3.5 Kritische Infrastruktur

PQC-Anforderungen für KRITIS¹⁾-Betreiber.

Definition

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Ausfall dramatische Folgen hätte.

Sektoren nach NIS2

Die NIS2-Richtlinie²⁾ definiert folgende Sektoren:

Wesentliche Einrichtungen:

Energie (Strom, Gas, Öl)
Verkehr (Luft, Schiene, Wasser, Straße)
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Digitale Infrastruktur

Wichtige Einrichtungen:

Post- und Kurierdienste
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe
Digitale Dienste

Besondere Anforderungen

Frühzeitige PQC-Migration (vor 2030)
Dokumentationspflichten
Meldepflichten bei Vorfällen (binnen 24h)
Regelmäßige Überprüfungen
Risikomanagement nach ENISA³⁾ Vorgaben

"Harvest Now, Decrypt Later" Risiko

Für KRITIS besonders kritisch⁴⁾:

Langfristig sensible Daten (>10 Jahre)
Infrastruktur-Steuerungsdaten
Schlüsselmaterial
Authentifizierungsdaten

BSI-Empfehlungen

Das Bundesamt für Sicherheit in der Informationstechnik⁵⁾ empfiehlt:

Sofortige Bestandsaufnahme der Kryptographie
Priorisierung nach Datensensitivität
Hybrid-Lösungen als Übergangslösung
Mindestens FIPS 203/204/205 konforme Algorithmen

Quellen

¹⁾

Kritische Infrastrukturen (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html

²⁾

EU-Richtlinie 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj

³⁾

ENISA Risk Management: https://www.enisa.europa.eu/topics/risk-management

⁴⁾

ENISA PQC Report: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation

⁵⁾

BSI: https://www.bsi.bund.de/