Sie verbinden sich immer wieder aus Unachtsamkeit per Smartphone über ungeschützte oder nicht vertrauenswürdige WLANs mit dem Internet, installieren mit Malware verseuchte Apps, besuchen potenziell bösartige Webseiten oder lassen ihr mobiles Gerät unbeaufsichtigt liegen, möglicherweise sogar ohne Geräte-PIN. Gelangt das mobile Device dann in die falschen Hände, haben die Täter Zugriff auf die gespeicherten Daten und schlimmstenfalls auf das Firmennetz. Gleichzeitig vermischen sich durch die berufliche Nutzung privater Smartphones oder Tablets auch die unterschiedlichen Daten. Dies stellt nicht nur eine Verletzung der DSGVO dar, sondern kann auch weitere Sicherheitsverstöße nach sich ziehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auf der sicheren Seite sind die Betreiber kritischer Infrastrukturen nur, wenn die auf dem jeweiligen mobilen Gerät vorhandenen privaten und dienstlichen Daten sowie Anwendungen strikt voneinander abgeschottet sind. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit sogenannten Container-Lösungen. Sollte ein Angreifer sich tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, steht er vor einem einbruchsicheren Tor: Die Daten und Dokumente sind nach höchsten Standards verschlüsselt (Data at Rest) und werden auch verschlüsselt übertragen (Data in Transit). Der Zugriff auf einen Container wird durch eine PIN und biometrische Verfahren wie Touch und Face ID abgesichert. Für höchste Sicherheitsansprüche wie im Behördenumfeld kann der Zugriff zusätzlich mit einer Smartcard geschützt werden. Dies ist eine Voraussetzung für eine BSI-Zulassung für „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD).
Grundsätzlich sind die Daten bei einer Container-Lösung Ende-zu-Ende verschlüsselt. So können die Nachrichten ausschließlich von ihren tatsächlichen Sendern und Empfängern gelesen werden. Gleichzeitig ist durch die strikte Trennung der Daten die Einhaltung der DSGVO garantiert: Keine private App ist in der Lage, auf geschäftliche Kontaktdaten zuzugreifen, die innerhalb einer Container-Lösung gespeichert sind – und umgekehrt. Auch können Mitarbeiter keine Kontaktdaten per Copy-and-Paste in den jeweilig anderen Bereich übertragen. Die Vermischung von dienstlichen und privaten Daten ist mit einer Container-Lösung ausgeschlossen.
Die Cyberangriffe auf KRITIS-Unternehmen in den letzten Monaten haben gezeigt, wie weitreichend die Folgen eines Hacks sein können. Der Schutz kritischer Infrastrukturen erfordert im digitalen Zeitalter also auch bei der mobilen Kommunikation neue Wege und Mittel. Die gute Nachricht ist: Wirkungsvolle Lösungen sind vorhanden. IT-Abteilungen müssen sie nur noch implementieren.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/ad/e5/ade5de9fdf2919d873cd1384e173feec/0129269175v2.jpeg "Die T Cloud Public soll dem europäischen Bedürfnis nach Cloud-Souveränität gerecht werden und sich auf Augenhöhe mit den Hyperscalern begeben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/aa/55aa1085fca6b8cbeb7326cead80be35/0129191109v2.jpeg "Pure Storage und Rubrik integrieren die automatische Erkennung von Anomalien in den Cyber Resilience Stack. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/8b/be/8bbe1de68299429a5d1492be3e296062/0128611365v2.jpeg "Das Kritis-Dachgesetz, auch bekannt als das Gesetz zur Verbesserung der Sicherheit in der Informationstechnik in Kritischen Infrastrukturen (KRITIS), ist ein deutsches Gesetz, das darauf abzielt, die Sicherheit von kritischen Infrastrukturen zu erhöhen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/dc/c1dcf1b1bcda75f0bda9245f9e51a0b9/0125246301v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")