Softwareentwicklung für KRITIS: Sichere Lösungen für kritische Infrastrukturen

Betreiber kritischer Infrastrukturen stehen unter besonderem Druck: Die Software, die ihre Prozesse steuert, muss nicht nur funktionieren — sie muss regulatorischen Anforderungen genügen, Audits standhalten und Angriffsflächen minimieren. Als ISO 27001 zertifizierter Softwaredienstleister entwickelt und wartet TenMedia Individualsoftware, die diesen Maßstäben gerecht wird.

Eine Feuerwehrfrau sitzt im Einsatzwagen mit einem Funkgerät. Ein Symbolbild für Softwareentwicklung für das KRITIS-Umfeld.

1. Warum KRITIS-Betreiber besondere Anforderungen an Software stellen
2. Welche KRITIS-Sektoren wir bedienen
3. Unsere Entwicklungspraxis für KRITIS-Projekte
4. Wartung und Betrieb nach ISO 27001
5. Zertifizierungen und Nachweise
6. Weiterführende Informationen

Warum KRITIS-Betreiber besondere Anforderungen an Software stellen

Seit das NIS-2-Umsetzungsgesetz im Dezember 2025 in Kraft getreten ist, hat sich der Kreis der regulierten Unternehmen massiv erweitert. Statt rund 2.000 klassischer KRITIS-Betreiber sind nun über 30.000 Unternehmen in Deutschland betroffen — darunter viele mittelständische Dienstleister, die erstmals unter Aufsicht stehen.

Für die Softwarelandschaft dieser Unternehmen hat das direkte Konsequenzen. Software, die in kritischen Infrastrukturen eingesetzt wird, unterliegt Anforderungen, die weit über die üblichen Qualitätsstandards hinausgehen.

Lieferketten-Compliance. NIS-2 verpflichtet betroffene Unternehmen, die Sicherheitsstandards ihrer Dienstleister zu überprüfen und vertraglich abzusichern. Ein Softwaredienstleister, der für einen KRITIS-Betreiber arbeitet, wird damit Teil der regulatorischen Verantwortungskette — unser Leitfaden NIS-2-Anforderungen an Softwareanbieter beschreibt die Details.

Audit-Bereitschaft. Das BSI kann jederzeit Nachweise verlangen. Software, deren Entwicklungs- und Wartungsprozesse nicht dokumentiert sind, wird zum Compliance-Risiko. Dokumentierte Prozesse, nachvollziehbare Änderungshistorien und definierte Sicherheitsmaßnahmen sind keine Kür — sie sind Pflicht.

Meldepflichten und Incident Response. Bei Sicherheitsvorfällen gelten enge Fristen: 24 Stunden für die Erstmeldung, 72 Stunden für den detaillierten Bericht. Software, die keine Logging- und Monitoring-Funktionen mitbringt, macht die Einhaltung dieser Fristen praktisch unmöglich.

Die entscheidende Frage für KRITIS-Betreiber lautet deshalb nicht nur: Kann dieser Dienstleister unsere Software bauen? Sondern: Kann er nachweisen, dass er sie sicher baut — und dass er das auch in Zukunft gewährleistet? Die regulatorischen Hintergründe zu NIS-2 und KRITIS finden sich auf unserer Übersichtsseite.

Welche KRITIS-Sektoren wir bedienen

Die Anforderungen an Software variieren je nach Sektor — die Sicherheitsstandards jedoch gelten übergreifend. TenMedia entwickelt Individualsoftware für Unternehmen in regulierten Branchen, bei denen Vertraulichkeit, Verfügbarkeit und Nachweisfähigkeit keine optionalen Extras sind.

Sektor	Typische Softwareanforderungen
Gesundheit	Patientendatenmanagement, HL7/FHIR-Schnittstellen, DSGVO-konforme Verarbeitung sensibler Gesundheitsdaten, Ausfallsicherheit
Energie	Monitoring-Systeme, Abrechnungssoftware, Schnittstellen zu Netzbetreibern, Echtzeit-Datenverarbeitung
Wasser/Abwasser	Steuerungs- und Überwachungssoftware, Messdatenerfassung, Compliance-Reporting
Öffentliche Verwaltung	Verwaltungssoftware, Fachverfahren, E-Government-Anwendungen, barrierefreie Zugänge
IT und Telekommunikation	Cloud-Management-Tools, Netzwerk-Monitoring, API-Plattformen, Benutzerverwaltung
Transport und Verkehr	Logistiksoftware, Flottenmanagement, Echtzeit-Tracking, Schnittstellenmanagement

Allen Sektoren gemein ist der Bedarf an Software, die unter hoher Last stabil bleibt, Angriffsflächen minimiert und regulatorischen Prüfungen standhält. Die branchenspezifischen Anforderungen unterscheiden sich — die Sicherheitsarchitektur folgt denselben Prinzipien.

Unsere Entwicklungspraxis für KRITIS-Projekte

Softwareentwicklung für kritische Infrastrukturen erfordert mehr als guten Code. Sie verlangt Prozesse, die nachweisbar, wiederholbar und auditierbar sind. Bei TenMedia folgen KRITIS-Projekte einem Entwicklungsprozess, der auf unserer ISO 27001 Zertifizierung basiert und die spezifischen Anforderungen regulierter Umgebungen berücksichtigt.

Sicherheitsanforderungen ab Tag eins. Bevor die Entwicklung beginnt, werden die Sicherheitsanforderungen des Projekts erhoben — gemeinsam mit dem Auftraggeber und, wenn nötig, mit dessen Compliance-Abteilung. Welche Datenklassen verarbeitet die Software? Welche regulatorischen Vorgaben gelten? Welche Bedrohungsszenarien sind realistisch? Die Antworten fließen in ein Sicherheitskonzept ein, das während der gesamten Projektlaufzeit als Referenz dient. Für DSGVO-konforme Entwicklung gehören Privacy-Anforderungen zwingend dazu.

Secure SDLC mit dokumentierten Controls. Unser Entwicklungsprozess folgt dem Secure Software Development Lifecycle: Threat Modeling im Design, Secure Coding Standards in der Implementierung, automatisierte Sicherheitstests (SAST, DAST, Dependency Scanning) in der CI/CD-Pipeline. Die Details zu den relevanten Annex-A-Controls der ISO 27001 sind in unserem Leitfaden beschrieben.

Hochverfügbarkeit und Redundanz. Software für KRITIS-Umgebungen muss auch unter Extrembedingungen funktionieren. Das bedeutet: redundante Datenhaltung, automatisches Failover, definierte Recovery-Zeiten. Die Architektur wird von Beginn an auf Ausfallsicherheit ausgelegt — nicht nachträglich „hochverfügbar gemacht”.

Strikte Umgebungstrennung. Entwicklung, Test und Produktion laufen in vollständig getrennten Umgebungen. Testdaten enthalten keine echten Produktionsdaten — stattdessen kommen maskierte Datensätze zum Einsatz. Zugriffsrechte sind pro Umgebung definiert und werden regelmäßig überprüft.

Lückenlose Dokumentation. Jede Architekturentscheidung, jede Konfigurationsänderung, jedes Deployment ist dokumentiert. Nicht als bürokratische Pflichtübung, sondern als Voraussetzung dafür, dass der Auftraggeber jederzeit Nachweise für Audits liefern kann.

Wartung und Betrieb nach ISO 27001

Bei KRITIS-Software endet die Verantwortung nicht mit dem Go-live. Die Wartungsphase ist mindestens so sicherheitskritisch wie die Entwicklung — in vielen Fällen sogar kritischer, weil die Software jetzt produktive Daten verarbeitet und Angriffsfläche bietet.

Patch Management mit definierten SLAs. Sicherheitsupdates für Frameworks, Bibliotheken und Laufzeitumgebungen werden nach definierten Fristen eingespielt. Kritische Patches innerhalb von 24 Stunden, reguläre Updates im vereinbarten Rhythmus. Der Wartungsvertrag für Individualsoftware regelt diese Zeitfenster verbindlich.

Kontinuierliches Monitoring. Automatisierte Überwachung der Anwendungsperformance, der Systemressourcen und der Sicherheitsereignisse. Anomalien werden in Echtzeit erkannt und an das Incident-Response-Team eskaliert.

Incident Response mit Meldeketten. Ein dokumentierter Prozess regelt, wer bei einem Sicherheitsvorfall wann informiert wird, welche Sofortmaßnahmen greifen und wie die Kommunikation gegenüber der Aufsichtsbehörde erfolgt. Für KRITIS-Betreiber ist das keine Option, sondern eine gesetzliche Pflicht.

Regelmäßige Sicherheitsaudits. Neben dem laufenden Monitoring führen wir in Abstimmung mit dem Auftraggeber regelmäßige Sicherheitsüberprüfungen durch: Code-Audits, Konfigurationsreviews, Abhängigkeitsanalysen. Die Ergebnisse fließen in den kontinuierlichen Verbesserungsprozess ein. Details zu unseren Maintenance Services finden Sie auf der Produktseite.

Zertifizierungen und Nachweise

Für KRITIS-Betreiber sind Zertifizierungen mehr als Vertrauenssignale — sie sind nachprüfbare Belege, die in Audits und Vergabeverfahren verlangt werden.

ISO 27001 (TÜV Süd). Unsere Zertifizierung deckt Softwareentwicklung und -wartung ab. Das bedeutet: Nicht nur unser Büro ist zertifiziert, sondern die Prozesse, die direkt mit der Arbeit am Code und an den Systemen unserer Kunden zu tun haben. Der Geltungsbereich umfasst genau das, was für KRITIS-Projekte relevant ist.

ISO 9001 (TÜV Süd). Die duale Zertifizierung — Qualität und Sicherheit — ist unter vergleichbar großen Berliner Agenturen selten. Für Auftraggeber bedeutet sie: Dokumentierte Prozesse nicht nur für Sicherheit, sondern auch für Qualitätsmanagement, Fehlerbehandlung und kontinuierliche Verbesserung.

AVPQ (Amtliches Verzeichnis Präqualifizierter Unternehmen). Die Eintragung im AVPQ vereinfacht die Teilnahme an öffentlichen Ausschreibungen. Eignungsnachweise müssen nicht bei jeder Vergabe neu eingereicht werden — für Auftraggeber in der öffentlichen Verwaltung ein praktischer Vorteil. Mehr zum Zusammenspiel von ISO 27001 und Vergabeverfahren findet sich in unserem Leitfaden zur ISO 27001 in Ausschreibungen.