Schwachstellenmanagement für KRITIS: vom Meldeweg bis zum Zero-Day-Fall

Schwachstellenmanagement für KRITIS entscheidet darüber, wie belastbar die Versorgungssicherheit im Ernstfall bleibt. Dieser Leitfaden zeigt KRITIS-Betreibern aus Behörden und Wirtschaft, wie Vulnerability Management für KRITIS sektorspezifisch aufgesetzt, in den BSI-Prozess eingebunden und für OT-Umgebungen angepasst wird. Der Schwerpunkt liegt auf konkreten Entscheidungen im Betriebsalltag – vom Meldeweg bis zum Zero-Day-Fall.
Computing-Chips des KI-Zeitalters, verbunden mit Kraftwerken und Energiespeichern, deren Stromversorgung ihren Betrieb überhaupt erst möglich macht. Ein Symbolbild für Schwachstellenmanagement für KRITIS.
© Zhongyuan Chen

Schwachstellenmanagement für KRITIS: Warum Standardprozesse nicht genügen

Schwachstellenmanagement für KRITIS funktioniert anders als gewöhnliches IT-Sicherheitsmanagement. Versorgungspflichten und sektorspezifische Risiken bestimmen, wie schnell Lücken geschlossen werden müssen. Ein ausgefallener Webserver ärgert Kunden, ein ausgefallener Umspannknoten bringt ganze Regionen ins Dunkel. Laut dem BSI-Lagebericht 2024 meldeten KRITIS-Betreiber 769 erhebliche Störungen an die Aufsicht, ein neuer Höchststand. Wer hier mit einem Standardprozess arbeitet, übersieht regelmäßig die Eigenheiten kritischer Sektoren.

Neben der sektorspezifischen Bedrohungslage zählt der formelle Rahmen. Den liefert IT-Compliance in verbindlicher Form. Zwei Prinzipien entscheiden: Transparenz über den Bestand und ein lückenloser Audit-Trail für jede Entscheidung. Alles andere wird im Ernstfall nicht tragen. Wie sich Meldewege und Nachweispflichten gestalten, zeigt der Abschnitt zu BSI-Meldewegen weiter unten.

Welche Sektoren fallen unter die Schwachstellenmanagement-Pflicht?

Unter die Schwachstellenmanagement-Pflicht fallen zehn KRITIS-Sektoren nach aktueller Verordnung. Mit dem geplanten KRITIS-Dachgesetz kommt die Siedlungsabfallentsorgung als elfter Sektor hinzu. Der Katalog zeigt, wie weit sich kritische Infrastrukturen durch den Alltag ziehen:

Schwellenwerte wie die Anzahl versorgtet Einwohnerzahlen oder Bettenzahlen bestimmen die Betroffenheit – angepasst an den übergeordneten Schwachstellenmanagement-Prozess. Ein Stadtwerk trägt dieselbe Last wie ein überregionaler Übertragungsnetzbetreiber.

Schwachstellen in kritischen Infrastrukturen erkennen

Schwachstellen in kritischen Infrastrukturen tauchen dort auf, wo OT und klassische IT zusammentreffen. Ein ungesichertes Wartungsnotebook im Umspannwerk ist technisch trivial, im Ernstfall aber das Einfallstor für einen Cyberangriff auf die Leitsteuerung. Ein sauberes Schwachstellenmanagement-Konzept startet deshalb beim vollständigen Asset-Inventar aller Zonen – Leitstand, Feldebene, Büroumgebung.

Das Erkennen hängt von der Tiefe der Scans ab. Aktive Scans können alte Steuerungen zum Absturz bringen, deshalb setzt sich in der Sektorpraxis ein Mix aus passivem Monitoring und getakteten Wartungsfenstern durch. Wird das übersehen, werden Lücken erst nach dem Vorfall erkannt. Ein Vergleich zwischen vorhandenem Inventar und Scanfunden deckt genau jene Schatten-Assets auf, die in jedem KRITIS-Audit überraschend aufgedeckt werden.

Was ändert das KRITIS-Dachgesetz für das Schwachstellenmanagement?

Das KRITIS-Dachgesetz bringt erstmals eine einheitliche physische Schutzpflicht und erweitert den Kreis der Betreiber. Für das Schwachstellenmanagement bedeutet das: Dokumentierte Prozesse werden auch für Sektoren zur Pflicht, die bisher nur weiche Empfehlungen kannten. Physische und digitale Resilienz verschmelzen, etwa beim Schutz von Rechenzentren, Leitwarten oder Wasserwerken.

In der Praxis heißt das: Wer bisher nur IT-Schwachstellen gescannt hat, muss auch Zutritts- und Umgebungsrisiken ins Register aufnehmen. Gekoppelt mit der NIS-2-Pflichtenlage für KRITIS entsteht ein integrierter Rahmen für KRITIS-Resilienz, der Standardwerkzeuge an ihre Grenzen bringt.

OT und IT im Zusammenspiel

Vulnerability Management für KRITIS funktioniert nur, wenn die Leitsystem-Welt und die klassische IT gemeinsam gedacht werden. Die Herausforderung liegt im Tempo: Während IT-Teams täglich patchen, laufen Steuerungsanlagen jahrelang im Dauerbetrieb. Ein Berechtigungsmanagement mit getrennten OT- und IT-Rollen verhindert, dass ein Systemadministrator versehentlich eine Pumpensteuerung rebootet.

Gerade in sektorgemischten Organisationen – etwa einem kommunalen Versorger mit eigener Rechenzentrumssparte – sind doppelte Zuständigkeiten die Regel. Ein sauber aufgesetztes Schwachstellenmanagement zieht die Grenze zwischen beiden Welten und bildet sie als getrennte Workflows ab. So landet eine Firmware-Warnung für ein Relais nicht versehentlich im Hotfix-Ticket des Office-Teams. Der Cyber Resilience Act verstärkt diese Trennung zusätzlich, weil er maschinenlesbare Schwachstellenhinweise vom Hersteller verlangt.

Welche Besonderheiten gelten für das Schwachstellenmanagement in OT-Umgebungen?

Das Schwachstellenmanagement in OT-Umgebungen ist geprägt von Verfügbarkeitszwang, proprietärer Firmware und langen Lebenszyklen. Ein aktiver Scan kann eine SPS in den Fehlerzustand versetzen, ein simples Update-Fenster existiert selten. Die Praxis zeigt wiederkehrende Merkmale:

Wer dort mit Standardtools arbeitet, erzeugt Fehlalarme und übersieht die tatsächlichen Risiken. Das Patch Deployment für KRITIS setzt auf dieselben Vorarbeiten auf und führt die gefundenen Lücken in geplante Wartungsfenster.

Schwachstellenscan ohne Betriebsunterbrechung

Ein Schwachstellenscan ohne Betriebsunterbrechung gelingt nur, wenn der Scanner den Netzwerkverkehr im Hintergrund beobachtet, statt die Geräte direkt anzusprechen. Moderne OT-Scanner analysieren den Traffic per Span-Port und vergleichen Gerätekennungen mit CVE-Datenbanken, ohne einen einzigen aktiven Request zu senden. Der Vorteil: Die Anlage merkt nichts, und der Betrieb läuft unterbrechungsfrei weiter. Ein Wasserwerk kann so wöchentlich sein komplettes Leitsystem auf Schwachstellen prüfen, während die Pumpen normal fördern. Für tiefergehende Funde bleibt das geplante Revisionsfenster der richtige Zeitpunkt.

BSI-Meldewege im KRITIS-Schwachstellenmanagement

Schwachstellenmanagement für KRITIS verlangt lückenlose Kommunikation mit dem BSI – beim Vorfall wie bei der Prüfung. Der Meldeweg läuft über das Melde- und Informationsportal (MIP), das IT-Lagezentrum nimmt schwerwiegende Vorfälle 24/7 entgegen. Ergänzend koordinieren UP-KRITIS-Branchenarbeitskreise den Austausch mit anderen Betreibern, etwa bei sektorübergreifenden Bedrohungswellen.

Ein typisches Meldepaket enthält Zeitstempel, betroffene Anlagenteile, bereits eingeleitete Schritte und eine Einschätzung der Versorgungsauswirkung. Versorger, die diese Struktur in einem Template vorhalten, sparen im Ernstfall wertvolle Minuten.

Schwachstellenmanagement für kritische Infrastrukturen: Nachweis und Reporting

Nachweise für das Schwachstellenmanagement für kritische Infrastrukturen brauchen zwei Perspektiven: technische Scandaten und geschäftsorientierte Risikoberichte. Das BSI fragt bei Prüfungen nicht nach jedem CVE-Eintrag, sondern nach dem Gesamtprozess. Wer Scans ohne Bewertung dokumentiert, fällt im Audit durch. Ein monatliches Risikoboard mit offenen Funden, kompensierenden Maßnahmen und Fristabweichungen liefert beide Sichten. Für Vorstand und Aufsicht reichen Trends, für den IT-Betrieb zählen Detailtickets. Empfehlenswert ist ein zweistufiges Berichtsmodell: wöchentliche Detailauswertung durch das Security-Team, quartalsweise Zusammenfassung an die Geschäftsleitung.

Wie erfüllt ein KRITIS-Betreiber die BSI-Nachweispflicht beim Schwachstellenmanagement?

Die BSI-Nachweispflicht erfüllt ein KRITIS-Betreiber durch revisionssichere Dokumentation über zwei Jahre. Dazu gehören Scanprotokolle, Bewertungsentscheidungen, Patch-Freigaben und jede Fristverlängerung mit Kompensationsmaßnahme. Alle zwei Jahre wird ein Nachweis nach § 8a BSIG fällig, geprüft von einer anerkannten Stelle. Wer den KRITIS Leitfaden des BSI als Referenz nutzt, arbeitet die Prüfpunkte systematisch ab. In der Praxis zeigt sich: Audit-Probleme entstehen selten durch fehlende Technik, sondern durch Lücken in der Kette zwischen Scan, Ticket und Freigabe. Bewährt hat sich ein quartalsweiser Probeexport der Nachweisakte, der die Auditvorbereitung vom Terminstress entkoppelt.

Ausnahmen im Schwachstellenmanagement für KRITIS

Für Zero-Days und Lieferkettenrisiken werden eigene Reaktionsmuster im KRITIS-Schwachstellenmanagement benötigt. Ein normaler CVE wird bewertet, priorisiert und in den regulären Zyklus eingeordnet. Eine aktiv ausgenutzte Zero-Day-Schwachstelle dagegen erfordert sofortige Segmentierung, temporäre Abschaltung oder virtuelle Patches auf Netzwerkebene, bevor ein offizielles Update überhaupt verfügbar ist.

In der Praxis gilt eine einfache Faustregel: Eine Zero-Day-Schwachstelle mit öffentlichem Exploit-Code auf einem aus der Bürowelt erreichbaren OT-Gateway rechtfertigt eine sofortige Netztrennung, selbst wenn sie kurzzeitig den Fernzugriff der Wartungstechniker unterbricht.

Kritische Infrastrukturen und Lieferkettenrisiken

Beim Schwachstellenmanagement für kritische Infrastrukturen entscheidet heute die Lieferkette über die Angriffsfläche. Eine manipulierte Bibliothek in einer Steuerungssoftware betrifft Hunderte Betreiber gleichzeitig – wie der Log4j-Fall zeigte. Konkrete Prüfpunkte für jede Lieferantenbeziehung sind:

Wer diese Prüfpunkte vertraglich fixiert, reduziert das Risiko stumm eingeschleuster Schwachstellen signifikant.

Zero-Day-Handling für KRITIS-Betreiber

Zero-Day-Schwachstellen in kritischen Infrastrukturen erfordern einen klar definierten Ausnahmeprozess. Entscheidungen müssen binnen Stunden fallen, nicht Tagen. Ein bewährtes Playbook enthält:

Die erste Übung sollte nicht der erste Ernstfall sein. Wer das Playbook jährlich durchspielt, verkürzt Entscheidungen auf Sekunden statt Stunden. Ein Wasserwerk etwa schaltet bei kritischen PLC-Warnungen automatisch auf Inselbetrieb, bis der Hersteller-Patch verfügbar ist. So bleibt die Versorgung stabil, während im Hintergrund die Lücke geschlossen wird.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Was ändert das KRITIS-Dachgesetz für das Schwachstellenmanagement? keyboard_arrow_down keyboard_arrow_up
Das KRITIS-Dachgesetz erweitert die Liste der betroffenen Betreiber und verzahnt physische Schutzpflichten mit digitalen Vorgaben. Für das Schwachstellenmanagement heißt das: Auch Umgebungsrisiken wie Zutritt, Klimatisierung oder Stromversorgung fließen ins Schwachstellenregister. Dokumentationspflichten verschärfen sich branchenübergreifend, und die physische Resilienz wird prüffähiger Bestandteil jedes KRITIS-Audits.
Welche Fristen schreibt das BSI für die Behebung von Schwachstellen in KRITIS vor? keyboard_arrow_down keyboard_arrow_up
Das BSI schreibt keine einheitlichen Fristen vor, sondern verlangt angemessene Reaktionszeiten nach Risiko. In der Sektorpraxis haben sich 48 Stunden für kritische, 14 Tage für hohe und 30 Tage für mittlere Schwachstellen etabliert. Entscheidend bleibt eine nachvollziehbare Begründung jeder Abweichung.
Wie unterstützt TenMedia KRITIS-Betreiber beim Schwachstellenmanagement? keyboard_arrow_down keyboard_arrow_up
TenMedia begleitet KRITIS-Betreiber beim Aufbau sektorspezifischer Schwachstellenmanagement-Prozesse – von der Asset-Aufnahme über die Auswahl passender OT- und IT-Werkzeuge bis zur Integration in bestehende Meldewege. Dazu gehört die Abstimmung mit Herstellerfreigaben, die Modellierung revisionssicherer Dokumentation und der Aufbau eines Playbooks für Zero-Day-Fälle. Individualsoftware wird im Rahmen laufender Wartungsverträge kontinuierlich auf neue Schwachstellen geprüft, bewertet und in geregelten Zyklen nachgezogen. Behörden und Versorger profitieren besonders von der Erfahrung mit BSI-Audit-Vorbereitungen und OT-typischen Einschränkungen, die Standardanbieter selten abbilden. Diese Mischung aus Entwicklungs- und Betriebsexpertise zeichnet die Arbeit aus. So entsteht ein belastbares Schwachstellenmanagement für KRITIS, das im Tagesbetrieb genauso trägt wie im Ernstfall.