BSI: KRITIS-Infrastrukturen 2024 besonders gefährdet

Wie das BSI mitteilt, haben die Cybersicherheitsvorfälle auf kurz KRITIS genannte kritische Infrastrukturen 2024 massiv zugenommen. Nicht alle sind jedoch auf Angriffe von außen zurückzuführen.

Das Wichtigste in Kürze

• 769 KRITIS-Vorfälle 2024: Ein Plus von 43 Prozent gegenüber 537 Meldungen im Vorjahr.
• Meldepflicht: Betreiber kritischer Infrastrukturen müssen jeden Vorfall an das BSI melden.
• Nicht alles Cyberangriffe: Nicht jeder Vorfall geht auf externe Angreifer zurück – auch technisches Versagen und menschliche Fehler spielen eine Rolle.
• Sektoren betroffen: Gesundheit, Energie, Wasser, Kommunikation, Verkehr und Notfallversorgung.
• NIS2 erhöht den Druck: Die EU-Richtlinie verschärft die Anforderungen an KRITIS-Betreiber ab 2025.

Kritische Infrastrukturen beinhalten solche für die Gesundheits-, Energie- und Wasserversorgung, für Information und Kommunikation, für Verkehrs- und Transportwesen sowie für die Notfallversorgung und die Landessicherheit. Diese sind im wachsenden Maße Angriffsziele von Cyberkriminellen, aber auch durch die Fahrlässigkeit von Mitarbeitenden bedroht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2024 nach eigenen Angaben 769 Meldungen über KRITIS-Cybersicherheitsvorfälle erhalten. Das geht aus einer Antwort der Bundesregierung auf Anfrage der FDP-Fraktion im Bundestag hervor, wie heise online berichtet.

Ein Plus von 43 Prozent

Und das ist ein deutliches Plus von 43 Prozent gegenüber den 537 Vorfällen 2023, während die Anstiege 2022 und 2021 mit 13 respektive 12 Prozent noch vergleichsweise gering ausfielen. Dabei haben Cyberkriminelle gerade die Corona-Krise genutzt, um ihre Angriffe auf Unternehmen und staatliche Institutionen zu verschärfen. Betreiber von Anlagen und Einrichtungen, die als kritische Infrastrukturen gelten, haben die Verpflichtung, jederlei Vorfall dem BSI zu melden.

Wie die Bundesregierung in der Antwort auf die FDP-Anfrage betont, ist aber nicht jeder Vorfall zwingend auf einen Cyberangriff zurückzuführen und habe nicht jeder Betreiber aufklären können, ob es sich um einen Cyberangriff handelte oder der Sicherheitsvorfall möglicherweise auf andere Ursachen zurückzuführen ist. Es sei auch nicht bekannt, wie viele der Vorfälle auf staatliche Akteure oder menschliches Versagen zurückgehen.

Welche Sektoren sind besonders betroffen?

Obwohl die Bundesregierung keine detaillierte Aufschlüsselung nach Sektoren veröffentlicht hat, zeigen Erfahrungswerte und BSI-Lageberichte vergangener Jahre klare Schwerpunkte. Der Gesundheitssektor ist besonders verwundbar – Krankenhäuser und Kliniken arbeiten häufig mit veralteter IT-Infrastruktur und stehen unter hohem Zeitdruck, was die Anfälligkeit für Ransomware erhöht. Der Energiesektor ist durch die zunehmende Digitalisierung von Netzsteuerung und Smart Grids exponiert. Auch Wasser- und Abwasserbetriebe, die oft kommunal betrieben werden, verfügen selten über dedizierte Security-Teams.

NIS2 verschärft die Anforderungen

Mit der EU-Richtlinie NIS2, die in Deutschland über das NIS-2-Umsetzungsgesetz ab 2025 wirksam wird, kommen auf KRITIS-Betreiber deutlich strengere Pflichten zu. Dazu gehören erweiterte Meldepflichten (24 Stunden für Erstwarnungen), verpflichtendes Risikomanagement, Lieferketten-Security und persönliche Haftung der Geschäftsführung. Die Zahl der betroffenen Unternehmen steigt von bisher rund 4.500 auf geschätzt 30.000.

Was Unternehmen jetzt tun sollten

KRITIS-Betreiber sollten ihre Incident-Response-Pläne überprüfen und an die NIS2-Anforderungen anpassen. Zentral sind die Einrichtung eines Security Operations Center (SOC) oder die Beauftragung eines Managed Security Service Providers, regelmäßige Penetrationstests, die Segmentierung kritischer Netzwerke und die Schulung aller Mitarbeitenden. Das BSI bietet mit dem IT-Grundschutz-Kompendium eine strukturierte Orientierungshilfe.

Key Facts auf einen Blick

KRITIS-Vorfälle 2024: 769 Meldungen an das BSI

Anstieg zum Vorjahr: +43 Prozent (2023: 537 Vorfälle)

Anstieg 2022: +13 Prozent, 2021: +12 Prozent

KRITIS-Sektoren: Gesundheit, Energie, Wasser, IT/TK, Verkehr, Notfallversorgung, Landessicherheit

NIS2: Erweiterte Meldepflichten, Risikomanagement, Geschäftsführer-Haftung ab 2025

Betroffene Unternehmen: Von ~4.500 auf ~30.000 (durch NIS2)

Quelle: BSI-Meldungen 2024, Antwort der Bundesregierung auf FDP-Anfrage

Fakt: Das BSI registrierte 2024 insgesamt 726 Meldungen zu IT-Sicherheitsvorfällen in KRITIS-Betrieben – ein Anstieg von 18 Prozent zum Vorjahr.

Fakt: Laut Dragos wurden 2024 weltweit 70 Prozent mehr Angriffe auf industrielle Steuerungssysteme (ICS) verzeichnet als im Vorjahr.

Häufige Fragen

Was sind kritische Infrastrukturen (KRITIS)?

KRITIS umfasst Einrichtungen und Anlagen, deren Ausfall erhebliche Auswirkungen auf das Gemeinwohl hätte. Dazu gehören die Sektoren Gesundheit, Energie, Wasser, IT und Telekommunikation, Verkehr, Ernährung, Finanzwesen und öffentliche Verwaltung. In Deutschland regelt das BSI-Gesetz die Meldepflichten.

Warum sind KRITIS-Vorfälle 2024 so stark gestiegen?

Der Anstieg um 43 Prozent hat mehrere Ursachen: Die zunehmende Digitalisierung von KRITIS-Infrastrukturen vergrößert die Angriffsfläche, Ransomware-Gruppen zielen gezielt auf Einrichtungen mit hohem Zahlungsdruck, und die Sensibilisierung für Meldepflichten hat zugenommen – mehr Vorfälle werden erkannt und gemeldet.

Sind alle KRITIS-Vorfälle Cyberangriffe?

Nein. Die Bundesregierung betont, dass nicht jeder gemeldete Vorfall auf einen Cyberangriff zurückzuführen ist. Technisches Versagen, Fehlkonfigurationen und menschliche Fehler können ebenfalls zu meldepflichtigen Vorfällen führen. Nicht bei allen Vorfällen konnte die Ursache abschließend geklärt werden.

Was ändert sich durch NIS2 für KRITIS-Betreiber?

NIS2 erweitert den Kreis der betroffenen Unternehmen auf geschätzt 30.000 und verschärft die Pflichten: 24-Stunden-Erstmeldung, verpflichtendes Risikomanagement, Lieferketten-Security-Prüfungen und persönliche Haftung der Geschäftsführung bei Verstößen. Bußgelder können bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes betragen.

An wen melden KRITIS-Betreiber Sicherheitsvorfälle?

Die zentrale Meldestelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Betreiber sind verpflichtet, erhebliche Störungen unverzüglich zu melden. Das BSI wertet die Meldungen aus, koordiniert bei Bedarf die Reaktion und veröffentlicht aggregierte Lagebilder.

Weiterführende Lektüre im Netzwerk

NIS2 in Deutschland – Handlungsbedarf für Unternehmen: NIS2: Jetzt handeln (Security Today)

Cloud-Sicherheit für kritische Infrastrukturen: cloudmagazin.com

KRITIS-Strategien auf C-Level-Ebene: digital-chiefs.de

Verwandte Artikel

• Cyber Warfare 2026: Wenn Staaten digital aufrüsten
• Palantir und die Zukunft der Cyberabwehr: KI als strategische Waffe
• Case Study: Krankenhaus stoppt Cyberangriff dank OT-Segmentierung

Quelle Titelbild: Adobe Stock

Hier schreibt Klaus Hauptfleisch für Sie

Mehr Artikel vom Autor Klaus Hauptfleisch