Cybersicherheit allein reicht nicht aus - der KRITIS-Schutz muss auch eine sichere Datenvernichtung umfassen.
Kritische Infrastrukturen sind die unsichtbaren Lebensadern unseres täglichen Lebens - solange sie funktionieren, nehmen wir sie kaum wahr, aber ohne sie bricht alles zusammen. Sie umfassen Einrichtungen und Systeme, die für das Funktionieren der Gesellschaft unerlässlich sind, wie Strom- und Wasserversorgung, Lebensmittel, Gesundheitswesen, Verkehr, Finanzen oder Telekommunikation.
In diesen Sektoren werden täglich große Mengen sensibler Daten erzeugt. Während digitale Sicherheitsmaßnahmen heute zum Standard gehören, wird die physische Datenvernichtung oft unterschätzt. Alte Dateien, Festplatten, USB-Sticks oder Magnetbänder enthalten vertrauliche Informationen, die bei unsachgemäßer Entsorgung ein erhebliches Risiko darstellen können.
Kritische Infrastrukturen stehen heute zunehmend unter Druck - nicht nur durch Naturkatastrophen wie Starkregen oder Erdbeben, Pandemien oder geopolitische Konflikte, sondern vor allem durch Cyberangriffe und gezielten Datendiebstahl, die zu einer der größten Bedrohungen geworden sind. Gestohlene Patientendaten, kompromittierte Finanzinformationen oder manipulierte Verwaltungsdateien können ganze Bereiche der Gesellschaft destabilisieren. Sabotageakte und hybride Bedrohungen zeigen, dass der Schutz kritischer Infrastrukturen nicht mehr nur eine Frage der physischen Sicherheit ist, sondern in erster Linie eine Frage der Informationssicherheit.
In vielen Ländern gab es bisher eine Vielzahl von Vorschriften, Standards und Normen, die sektorspezifisch, uneinheitlich und oft nicht verbindlich waren. Es fehlte ein kohärenter, international kompatibler Rechtsrahmen, was die Abwehr von Cyberangriffen und Datenschutzverletzungen sowie den Nachweis der Compliance gegenüber Behörden oder Gerichten erschwerte. Einheitliche Regeln und verbindliche Compliance-Anforderungen sind daher unerlässlich, um sicherzustellen, dass Betreiber und Staaten rechtlich geschützt sind.
In Europa setzen die CER-Richtlinie (EU 2022/2557) über die Widerstandsfähigkeit kritischer Einrichtungen und die NIS-2-Richtlinie über Netz- und Informationssicherheit verbindliche Standards. Auch in anderen Ländern wie den USA, Kanada oder Australien gibt es Gesetze, die den Schutz sensibler Infrastrukturen und den Umgang mit Datenschutzverletzungen regeln. Ohne gesetzliche Verpflichtungen für Risikomanagement, Meldepflichten und Schutzmaßnahmen bleibt die Abwehr kritischer Bedrohungen international unvollständig.
Moderne Vorschriften verfolgen ein doppeltes Ziel: Kritische Dienste müssen bei Angriffen oder Ausfällen funktionsfähig bleiben oder schnell wiederhergestellt werden, und die rechtlichen Rahmenbedingungen müssen Verantwortlichkeiten, Dokumentationspflichten und Sanktionen klar definieren. Nur so können Betreiber sicherstellen, dass sie im Falle eines Cyberangriffs oder einer Datenpanne nicht nur technisch, sondern auch rechtlich geschützt sind.
Auf europäischer Ebene bilden die CER-Richtlinie (EU 2022/2557) und die NIS-2-Richtlinie die Grundlage für die Verbesserung der Widerstandsfähigkeit und Cybersicherheit in kritischen Sektoren. Die Mitgliedsstaaten sind verpflichtet, diese Richtlinien in nationales Recht umzusetzen. Viele Länder, wie z. B. Frankreich, die Niederlande und Spanien, haben bereits Gesetze erlassen, um den Schutz kritischer Infrastrukturen auf nationaler Ebene zu gewährleisten.
In Deutschland wird der Schutz kritischer Infrastrukturen vor allem durch das IT-Sicherheitsgesetz, das BSI-Gesetz und den Entwurf des neuen KRITIS-Rahmengesetzes geregelt. Ziel dieses Rahmengesetzes ist es, die europäischen Richtlinien, insbesondere die CER-Richtlinie und die NIS-2-Richtlinie, in nationales Recht umzusetzen und die bisher zersplitterten Regelungen zu vereinheitlichen. Damit wird ein sektorübergreifender Rechtsrahmen geschaffen, der sowohl die physische Sicherheit als auch die Cyber-Resilienz für kritische Einrichtungen gewährleistet, einschließlich der Anforderungen an die IT-Sicherheit, das Risiko- und Notfallmanagement und die Meldung von Vorfällen. Sie verpflichtet die Betreiber, sensible Informationen zu schützen, einschließlich der physischen Datenvernichtung.
In den Vereinigten Staaten wurden kurz nach den Anschlägen vom 11. September 2001 umfassende Vorschriften zum Schutz kritischer Infrastrukturen eingeführt. Zu den wichtigsten Behörden gehören das Department of Homeland Security (DHS) und die Cybersecurity and Infrastructure Security Agency (CISA). Zu den rechtlichen Rahmenbedingungen gehören der USA PATRIOT Act, in dem 16 kritische Infrastrukturbereiche definiert sind, und die Presidential Policy Directive 21 (PPD-21). Der Schwerpunkt liegt auf dem Schutz vor Terrorismus, Cyberangriffen und Naturkatastrophen. Betreiber sensibler Infrastrukturen sind außerdem durch Gesetze wie HIPAA (Gesundheitswesen), GLBA (Finanzsektor) und FACTA verpflichtet, sensible Daten sicher zu vernichten. Standards wie NIST SP 800-88 enthalten Richtlinien für die physische Vernichtung von Datenträgern, die sicherstellen, dass Dokumente, Festplatten oder andere Speichermedien nicht missbraucht werden können.
Seit 2009 verfolgt Kanada seine eigene nationale Strategie für kritische Infrastrukturen, die auf einer engen Zusammenarbeit zwischen Bundes-, Provinz- und privaten Akteuren beruht. Die Schwerpunkte sind Cybersicherheit, Katastrophenvorsorge und Schutz vor terroristischen Bedrohungen.
Australien erließ 2018 das Gesetz über die Sicherheit kritischer Infrastrukturen (Security of Critical Infrastructure Act, SOCI Act), das 2021 weiter verschärft wurde. Betreiber in den Sektoren Energie, Wasser, Kommunikation, Gesundheit und Verkehr sind verpflichtet, spezifische Sicherheits- und Resilienzmaßnahmen umzusetzen.
In Japan regelt der Basic Act on Cybersecurity zusammen mit anderen nationalen Strategien den Schutz kritischer Infrastrukturen. Besonderes Augenmerk liegt dabei auf den Bereichen Energie, Verkehr und Finanzen - Sektoren, die besonders anfällig für Naturkatastrophen wie Erdbeben und Tsunamis sind.
Viele andere Länder, darunter Großbritannien, Israel und Singapur, haben eigene Programme zum Schutz kritischer Infrastrukturen (CIP) entwickelt. Internationale Organisationen wie die NATO und die OECD geben ebenfalls Richtlinien und Empfehlungen heraus, um den Schutz kritischer Infrastrukturen auf globaler Ebene zu koordinieren.
Auch Betreiber kritischer Infrastrukturen mit modernster IT-Sicherheit bleiben verwundbar, wenn physische Datenträger nicht sicher und dauerhaft vernichtet werden. Unsachgemäß entsorgte Dokumente, Serverfestplatten oder mobile Speichermedien können zu großen Datenlecks führen. In KRITIS-Sektoren wie Energie, Gesundheitswesen oder öffentlicher Verwaltung können solche Vorfälle nicht nur wirtschaftliche Folgen haben, sondern auch die Versorgungssicherheit, die öffentliche Ordnung und das öffentliche Vertrauen gefährden.
Um diese Risiken zu mindern, stehen mehrere Methoden zur Verfügung:
Schreddern von Dokumenten: Vertrauliche Akten, Pläne oder gedruckte Daten werden geschreddert, um eine Rekonstruktion zu verhindern.
Entmagnetisierung: Durch starke Magnetfelder werden Daten auf Festplatten, Magnetbändern und ähnlichen Medien unwiderruflich gelöscht.
Physische Zerstörung: Speichermedien wie Server-HDDs, SSDs, USB-Sticks oder optische Medien können geschreddert oder granuliert werden, um eine vollständige Zerstörung zu gewährleisten, selbst bei beschädigten oder verschlüsselten Geräten.
In kritischen Infrastrukturen verhindern diese Maßnahmen, dass sensible Informationen über Kontrollsysteme, Patientenversorgung oder Finanzströme in die falschen Hände geraten.
Der Schutz sensibler Daten in KRITIS-Bereichen unterliegt weltweit strengen gesetzlichen Anforderungen:
Europa: GDPR, DIN 66399, ISO/IEC 21964, sowie die NIS-2- und CER-Richtlinien.
USA: Branchenspezifische Vorschriften wie HIPAA, GLBA und CISA-Anforderungen für Energie und Transport.
International: Informationssicherheitsstandards wie ISO/IEC 27001 und sektorspezifische Compliance-Anforderungen für Betreiber kritischer Infrastrukturen.
Die obligatorische Berichterstattung über Vorfälle unterstreicht die Notwendigkeit einer nachweisbaren und überprüfbaren Datenvernichtung zusätzlich.
Gesundheitswesen: Patientenakten und medizinische Daten, deren Missbrauch Leben gefährden kann.
Energieversorgung: Betriebs- und Steuerungsdaten, die für die Netzstabilität und Versorgungssicherheit entscheidend sind.
Finanzwesen: Transaktionsdaten und Kundeninformationen, die für die finanzielle Stabilität unerlässlich sind.
Verkehr und Verwaltung: Schutz von vertraulichen Verwaltungsunterlagen, Logistikdaten und sicherheitsrelevanten Informationen.
Die physische Datenvernichtung ist eine Schlüsselkomponente zur Gewährleistung der Widerstandsfähigkeit kritischer Infrastrukturen. In Kombination mit digitalen Schutzmaßnahmen wie Verschlüsselung, Netzwerküberwachung und Zugangskontrollen entsteht so ein umfassender Sicherheitsansatz, der sowohl internationalen Standards als auch den spezifischen Anforderungen der KRITIS-Sektoren gerecht wird.
👉 Weitere Informationen: NIS-2-Richtlinie: Stärkung der Cybersicherheit in ganz Europa ab 17. Oktober 2024