Mit uns Ready für BSI-Audits
Wir unterstützen KRITIS-Betreiber dabei, IT-Sicherheit nach Stand der Technik umzusetzen, Schwachstellen aufzudecken und prüffähige Nachweise nach dem BSI vorzubereiten.
Kurz, technisch, direkt – ohne Berater‒Buzzwords, dafür mit sauberer Prozessstruktur und
Quick‒Win Umbaumassnahmen.
Unternehmen vertrauen bereits auf uns
KRITIS steht für kritische Infrastrukturen
Damit sind Organisationen und Einrichtungen gemeint, die eine zentrale Bedeutung für das staatliche Gemeinwesen haben.
Kurz gesagt: Wenn diese Systeme ausfallen oder beeinträchtigt werden, kommt es zu dramatischen Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen ernsthaften Folgen für die Bevölkerung.
In Deutschland werden aktuell elf Sektoren als kritisch eingestuft:
11 Sektoren
- Energie (Netzbetreiber und Produzenten)
- Wasser (Stadtwerke, Wasserwerke)
- Ernährung (Aldi, Lidl, Rewe, Edeka)
- IT und Telekommunikation (Siemens, Telekom)
- Gesundheit (Öffentliche Krankhäuser)
- Finanz- und Versicherungswesen (KFW, Rückversicherung, HypoVerBank)
- Transport und Verkehr (Bahn, Luftfahrt, Logistik)
- Siedlungsabfallentsorgung (Stadtwerke)
- Staat und Verwaltung (Ministerien, Ämter, Behörden)
- Medien und Kultur (Museum, Oper, Theater)
- Weltraum (ESA, DLR)
Gesetzliche Anforderungen
Unternehmen, die als KRITIS-Betreiber gelten (meist ab einer bestimmten Größe/Nutzerzahl), unterliegen strengen gesetzlichen Pflichten (z. B. durch das IT-Sicherheitsgesetz oder die EU-Richtlinie NIS2):
- Meldepflicht: IT-Störungen oder Angriffe müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
- Sicherheitsstandards: Die Betreiber müssen IT-Sicherheit auf dem „Stand der Technik“ nachweisen.
- Resilienz: Es müssen Pläne existieren, wie die Versorgung auch im Krisenfall aufrechterhalten werden kann.
Pflichten KRITIS-Betreiber
Ihre 5 zentralen KRITIS‒Pflichten – technisch sauber erfüllt
#03.1
IT-Sicherheit im Code und Infrastruktur umsetzen
Sie benötigen eine Zero-Trust-Architektur und Netzwerkzugriff (VPN oder VM). Kommunikation muss verschlüsselt und authentifiziert sein (AES, TLS). Die Komponenten müssen strukturiertes Logging aufweisen und die CI/CD-Pipelines integrierte Sicherheitsprüfungen durchführen (Sonar, Kubernetes).
Sie müssen hart-codierte Credentials (Key Vaults) und SQL Konkatenation entfernen. Schwache Passwort Hashes vermeiden.
#03.2
IT-Sicherheit im Entwicklungsprozess umsetzen
Kunden etablieren ein Rollenkonzept mit RBAC oder ReBAC (z. B. OpenFGA), SBOM-Generierung sowie Product Priorisierung basierend auf Risiken für Audit-Nachweisbarkeit.
Kunden müssen die kausale Kette-Traceability (Requirements via Commit-ID bis Deployment Pod-ID) sicher stellen. Zudem sind Sie für Backup-/Restore-Funktionalität bei katastrophale Events (RTO/RPO) verantwortlich. Log-Upstream in Grafana/Elastic mit Aufbewahrungspflichten.
Ihre Experten
Erhalten Sie Unterstützung von unserem Prüf - und Entwicklungsteam aus einer Hand.
Spezialist für kritische Systemaudits: Software-Architektur, CI/CD & Cloud Monitoring
Manuel Müller ist ein erfahrener Software Architekt, der auf die Auditierung und Optimierung kritischer IT-Systeme spezialisiert ist. Seine Expertise umfasst die tiefgehende Analyse und Standardisierung von Architekturentscheidungen (z.B. Event-Driven vs. Pub-Sub, Websockets vs. RPCS). Als Auditor bewertet er umfassend CI/CD-Pipelines (Azure, AWS EKS, Google), Cloud Monitoring (Instana, OpenDistro, Grafana, CheckMK) und Lasttests mit Apache JMeter. Er nutzt Domain-Driven Design und testgetriebene Entwicklung (TDD) zur strukturellen Verbesserung von Softwaresystemen.
Manuel Müller
Senior Software and Azure Architekt
Spezialist für KRITIS-Softwareentwicklung: .NET, Azure & sichere Cloud-Architekturen
Dejan Vujkov ist ein erfahrener Senior Full-Stack Software-Entwickler mit Schwerpunkt auf kritischen Infrastrukturen in der Energiebranche (KRITIS). Seine Expertise umfasst .NET- und Angular-basierte Systeme mit Dependency Injection, TDD, Unit-, Integrations- und e2e-Tests. Er implementiert Sicherheits- und Compliance-Anforderungen wie Secure Coding, SAST, Zero Trust, TLS 1.3, SBOM sowie Multi-Tenancy-Architekturen und optimiert Systeme mit strukturiertem Logging und Performance-Tests (Apache JMeter). Zudem verfügt er über mehrjährige Erfahrung mit Azure-basierten Microservices, CI/CD-Pipelines und Migrationen von .NET Framework zu .NET Core sowie DB-First zu Code-First.
Dejan Vujkov
Senior Software Entwickler
Spezialist für Cloud-IIoT in deutschen KRITIS-nahen Umgebungen
Peyman Ardalani entwickelt IIoT-Cloud-Plattformen für deutsche Automobilwerke (u. a. VW, Audi, Ford, Iveco) mit über 1 Mio. Transaktionen pro Werk und Tag – typisch für echtzeitnahe Produktions- und Steuerungsszenarien. Sein Schwerpunkt liegt auf sicherer OT/IT-Anbindung über MQTT, OPC UA, Modbus und REST sowie dem Betrieb dieser Datenströme auf AWS- und Azure-IoT-Stacks, wo Zero-Trust-Ansätze mit starker Authentifizierung und fein granularer Autorisierung (z. B. via OpenFGA-ähnlichen Modellen und Keycloak-basiertem IAM) relevant werden, um KRITIS-nahe Anforderungen an Latenz, Verfügbarkeit und abgesicherte Feldbus-/Gateway-Kommunikation zu erfüllen.
Peyman Ardalani
Software Architekt und Senior Entwickler
KRITIS-Audit Übersicht
5 Schritte in unserem KRITIS‒Audit
Audit Step 1 >
Aufnahme & Scope-Definition
Klärung, welche kritischen Dienstleistungen, Systeme und Standorte unter die KRITIS-Regelungen fallen und in den Prüfgegenstand gehören.
Audit Step 2>
Gap-Analyse zu gesetzl. Anforderungen
Abgleich Ihres aktuellen Sicherheitsniveaus mit IT-Sicherheitsgesetz, BSI-KritisV, NIS-2 und ggf. branchenspezifischen Sicherheitsstandards
Audit Step 3 >
Architektursichtung & Schwachstellenanalyse
Analyse der vorhandenen Repositories und Deployment-Pipelines. Sichtung von Dokumentation und Entwicklungsprozess
Audit Step 4.1 >
Prozessentwicklung
Coaching in Bezug auf das Entwicklungs- und Steuerungsteam. Fokussierung auf ein gelebten aber auditierbaren Prozess.
Audit Step 4.2 >
Softwareentwicklung und Deployment
Softwareanpassung in Python, Java und .NET am Backend. Angular und React am Frontend. AWS oder Azure und On-Prem
Audit Step 5.
Audit-Vorbereitung
Konkreter, priorisierter Maßnahmenplan inklusive Quick-Wins, Roadmap und optionaler Vorbereitung auf formale Prüfungen und § 8a-BSIG-Nachweise.
Lassen Sie uns Ihre KRITIS‒Sicherheit stärken
Gemeinsam entwickeln wir die technischen und organisatorischen Maßnahmen, mit denen Sie KRITIS-Pflichten erfüllen, BSI-Prüfungen bestehen und dauerhafte Audit-Sicherheit erreichen.
Case studies
Für ein KRITIS-Audit nach § 8a Abs. 3 BSIG gibt es nicht die "eine" Software, sondern ein Ökosystem aus Werkzeugen, die für die Erfüllung der gesetzlichen Anforderungen (insbesondere Systeme zur Angriffserkennung - SzA) notwendig sind.
KRITIS-Audit Team: Modernisierung Ihrer Entwicklungs- & Deployment-Infrastruktur
Das KRITIS-Audit Team unterstützt Organisationen bei der Migration von GitHub-basierten Toolchains hin zu einem vollständig integrierten Azure DevOps Ökosystem auf Kubernetes.
GitHub zu Azure DevOps: Wir migrieren Quellcode, Branch-Strategien und CI/CD-Workflows von GitHub (inkl. Actions) nach Azure Repos und Azure Pipelines. Der entscheidende Vorteil: die durchgängige kausale Kette — jeder Commit ist lückenlos mit Requirements, Build-Artefakten und Deployments verknüpft. So entsteht vollständige Nachvollziehbarkeit von der Anforderung bis zur Produktion, ein zentrales Kriterium für KRITIS-Audits.
Containerisierung: Wir überführen bestehende Anwendungen — ob .NET, Angular, Java, Python oder React — von klassischen Build-Prozessen in reproduzierbare Docker-Images. Das schafft konsistente Laufzeitumgebungen von der Entwicklung bis zur Produktion und eliminiert umgebungsabhängige Fehler.
Kubernetes mit Zero-Trust & RBAC: Ihre Workloads migrieren wir von Azure Web Apps nach Kubernetes (AKS). Dabei setzen wir auf Zero-Trust-Cluster-Architekturen mit striktem RBAC, Network Policies und Pod Security Standards. Das Ergebnis: granulare Skalierung, Rolling Deployments und ein Sicherheitskonzept, das KRITIS-Anforderungen standhält.
Das KRITIS-Audit Team — Ihr Weg zu einer auditierbaren, sicheren und cloud-nativen Infrastruktur.
KRITIS-Audit Team: Zentrales Identity & Access Management für KRITIS-Umgebungen
Das KRITIS-Audit Team implementiert eine durchgängige Authentifizierungs- und Autorisierungsarchitektur, die höchsten Sicherheitsanforderungen gerecht wird.
Keycloak mit Microsoft Entra ID: Wir integrieren Keycloak als zentralen Identity Provider mit Microsoft Entra ID (ehemals Azure AD) als föderierte Identitätsquelle. Über OAuth2/OIDC erhalten alle Anwendungen — ob legacy oder cloud-nativ — ein einheitliches Single Sign-On. Bestehende Unternehmensidentitäten werden nahtlos übernommen, ohne Doppelpflege von Benutzerdaten.
Active Directory Integration: Über LDAP- und Kerberos-Anbindung synchronisieren wir bestehende Active Directory Strukturen mit Keycloak. Gruppen, OUs und Benutzerattribute fließen automatisch in das zentrale Identity Management ein — ein entscheidender Faktor für Unternehmen mit gewachsener On-Premise-Infrastruktur.
Relationship-Based Access Control mit OpenFGA: Klassisches RBAC stößt in komplexen Organisationen schnell an Grenzen. Wir setzen OpenFGA als Autorisierungs-Engine ein und kombinieren rollenbasierte mit beziehungsbasierter Zugriffskontrolle (ReBAC). So lassen sich feingranulare Berechtigungen modellieren — z.B. „Benutzer X darf Dokument Y bearbeiten, weil er Mitglied von Team Z ist". Autorisierungsentscheidungen werden externalisiert, auditierbar und unabhängig von Anwendungslogik.
Das Ergebnis: Eine lückenlos nachvollziehbare Zugriffskette von der Identität bis zur einzelnen Ressource — auditierbar, skalierbar und KRITIS-konform.
Was bedeutet die Abkürzung BSI?
BSI steht für Bundesamt für Sicherheit in der Informationstechnik, die deutsche Bundesbehörde für IT- und Cybersicherheit.
Was bedeutet die Abkürzung KRITIS?
KRITIS ist die Abkürzung für kritische Infrastrukturen, also Einrichtungen und Unternehmen, deren Ausfall erhebliche Folgen für Gesellschaft und Staat hätte.
Was bedeutet NIS2?
NIS2 ist die zweite EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (Richtlinie (EU) 2022/2555) und legt verschärfte Cybersicherheitsanforderungen für besonders wichtige und wichtige Einrichtungen fest.
Was bedeutet DORA?
DORA steht für Digital Operational Resilience Act, eine EU-Verordnung, die die digitale Betriebsstabilität und Cyber-Resilienz von Finanzunternehmen und ihren IT-Dienstleistern regelt.
Was ist ein KRITIS-Audit nach § 8a BSIG?
Ein KRITIS-Audit nach § 8a BSIG ist eine strukturierte Überprüfung, ob Betreiber kritischer Infrastrukturen ausreichende organisatorische und technische Sicherheitsmaßnahmen für ihre IT-Systeme umgesetzt haben. Die Bewertung stützt sich dabei auf branchenspezifische Sicherheitsstandards und etablierte Normen wie zum Beispiel ISO 27001.
Wie läuft ein KRITIS-Audit ab?
Zu Beginn beauftragt der Betreiber eine geeignete Prüfstelle, die zunächst den Scope festlegt, relevante Dokumente analysiert und einen Auditplan erstellt. Anschließend erfolgen Gespräche, Stichprobenprüfungen und technische Tests; das Ergebnis fließt in einen Prüfbericht ein, der dem BSI als Nachweis nach § 8a BSIG vorgelegt wird.
Was kostet ein KRITIS-Audit für kritische Infrastrukturen?
Die Kosten hängen stark von Branche, Größe, Komplexität des Geltungsbereichs und Reifegrad des ISMS ab; sie können von einem niedrigen fünfstelligen bis in den sechsstelligen Euro-Bereich reichen. Ein gut vorbereitetes Unternehmen mit klarer Dokumentation und etablierten Prozessen reduziert in der Regel Auditaufwand und damit auch die Gesamtkosten.