BSI

Umfassender Rahmen für Sicherheit und Hochverfügbarkeit

Verfügbarkeit / Hochverfügbarkeit

Hochverfügbarkeit für Kritische Infrastrukturen: Der ganzheitliche Sicherheits- und Hochverfügbarkeitsrahmen des BSI

BSI-Rahmenwerk: Ganzheitlicher Sicherheits- und Hochverfügbarkeitsansatz
BSI-Rahmenwerk: Ganzheitlicher Sicherheits- und Hochverfügbarkeitsansatz

Die Sicherstellung der Verfügbarkeit kritischer Infrastrukturen gehört zu den zentralen Herausforderungen der modernen Informationsgesellschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfassenden Rahmen entwickelt, der technische, organisatorische und prozessuale Maßnahmen zur Gewährleistung der Hochverfügbarkeit in kritischen Infrastrukturen kombiniert. Dieser Artikel beleuchtet die Konzepte, Anforderungen und aktuellen Entwicklungen im Bereich der BSI-Hochverfügbarkeit für KRITIS-Betreiber.

Grundlagen der Hochverfügbarkeit im BSI-Kontext

Definition und Konzept

Das BSI definiert Verfügbarkeit als die Eigenschaft von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen sowie von Informationen, von Anwendern stets wie vorgesehen genutzt werden zu können. Hochverfügbarkeit geht dabei über die normale Verfügbarkeit hinaus und setzt voraus, dass bereits die Maßnahmen der Standardabsicherung des IT-Grundschutzes vollständig umgesetzt sind.

Der ganzheitliche Ansatz des BSI zur Hochverfügbarkeit berücksichtigt nicht nur technische Aspekte, sondern integriert auch:

  • Infrastrukturelle Komponenten: Bauliche und technische Strukturen von Rechenzentren
  • Organisatorische Prozesse: Management- und Steuerungsprozesse für den IT-Betrieb
  • Personelle Faktoren: Qualifikation und Schulung der beteiligten Mitarbeiter
  • Prozessuale Aspekte: Business Continuity Management und Notfallmanagement

Verfügbarkeitsklassen nach BSI

Das BSI unterscheidet verschiedene Verfügbarkeitsklassen (VK), die sich an der Zielverfügbarkeit orientieren:

  • VK 0: Keine festgelegte Verfügbarkeit garantiert
  • VK 1: 99% Verfügbarkeit (bis zu 3,65 Tage Ausfall pro Jahr)
  • VK 2: 99,9% Verfügbarkeit (bis zu 8,76 Stunden Ausfall pro Jahr)
  • VK 3: 99,99% Verfügbarkeit (bis zu 52,56 Minuten Ausfall pro Jahr) – Hochverfügbar
  • VK 4: 99,999% Verfügbarkeit (bis zu 5,25 Minuten Ausfall pro Jahr) – Höchstverfügbar
  • VK 5: Keine Ausfallzeit akzeptabel

Diese Klassifizierung basiert auf dem bekannten 9er-System, wurde jedoch vom BSI für eine präzisere Anwendung im öffentlichen Sektor und bei kritischen Infrastrukturen angepasst.

Das BSI-Hochverfügbarkeitskompendium

Historische Entwicklung

Mit dem Hochverfügbarkeitskompendium (HV-Kompendium) stellte das BSI IT-Verantwortlichen ein umfassendes Hilfsmittel zur Gestaltung hochverfügbarer IT-Architekturen bereit. Die letzte Aktualisierung erfolgte 2013 mit der Version 1.6. Obwohl das Kompendium in vielen Teilen nicht mehr dem aktuellen Stand der Technik entspricht und zurückgezogen wurde, bleibt Band G wegen seiner grundlegenden und weiterhin zutreffenden Inhalte verfügbar.

Band G: Grundlagen und Methodik

Band G des HV-Kompendiums beschreibt folgende zentrale Ansätze:

  1. Analyse kritischer Geschäftsprozesse: Methoden zur Identifikation und Bewertung geschäftskritischer Prozesse und deren IT-Abhängigkeiten
  2. Design hochverfügbarer IT-Services: Architekturprinzipien und Designmuster für hochverfügbare Systeme
  3. IT-Steuerung auf Basis von Reifegradmodellen: Strukturierter Ansatz zur kontinuierlichen Verbesserung der IT-Reife

Der ganzheitliche Ansatz berücksichtigt dabei die unternehmerische und öffentlich ordnende Sicht auf Verfügbarkeit und behandelt diese nicht nur als technisches, sondern auch als organisatorisches und strategisches Thema.

Aktuelle Regelwerke und Standards

RZ-Verfügbarkeitsmaßnahmen

Im September 2022 veröffentlichte das BSI in Version 1.0 die „RZ-Verfügbarkeitsmaßnahmen„, die sich vornehmlich mit der baulich-technischen Struktur hochverfügbarer Rechenzentren befassen. Diese ergänzen die im Jahr 2024 aktualisierten „Kriterien für die Standortwahl von Rechenzentren“, die die äußeren Beziehungen von Rechenzentren zu ihrer Umgebung sowie Redundanz-Beziehungen zwischen Rechenzentren behandeln.

Die RZ-Verfügbarkeitsmaßnahmen können ergänzend zu den Umsetzungshinweisen der IT-Grundschutz-Bausteine INF.1 bis INF.6 sowie INF.12 verwendet werden und bieten praktische Orientierung für Planer und Betreiber.

HV-Benchmark

Ende 2023 veröffentlichte das BSI das neue „Bewertungsschema zur Bestimmung der Verlässlichkeit von IT-Dienstleistungen unter besonderer Berücksichtigung von Aspekten der Hochverfügbarkeit“ (HV-Benchmark). Dieses strukturierte Verfahren ermöglicht es, mit vertretbarem Ressourceneinsatz eine fundierte Aussage zur Verlässlichkeit von IT-Dienstleistungen zu treffen.

Wesentliche Merkmale des HV-Benchmark:

  • Bewertung anhand von 34 besonders relevanten Aspekten der IT-Sicherheit
  • Verwendung von Reifegradmodellen zur Messung
  • Mindestanforderung: Niveau der Standard-Absicherung nach IT-Grundschutz
  • Ganzheitlicher Ansatz zur Informationssicherheit für Rechenzentren des Bundes

Das BSI betont, dass die Einhaltung der vorgegebenen Mindestwerte für ein angemessenes IT-Sicherheitsniveau notwendig, aber in der Regel nicht hinreichend ist. Organisationen müssen in Eigenregie höhere Sollwerte unter Berücksichtigung des individuellen Schutzbedarfs festlegen.

Integration in das KRITIS-Rahmenwerk

Gesetzliche Grundlagen

Die rechtliche Basis für Hochverfügbarkeitsanforderungen bei kritischen Infrastrukturen bildet das BSI-Gesetz (BSIG) in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV). Das IT-Sicherheitsgesetz von 2015 und dessen Weiterentwicklung durch das IT-Sicherheitsgesetz 2.0 von 2021 haben die Anforderungen kontinuierlich erweitert.

Anforderungen nach § 8a BSIG

KRITIS-Betreiber müssen gemäß § 8a BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme treffen. Diese Vorkehrungen müssen dem Stand der Technik entsprechen und die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Systeme gewährleisten.

Zentrale Elemente der Anforderungen:

  1. Risikomanagement: Identifikation, Bewertung und Behandlung von IT-Risiken im Zusammenhang mit kritischen Dienstleistungen
  2. Technische Schutzmaßnahmen: Implementierung von Redundanzen, Backup-Systemen und Hochverfügbarkeitslösungen
  3. Organisatorische Maßnahmen: Etablierung von Prozessen für Incident Management, Business Continuity und Notfallmanagement
  4. Systeme zur Angriffserkennung (SzA): Frühzeitige Erkennung und Reaktion auf Sicherheitsvorfälle

Konkretisierung der Anforderungen (KdA)

Das BSI hat in Zusammenarbeit mit dem Institut der Wirtschaftsprüfer (IDW) einen umfassenden Anforderungskatalog entwickelt, der die Vorgaben des § 8a BSIG konkretisiert. Dieser Katalog basiert auf dem Cloud Computing Compliance Criteria Catalogue (C5) und wurde 2024 aktualisiert, um auch die Anforderungen für Angriffserkennung und die neuen Reifegrade zu integrieren.

Schwerpunkte der KdA für Hochverfügbarkeit:

  • Design und Implementierung redundanter Systeme
  • Failover-Mechanismen und automatische Wiederherstellung
  • Georedundanz und Disaster Recovery
  • Kapazitätsmanagement und Lastverteilung
  • Monitoring und Performance Management
  • Regelmäßige Tests der Hochverfügbarkeitsmaßnahmen

Neueste Entwicklungen 2024/2025

Reife- und Umsetzungsgradbewertung (RUN)

Am 2. Januar 2025 veröffentlichte das BSI die „Konkretisierung der Reife- und Umsetzungsgrade für die Nachweisprüfung“ (RUN), die ab dem 1. April 2025 für KRITIS-Prüfungen verbindlich wird. Dieses Dokument harmonisiert die Reifegrade für:

  • Informationssicherheitsmanagementsysteme (ISMS)
  • Business Continuity Management Systeme (BCMS)
  • Systeme zur Angriffserkennung (SzA)

Die RUN-Publikation integriert vollständig die Anforderungen aus der Orientierungshilfe zu Systemen zur Angriffserkennung und schafft damit einen einheitlichen Bewertungsrahmen für die verschiedenen Sicherheitsdimensionen.

Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)

Im März 2025 aktualisierte das BSI die „Grundsätzlichen Anforderungen im Nachweisverfahren“ (GAiN) auf Version 2.1. Diese definieren die verpflichtenden Anforderungen gemäß § 8a Absatz 5 BSIG und enthalten nun auch spezifische Anforderungen an Rechenzentren der Anlagenkategorie „Rechenzentrum“.

Wesentliche Neuerungen:

  • Konkretisierte Anforderungen an die Verfügbarkeit von Rechenzentrumsinfrastrukturen
  • Vorgaben zur Dokumentation von Hochverfügbarkeitsmaßnahmen
  • Erweiterte Anforderungen an Tests und Übungen
  • Klarstellungen zur Behandlung ausgelagerter Dienstleistungen

Reduzierung des Nachweisumfangs

Ab dem 1. April 2025 gelten Erleichterungen für KRITIS-Nachweise. Der Umfang der Nachweiseinreichung wurde reduziert, um den administrativen Aufwand für Betreiber zu verringern, ohne dabei das Sicherheitsniveau zu kompromittieren. Die Nachweise können digital über das Melde- und Informationsportal (MIP) des BSI eingereicht werden.

NIS-2-Umsetzung und ihre Auswirkungen

Die Umsetzung der EU-Richtlinie NIS-2 (Network and Information Security Directive) in deutsches Recht steht kurz vor dem Abschluss. Der Bundestag beschloss im November 2025 das NIS-2-Umsetzungsgesetz, das voraussichtlich Ende 2025 oder Anfang 2026 in Kraft tritt.

Auswirkungen auf Hochverfügbarkeitsanforderungen:

  • Ausweitung des Adressatenkreises auf über 30.000 Unternehmen in Deutschland
  • Erhöhte Anforderungen an Risikomanagement und Business Continuity
  • Strengere Meldepflichten bei Sicherheitsvorfällen
  • Verpflichtung zur Implementierung von Maßnahmen zur Sicherstellung der Betriebskontinuität
  • Erweiterte Anforderungen an die Lieferkettensicherheit

KRITIS-Dachgesetz

Das im September 2025 vom Bundeskabinett verabschiedete KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um und ergänzt die bisherigen Cybersecurity-Anforderungen um Aspekte der physischen Sicherheit und ganzheitlichen Resilienz.

Relevante Aspekte für Hochverfügbarkeit:

  • Erweiterte Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
  • Anforderungen an physische Sicherheitsmaßnahmen von Rechenzentren
  • Verpflichtung zur Durchführung von Risikoanalysen, die physische und Cyber-Bedrohungen integrieren
  • Resilienzstandards für kritische Anlagen

Modernisierung des IT-Grundschutzes

Das BSI hat 2024/2025 eine umfassende Modernisierung des IT-Grundschutzes eingeleitet. Die wichtigsten Änderungen umfassen:

Digitales Regelwerk:

  • Übergang vom IT-Grundschutz-Kompendium zu einem digitalen, maschinenlesbaren Regelwerk
  • Automatisierbare Sicherheitsprozesse durch standardisierte Erfassung von Anforderungen
  • Flexible Leistungszahlen statt starrer Absicherungsstufen (Basis, Standard, erhöhter Schutzbedarf)

Checklisten-basierter Ansatz:

  • Automatische Generierung von Checklisten aus den Anforderungen
  • Schnellere Umsetzung grundlegender Sicherheitsanforderungen für kleine Organisationen
  • Schrittweiser Aufbau eines vollwertigen ISMS für größere Organisationen

Stand der Technik:

  • Hinterlegung von Metadaten zum Stand der Technik für alle Anforderungen
  • Automatisierte Prüfungen und Warnungen bei Abweichungen durch ISMS-Tools

Praktische Umsetzung von Hochverfügbarkeit

Designprinzipien

Die Umsetzung von Hochverfügbarkeit in kritischen Infrastrukturen folgt bewährten Designprinzipien:

1. Redundanz auf allen Ebenen

  • Hardware-Redundanz: Doppelte oder mehrfache Auslegung kritischer Komponenten
  • Netzwerk-Redundanz: Mehrere unabhängige Verbindungswege
  • Standort-Redundanz: Georedundante Rechenzentren mit ausreichendem Abstand
  • Daten-Redundanz: Replizierte Datenhaltung mit konsistenten Backup-Strategien

2. Fehlertoleranz und automatische Wiederherstellung

  • Failover-Mechanismen mit minimaler Ausfallzeit
  • Automatische Fehlererkennung und -behebung
  • Selbstheilende Systeme durch intelligente Automatisierung

3. Skalierbarkeit und Lastverteilung

  • Horizontal skalierbare Architekturen
  • Load Balancing zur Vermeidung von Überlastungen
  • Elastische Ressourcenzuweisung bei Bedarfsspitzen

4. Monitoring und Alerting

  • Kontinuierliche Überwachung aller kritischen Komponenten
  • Proaktive Identifikation von Anomalien
  • Definierte Eskalationspfade bei Schwellenwertüberschreitungen

Standortwahl für hochverfügbare Rechenzentren

Die 2024 aktualisierten BSI-Kriterien zur Standortwahl berücksichtigen verschiedene Gefährdungsfaktoren:

Naturgefahren:

  • Hochwasserrisiken (Jahrhunderthochwasser an Elbe, Donau, Rhein)
  • Erdbebenrisiken (Berücksichtigung seismischer Aktivitäten)
  • Extremwetterereignisse (Stürme, Unwetter)

Infrastrukturelle Faktoren:

  • Verfügbarkeit redundanter Energieversorgung
  • Anbindung an mehrere Telekommunikationsnetze
  • Erreichbarkeit für Wartungs- und Notfallpersonal
  • Mindestabstände zwischen georedundanten Rechenzentren

Sicherheitsaspekte:

  • Abstand zu potenziellen Gefahrenquellen (Industrieanlagen, Flughäfen)
  • Zutrittskontrolle und physische Sicherheit
  • Konformität mit Verschlusssachenanweisung (VSA) bei Bedarf

Business Continuity und Notfallmanagement

Ein integrales Element der Hochverfügbarkeit ist das Business Continuity Management (BCM), das sicherstellt, dass kritische Geschäftsprozesse auch bei größeren Störungen fortgeführt werden können.

Kernelemente eines BCMS:

  1. Business Impact Analyse (BIA): Identifikation und Bewertung kritischer Geschäftsprozesse und ihrer Abhängigkeiten
  2. Risiko-Assessment: Bewertung von Bedrohungen und Verwundbarkeiten
  3. Kontinuitätsstrategien: Entwicklung von Maßnahmen zur Aufrechterhaltung kritischer Funktionen
  4. Notfallpläne: Dokumentierte Verfahren für verschiedene Ausfallszenarien
  5. Tests und Übungen: Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen
  6. Kontinuierliche Verbesserung: Anpassung an neue Bedrohungen und technologische Entwicklungen

Integration von Virtualisierung und Cloud Computing

Moderne Hochverfügbarkeitskonzepte nutzen zunehmend Virtualisierung und Cloud-Computing-Technologien. Diese ermöglichen:

Vorteile für Hochverfügbarkeit:

  • Schnellere Bereitstellungszeiten durch automatisierte Provisionierung
  • Entkopplung von Hardware und Betriebssystemen/Anwendungen
  • Einfachere Migration und Failover-Prozesse
  • Elastische Skalierung bei Lastspitzen
  • Zentrale Verwaltung und Überwachung

Herausforderungen:

  • Komplexität virtualisierter Umgebungen
  • Abhängigkeit von Virtualisierungsplattformen
  • Sicherheitsaspekte bei Multi-Tenancy
  • Performance-Overhead durch Virtualisierung

Das BSI hat spezifische Sicherheitsanforderungen für Cloud Computing definiert, die im C5-Katalog (Cloud Computing Compliance Criteria Catalogue) zusammengefasst sind und auch Aspekte der Hochverfügbarkeit adressieren.

Branchenspezifische Sicherheitsstandards (B3S)

Das BSI bietet Betreibern kritischer Infrastrukturen die Möglichkeit, branchenspezifische Sicherheitsstandards (B3S) zu entwickeln und anerkennen zu lassen. Diese Standards berücksichtigen die besonderen Anforderungen und technischen Gegebenheiten einzelner Branchen und können als Nachweis für die Erfüllung der gesetzlichen Anforderungen dienen.

Vorteile von B3S:

  • Berücksichtigung branchenspezifischer Besonderheiten
  • Höhere Akzeptanz bei betroffenen Unternehmen
  • Praktikablere Umsetzungshinweise
  • Nutzung von Branchenexpertise

Aktuelle B3S-Standards:

  • IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG für die Energieversorgung
  • Branchenstandards für Wasserversorgung
  • Sektorspezifische Standards für Gesundheitswesen und Finanzsektor

Prüfung und Nachweis

Nachweisverfahren nach § 8a BSIG

KRITIS-Betreiber sind verpflichtet, alle zwei Jahre nachzuweisen, dass sie die gesetzlich geforderten Sicherheitsvorkehrungen umgesetzt haben. Der Nachweis kann durch verschiedene Verfahren erbracht werden:

1. Prüfung durch qualifizierte Prüfer:

  • Wirtschaftsprüfer
  • Prüfungsverbände
  • Sachverständige mit entsprechender Qualifikation

2. Sicherheitsaudit:

  • Nach ISO 27001 (nativ oder auf Basis von IT-Grundschutz)
  • Nach branchenspezifischen Sicherheitsstandards (B3S)

3. Zertifizierung:

  • ISO 27001-Zertifizierung
  • BSI-IT-Grundschutz-Zertifizierung

Bewertung der Reife- und Umsetzungsgrade

Die ab April 2025 verbindliche RUN-Publikation definiert für drei Bereiche jeweils fünf Reifegrade:

Informationssicherheitsmanagementsystem (ISMS):

  • Reifegrad 1: Initial/Ad hoc
  • Reifegrad 2: Reproduzierbar
  • Reifegrad 3: Definiert
  • Reifegrad 4: Gemanagt
  • Reifegrad 5: Optimiert

Business Continuity Management System (BCMS):

  • Strukturierte Bewertung der Notfallvorsorge
  • Berücksichtigung von Hochverfügbarkeitsaspekten
  • Integration mit dem ISMS

Systeme zur Angriffserkennung (SzA):

  • Bewertung der Erkennungsfähigkeiten
  • Reaktionszeiten und Eskalationsprozesse
  • Integration in das Gesamtsicherheitskonzept

Herausforderungen und Zukunftsperspektiven

Aktuelle Herausforderungen

Die Gewährleistung von Hochverfügbarkeit bei kritischen Infrastrukturen steht vor mehreren Herausforderungen:

Technologische Komplexität:

  • Zunehmende Vernetzung und Interdependenzen
  • Integration von OT (Operational Technology) und IT
  • IoT und Smart Systems in kritischen Prozessen
  • Legacy-Systeme neben modernen Architekturen

Bedrohungslage:

  • Professionelle Cyberangriffe mit staatlicher Unterstützung
  • Ransomware-Attacken auf kritische Infrastrukturen
  • Supply-Chain-Angriffe
  • Zero-Day-Exploits und Advanced Persistent Threats (APTs)

Ressourcen:

  • Fachkräftemangel im Bereich IT-Sicherheit
  • Hohe Investitionskosten für Hochverfügbarkeitslösungen
  • Komplexität der regulatorischen Anforderungen
  • Balance zwischen Sicherheit und Wirtschaftlichkeit

Zukünftige Entwicklungen

Künstliche Intelligenz und Machine Learning:

  • Automatisierte Anomalieerkennung
  • Predictive Maintenance für IT-Systeme
  • Intelligente Lastverteilung und Ressourcenoptimierung
  • KI-gestützte Incident Response

Zero Trust Architecture:

  • Abkehr vom Perimeter-basierten Sicherheitsmodell
  • Kontinuierliche Verifizierung und Authentifizierung
  • Microsegmentierung von Netzwerken
  • Least-Privilege-Prinzip auf allen Ebenen

Quantencomputing:

  • Bedrohung für klassische Verschlüsselungsverfahren
  • Post-Quantum-Kryptographie
  • Quantensichere Kommunikation für kritische Infrastrukturen

Edge Computing:

  • Dezentralisierung von Rechenkapazitäten
  • Reduzierung der Latenz für zeitkritische Anwendungen
  • Neue Herausforderungen für Hochverfügbarkeit an verteilten Standorten

Europäische und internationale Harmonisierung

Die zunehmende Vernetzung kritischer Infrastrukturen über Ländergrenzen hinweg erfordert eine Harmonisierung der Sicherheits- und Verfügbarkeitsanforderungen auf europäischer und internationaler Ebene.

EU-Initiativen:

  • NIS-2-Richtlinie: Einheitliche Cybersecurity-Standards
  • CER-Richtlinie: Resilienz kritischer Einrichtungen
  • Cyber Resilience Act: Sicherheitsanforderungen für Produkte mit digitalen Elementen
  • DORA: Digital Operational Resilience für Finanzsektor

Internationale Standards:

  • ISO/IEC 27001: Informationssicherheitsmanagementsysteme
  • ISO 22301: Business Continuity Management
  • IEC 62443: Security for industrial automation and control systems
  • NIST Cybersecurity Framework

Praktische Empfehlungen für KRITIS-Betreiber

Strategische Ebene

  1. Commitment der Geschäftsleitung: Hochverfügbarkeit muss als strategisches Ziel verankert und von der Führungsebene aktiv unterstützt werden.
  2. Ganzheitlicher Ansatz: Integration von Informationssicherheit, Business Continuity und Hochverfügbarkeit in ein kohärentes Gesamtkonzept.
  3. Risikoorientierung: Fokussierung der Maßnahmen auf die tatsächlichen Risiken basierend auf fundierten Risikoanalysen.
  4. Kontinuierliche Verbesserung: Etablierung eines Prozesses zur regelmäßigen Überprüfung und Anpassung der Maßnahmen.

Operative Ebene

  1. Redundanz implementieren: Systematischer Aufbau von Redundanzen auf allen kritischen Ebenen (Hardware, Netzwerk, Standorte, Personal).
  2. Monitoring etablieren: Implementierung umfassender Monitoring-Lösungen mit proaktiven Alerting-Mechanismen.
  3. Automatisierung nutzen: Einsatz von Automatisierung für Failover, Skalierung und Wiederherstellung.
  4. Dokumentation pflegen: Vollständige und aktuelle Dokumentation aller Systeme, Prozesse und Abhängigkeiten.
  5. Tests durchführen: Regelmäßige Tests aller Hochverfügbarkeits- und Notfallmaßnahmen unter realistischen Bedingungen.

Organisatorische Ebene

  1. Qualifikation sicherstellen: Aus- und Weiterbildung des Personals in relevanten Technologien und Prozessen.
  2. Rollen und Verantwortlichkeiten: Klare Definition von Zuständigkeiten für Hochverfügbarkeit und Notfallmanagement.
  3. Kommunikation etablieren: Effektive interne und externe Kommunikationswege für Normal- und Krisensituationen.
  4. Lieferanten managen: Sorgfältige Auswahl und Überwachung von Dienstleistern und Lieferanten hinsichtlich ihrer Verfügbarkeitsleistungen.

Fazit

Die Gewährleistung von Hochverfügbarkeit für kritische Infrastrukturen ist eine komplexe, aber unverzichtbare Aufgabe. Der ganzheitliche Sicherheits- und Hochverfügbarkeitsrahmen des BSI bietet KRITIS-Betreibern eine solide Grundlage zur systematischen Umsetzung der erforderlichen Maßnahmen.

Die aktuellen Entwicklungen mit der NIS-2-Umsetzung, dem KRITIS-Dachgesetz und der Modernisierung des IT-Grundschutzes zeigen, dass das regulatorische Umfeld dynamisch bleibt und sich kontinuierlich weiterentwickelt. KRITIS-Betreiber müssen diese Entwicklungen aktiv verfolgen und ihre Maßnahmen entsprechend anpassen.

Der Schlüssel zum Erfolg liegt in der Kombination aus:

  • Technischer Exzellenz bei der Implementierung hochverfügbarer Systeme
  • Organisatorischer Reife im Management von Informationssicherheit und Business Continuity
  • Strategischer Weitsicht bei der Antizipation zukünftiger Herausforderungen
  • Praktischem Pragmatismus bei der Balance zwischen Sicherheit und Wirtschaftlichkeit

Mit den vom BSI bereitgestellten Werkzeugen, Standards und Orientierungshilfen sind KRITIS-Betreiber gut gerüstet, um die Herausforderungen der Hochverfügbarkeit zu meistern und damit einen wesentlichen Beitrag zur Resilienz unserer Gesellschaft zu leisten.

Die im Jahr 2025 in Kraft tretenden Neuerungen – insbesondere die RUN-Publikation, die aktualisierten GAiN-Anforderungen und das modernisierte IT-Grundschutz-Regelwerk – markieren einen wichtigen Schritt in Richtung einer noch systematischeren und besser überprüfbaren Umsetzung von Hochverfügbarkeitsanforderungen. Gleichzeitig zeigen die Erleichterungen beim Nachweisverfahren, dass das BSI bestrebt ist, regulatorische Anforderungen praktikabel zu gestalten, ohne dabei Abstriche bei der Sicherheit zu machen.

In einer zunehmend digitalisierten und vernetzten Welt wird die Bedeutung hochverfügbarer kritischer Infrastrukturen weiter zunehmen. Die kontinuierliche Weiterentwicklung des BSI-Rahmenwerks trägt dazu bei, dass Deutschland auch in Zukunft über resiliente und verlässliche kritische Infrastrukturen verfügt, die den Anforderungen einer modernen Informationsgesellschaft gerecht werden.

NUTZUNG | HAFTUNG
Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte.