24/7-Bereitschaft KRITIS-Software: Notfall-Hotline mit Audit-Nachweis

24/7-Bereitschaft bei KRITIS-Software entscheidet im Ernstfall über Versorgungssicherheit, Meldefristen und Audit-Erfolg. Dieser Praxisleitfaden richtet sich an Betreiber kritischer Infrastrukturen, die einen verlässlichen Bereitschaftsdienst für KRITIS-Software beauftragen wollen — mit transparenten Reaktionszeiten, klarer Eskalation, und prüffähigen Nachweisen für die nächste Aufsichtsprüfung.

Eine Eule mit großen wachen Augen sitzt in der Dunkelheit auf einem Baumstumpf und hält die Umgebung im Blick. Ein Symbolbild für die nächtliche 24/7-Bereitschaft eines Softwaredienstleisters für KRITIS-Betreiber.

1. Was bedeutet 24/7-Bereitschaft für KRITIS?
2. Leistungsbestandteile einer KRITIS-Notfall-Hotline
3. Multichannel-Alarmierung und Reaktionszeiten
4. Audit-Nachweis der 24/7 IT-Bereitschaft

Was bedeutet 24/7-Bereitschaft für KRITIS?

24/7-Bereitschaft für KRITIS bedeutet aus der Serviceperspektive die rund um die Uhr verfügbare Reaktion eines Software-Dienstleisters auf Vorfälle in kritischen Infrastrukturen. Sie verbindet permanente Erreichbarkeit, definierte Eskalation und auditfähige Nachweise zu einem nachverfolgbaren Servicepaket.

Laut Allianz Risk Barometer führt der Cyber-Vorfall die Risikoliste deutscher Unternehmen erneut an — gefolgt von Betriebsunterbrechungen, die in der Praxis fast immer aus Cyber-Vorfällen heraus entstehen. Die direkte Verknüpfung von Software-Risiko und Versorgungssicherheit zwingt KRITIS-Betreiber zum Handeln. Für Betreiber kritischer Infrastrukturen endet der Einsatz oder die Entwicklung indiviudelle KRITIS-Software damit nicht beim Go-live. Sie transformiert sich zu einer permanenten Bereitschaft, die im Eskalationsfall belastbar greifen muss.

Eine durchdachte IT-Compliance-Strategie verbindet diese Anforderungen vom Vergabeverfahren bis in den Tagesbetrieb. Konkrete Audit-Anforderungen an die Bereitschaft folgen weiter unten.

Welche Pflichten gelten nach KRITIS-Dachgesetz und NIS-2?

KRITIS-Betreiber müssen seit dem KRITIS-Dachgesetz eine 24/7-Kontaktstelle benennen, kritische Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren und Vorfälle innerhalb fester Fristen melden. Das NIS-2-Rahmenwerk für KRITIS konkretisiert diese Pflichten weiter. Frühwarnung binnen 24 Stunden, Detailbericht binnen 72 Stunden — die NIS-2 Meldefristen sind unverhandelbar. Ohne softwareseitige permanente Bereitschaft wird diese Frist zur Glücksache. Verantwortung für Versäumnisse trägt am Ende die Geschäftsführung — ein Risiko, das Vergabestellen aktiv adressieren sollten, wenn eine 24/7-Kontaktstelle für KRITIS-Anwendungen einzurichten ist.

Rechtliche Bausteine der KRITIS-Bereitschaft

KRITIS-Dachgesetz mit Pflicht zur 24/7-Kontaktstelle
NIS-2-Umsetzungsgesetz mit gestaffelten NIS-2 Meldefristen
BSIG § 8a für Mindestmaßnahmen zur Verfügbarkeit
Branchenspezifische Sicherheitsstandards aus dem KRITIS Notfallmanagement
Vergaberechtliche Eignungsanforderungen an Bieter

Leistungsbestandteile einer KRITIS-Notfall-Hotline

Eine KRITIS-Notfall-Hotline liefert mehr als reine Telefonannahme. Sie umfasst qualifizierte Erstdiagnose, Sofortmaßnahmen, klare Eskalationsschritte und revisionssichere Dokumentation jeder Sitzung. Im Mittelpunkt steht ein Bereitschaftsteam mit Zugriff auf Codebasis, Architekturwissen und produktive Berechtigungen.

Klassische Helpdesks beantworten Fragen zur Anwendung — ein vertraglich geregelter Supportvertrag bildet den Rahmen, in dem die KRITIS-spezifischen Klauseln verankert werden. Die KRITIS-Notfall-Hotline geht weit darüber hinaus und bedient eine andere Logik: Sie reagiert auf Sicherheitsvorfälle, Ausfälle und Anomalien, deren Behebung tiefe Eingriffe in produktive Systeme erfordert. Damit überschneidet sie sich nur teilweise mit klassischem Application Management. Die KRITIS-Notfall-Hotline wird so zum eigenständigen Liefergegenstand.

Bereitschaftsdienst für KRITIS-Software statt klassischer Helpdesk

Ein Bereitschaftsdienst für KRITIS-Software unterscheidet sich vom Helpdesk durch drei Merkmale:

☞ Reaktionszeiten in Minuten statt Stunden
☞ tiefe Anwendungskenntnis der Bereitschaftskräfte
☞ auditfähige Protokollierung jeder Sitzung

Eine Kritikalitätsanalyse der Software liefert dafür die Grundlage — sie entscheidet, welche Anwendung welche SLA-Stufe verdient. Ohne diese Priorisierung verteilen Vergabestellen ihr Bereitschaftsbudget gleichmäßig statt risikoorientiert. Die KRITIS-Software-Bereitschaft folgt damit einer klaren Risikologik.

Wie sieht die KRITIS-Software-Eskalationskette beim Dienstleister aus?

Die Software-Eskalationskette beginnt mit der Erstmeldung über einen definierten Kanal — Telefonhotline, gesichertes Ticketsystem oder dedizierter Bereitschaftspager.

Stufe eins erfasst, klassifiziert und behebt Standard-Vorfälle.

Stufe zwei greift bei tiefen Eingriffen in Code, Konfiguration oder Infrastruktur.

Stufe drei eskaliert auf Architekten oder die Geschäftsführung des Dienstleisters. Jede Eskalationsstufe ist mit Zeitfenster, Verantwortlichkeit und Vertretung dokumentiert.

Zwischen den Stufen greift das Vier-Augen-Prinzip, weil sicherheitsrelevante Eingriffe in produktive KRITIS-Software niemals von einer einzelnen Person freigegeben werden dürfen. Sie greift dabei Hand in Hand mit dem IT-Infrastruktur-Notfallkonzept des Betreibers — Software- und Infrastruktur-Eskalation müssen sauber ineinander passen. Die KRITIS Notfall-Eskalation beim Softwaredienstleister ist damit ein zentraler Audit-Gegenstand.

Service-Bestandteile einer KRITIS-Bereitschaft

Hotline mit garantierter Erreichbarkeit außerhalb der Geschäftszeiten
Bereitschaftsplan mit benannter Vertretungsregelung
Erstdiagnose und Sofortmaßnahmen durch qualifizierte Kräfte
Eskalation in Stufen mit Vier-Augen-Prinzip
Lückenlose Sitzungsprotokolle für Audit und Aufsicht
Schnittstelle zur gesetzlichen Meldepflicht des Betreibers

Multichannel-Alarmierung und Reaktionszeiten

Multichannel-Alarmierung in der 24/7-Bereitschaft KRITIS verteilt Notrufe über mehrere unabhängige Kanäle gleichzeitig — Telefonanruf, SMS, E-Mail, Pager und mobile Apps. Damit fällt der Alarm nicht aus, wenn ein einzelner Kommunikationsweg gestört ist. Redundanz ist hier keine Komfortfunktion, sondern regulatorische Pflicht.

Erfahrene Anbieter koppeln die Alarmierung an Eskalationsregeln: Bestätigt eine Bereitschaftsperson nicht innerhalb weniger Minuten, gibt das System automatisch an die nächste Stufe ab. Der Hintergrund ist regulatorisch geprägt — die IT-Wartung in KRITIS verlangt belastbare Eskalationspfade, und das BSI prüft diese Ketten in Audits gezielt. Welche Reaktionszeit konkret zugesichert wird, ist Verhandlungssache und gehört in jedes Service-Level-Agreement. So wird der Software-Bereitschaftsdienst nach NIS-2-Meldefristen zur belastbaren Größe.

Wie wird Multichannel-Alarmierung im Bereitschaftsdienst für KRITIS-Software umgesetzt?

Multichannel-Alarmierung im Bereitschaftsdienst KRITIS-Software kombiniert eine zentrale Alarmierungssoftware mit mehreren parallelen Übertragungswegen. Eine typische Kette: Monitoring erkennt Anomalie, Alarmierungs-Engine löst aus, Bereitschaftsperson erhält Anruf, parallel laufen SMS und Push-Nachricht. Bestätigt die Person nicht innerhalb von drei Minuten, geht der Alarm an die Vertretung. Dieses Eskalationsmuster verhindert tote Alarmpunkte und ist in jedem KRITIS-Audit nachzuweisen. Wer eine 24/7-Bereitschaft für KRITIS-Software beauftragen will, sollte diese Kanal-Architektur verbindlich vertraglich fixieren.

Alarmierungs- und Kommunikationskanäle

Telefonanruf mit automatischer Bestätigungsabfrage
SMS mit Quittierungslink
Verschlüsselte E-Mail mit Vorfallsbeschreibung
Push-Nachricht über Bereitschafts-App
Pager als unabhängiger Backup-Kanal

Reaktions- und Lösungszeiten realistisch einschätzen

Reaktionszeit beschreibt die Zeit bis zur ersten qualifizierten Rückmeldung — Lösungszeit die Zeit bis zur Wiederherstellung des Normalbetriebs. Beide Werte werden nach Priorität gestaffelt. Für KRITIS-Anwendungen gelten kürzere Fristen als für Standardsoftware, oft 15 bis 60 Minuten Reaktion bei Priorität eins. Damit Patches keine Eskalationen produzieren, greift im Vorfeld eine belastbare Test-Architektur — Details dazu im Beitrag zu Regressionstests in der KRITIS-Wartung.

Audit-Nachweis der 24/7 IT-Bereitschaft

Audits prüfen die 24/7-Bereitschaft von KRITIS anhand von Belegen, nicht anhand von Versprechen. Verlangt werden Bereitschaftspläne, Alarmprotokolle der KRITIS-Notfall-Hotline, Eskalationsdokumente und Trainingsnachweise. Jede einzelne Bereitschaftssitzung muss revisionssicher abgelegt sein, oft in einem zentralen Logging-System mit Schreibschutz.

Bereitschaft audit-fähig dokumentieren

Wer die 24/7-Bereitschaft von KRITIS nur mündlich oder in Excel-Tabellen organisiert, verliert beim Audit doppelt — an Glaubwürdigkeit und an Bewertungsstufen. Die Aufsicht erwartet ein dokumentiertes Bereitschaftskonzept, das Rollen, Zeitfenster, Werkzeuge und Vertretungen klar benennt. Ein gutes Konzept bleibt nicht statisch: Es wird jährlich überprüft, mit jedem Vorfall fortgeschrieben und in regelmäßigen Übungen getestet. Die Reife dieses Prozesses entscheidet über die Note im Auditbericht. Ein auditfähiger Nachweis der 24/7-Bereitschaft ist damit kein Formalismus, sondern operativer Schutz vor Aufsichts-Sanktionen. Die 24/7-Bereitschaft KRITIS gewinnt zusätzlich an Glaubwürdigkeit, wenn der Dienstleister regelmäßige Notfall-Übungen mit benannten Beobachtern durchführt und die Resultate revisionssicher ablegt. Diese Übungen schließen den Wiederanlaufplan für KRITIS-Software ein, weil Bereitschaft und Wiederherstellung in der gemeinsamen Übung zusammenlaufen.

Bereitschaftsdienst für KRITIS-Software in Vergaben verankern

Vergabestellen sollten konkrete Mindestinhalte in die Eignungsanforderungen aufnehmen, wenn ein Bereitschaftsdienst KRITIS-Software ausgeschrieben wird. Schwammige Klauseln führen zu Streit über Reaktionszeiten und Auslegung der Eskalationsstufen. Eine präzise Klausel definiert, was im Bereitschaftsfenster gilt, welche Werkzeuge eingesetzt werden, wie Übergaben gestaltet sind und welche Audit-Berichte standardmäßig geliefert werden. Der Aufwand zahlt sich im ersten Ernstfall mehrfach aus.

Mindestinhalte einer 24/7-Bereitschaftsklausel

Reaktions- und Lösungszeiten je Prioritätsstufe
Erreichbarkeitsfenster und definierte Wartungspausen
Eskalationsmatrix mit Namen und Vertretung
Multichannel-Alarmierung mit Quittierungspflicht
Auditberichte mit definierter Lieferfrequenz

In der Praxis zeigt sich: Eine 24/7-Bereitschaft KRITIS lebt von gelebten Routinen, nicht von Vertragsformeln. Betreiber, die ihre 24/7-Bereitschaft KRITIS regelmäßig im Ernstfall testen, kommen ohne Reibung durch das Audit. Die Rund-um-die-Uhr-Bereitschaft für KRITIS wird damit zum messbaren Reifegrad-Indikator. Eine 24/7-Bereitschaft für KRITIS-Software beauftragen ist daher nicht nur Compliance-Pflicht, sondern operative Vorsorge. Auch eine eigenständige Notruf-Hotline KRITIS-Software gehört dazu — als zentrale Software-Störungsannahme für jeden sicherheitsrelevanten Vorfall.

Bereitschaftsservice bei TenMedia

TenMedia bietet KRITIS-Betreibern einen Bereitschaftsservice für KRITIS-Anwendungen mit aufwandsbasierter Vergütung, definierten Reaktionsfenstern und auditfähigen Sitzungsprotokollen. Beratung, Konfiguration und 2nd-Level-Support für die 24/7-Bereitschaft KRITIS fließen in einen abgestimmten Wartungsvertrag ein. Schulungen für die Schnittstellen zum eigenen KRITIS Notfallmanagement runden das Angebot ab. die 24/7-Bereitschaft KRITIS wird zur planbaren Service-Disziplin.

FAQs

Welche Pflichten zur 24/7-Erreichbarkeit gelten für KRITIS-Betreiber nach KRITIS-Dachgesetz und NIS-2?

KRITIS-Betreiber müssen eine 24/7-Kontaktstelle benennen, kritische Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren und Vorfälle binnen 24 Stunden erstmelden sowie binnen 72 Stunden detailliert berichten. Verantwortlich für Versäumnisse ist die Geschäftsführung, deren Haftung mit dem NIS-2-Umsetzungsgesetz spürbar verschärft wurde.

Welche Reaktions- und Lösungszeiten sind für KRITIS-Software realistisch?

Reaktionszeiten für Priorität-eins-Vorfälle in KRITIS-Software liegen typischerweise zwischen 15 und 60 Minuten rund um die Uhr. Lösungszeiten hängen von Komplexität und Risikoklasse ab, sind im Service-Level-Agreement nach Prioritätsstufen zu staffeln und werden im KRITIS-Audit aktiv geprüft sowie regelmäßig nachjustiert.

Wie unterstützt TenMedia KRITIS-Betreiber bei der 24/7-Bereitschaft?

TenMedia bietet KRITIS-Betreibern einen softwareseitigen Bereitschaftsdienst mit definierten Reaktionsfenstern, Multichannel-Alarmierung und auditfähiger Sitzungsdokumentation. Unsere Mitarbeiter verfügen über tiefe Anwendungskenntnis und greifen direkt auf die Codebasis zu, um Sofortmaßnahmen einzuleiten. Eskalationsstufen sind mit Vertretungsregelung benannt; Übergaben laufen revisionssicher über ein zentrales Ticketsystem. Schulungen für die Schnittstelle zur eigenen Meldepflicht des Betreibers ergänzen den Service. Reporting-Pakete liefern monatliche Übersichten zu Alarmen, Reaktionszeiten und Auditpunkten. Abrechnung erfolgt aufwandsbasiert über einen Wartungsvertrag, der jederzeit an Lebenszyklus und Sektoranforderungen angepasst werden kann. Damit wird die 24/7-Bereitschaft für KRITIS zur kalkulierbaren Service-Disziplin und entlastet Vergabestellen, ISBs und Geschäftsführung gleichermaßen.