Mit uns Ready für BSI-Zertifizierung
Wir unterstützen KRITIS-Betreiber dabei, IT-Sicherheit nach Stand der Technik umzusetzen, Schwachstellen aufzudecken und prüffähige Nachweise nach dem BSI vorzubereiten.
Kurz, technisch, direkt – ohne Berater‒Buzzwords, dafür mit sauberer Prozessstruktur und
Quick‒Win Umbaumassnahmen.
Unternehmen vertrauen bereits auf uns
KRITIS steht für kritische Infrastrukturen
Damit sind Organisationen und Einrichtungen gemeint, die eine zentrale Bedeutung für das staatliche Gemeinwesen haben.
Kurz gesagt: Wenn diese Systeme ausfallen oder beeinträchtigt werden, kommt es zu dramatischen Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen ernsthaften Folgen für die Bevölkerung.
In Deutschland werden aktuell elf Sektoren als kritisch eingestuft:
11 Sektoren
- Energie (Netzbetreiber und Produzenten)
- Wasser (Stadtwerke, Wasserwerke)
- Ernährung (Aldi, Lidl, Rewe, Edeka)
- IT und Telekommunikation (Siemens, Telekom)
- Gesundheit (Öffentliche Krankhäuser)
- Finanz- und Versicherungswesen (KFW, Rückversicherung, HypoVerBank)
- Transport und Verkehr (Bahn, Luftfahrt, Logistik)
- Siedlungsabfallentsorgung (Stadtwerke)
- Staat und Verwaltung (Ministerien, Ämter, Behörden)
- Medien und Kultur (Museum, Oper, Theater)
- Weltraum (ESA, DLR)
Gesetzliche Anforderungen
Unternehmen, die als KRITIS-Betreiber gelten (meist ab einer bestimmten Größe/Nutzerzahl), unterliegen strengen gesetzlichen Pflichten (z. B. durch das IT-Sicherheitsgesetz oder die EU-Richtlinie NIS2):
- Meldepflicht: IT-Störungen oder Angriffe müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
- Sicherheitsstandards: Die Betreiber müssen IT-Sicherheit auf dem „Stand der Technik“ nachweisen.
- Resilienz: Es müssen Pläne existieren, wie die Versorgung auch im Krisenfall aufrechterhalten werden kann.
Pflichten KRITIS-Betreiber
Ihre 5 zentralen KRITIS‒Pflichten – technisch sauber erfüllt
#03.1
IT-Sicherheit im Code und Infrastruktur umsetzen
Sie benötigen eine Zero-Trust-Architektur und Netzwerkzugriff (VPN oder VM). Kommunikation muss verschlüsselt und authentifiziert sein (AES, TLS). Die Komponenten müssen strukturiertes Logging aufweisen und die CI/CD-Pipelines integrierte Sicherheitsprüfungen durchführen (Sonar, Kubernetes).
Sie müssen hart-codierte Credentials (Key Vaults) und SQL Konkatenation entfernen. Schwache Passwort Hashes vermeiden.
#03.2
IT-Sicherheit im Entwicklungsprozess umsetzen
Kunden etablieren ein Rollenkonzept mit RBAC oder ReBAC (z. B. OpenFGA), SBOM-Generierung sowie Product Priorisierung basierend auf Risiken für Audit-Nachweisbarkeit.
Kunden müssen die kausale Kette-Traceability (Requirements via Commit-ID bis Deployment Pod-ID) sicher stellen. Zudem sind Sie für Backup-/Restore-Funktionalität bei katastrophale Events (RTO/RPO) verantwortlich. Log-Upstream in Grafana/Elastic mit Aufbewahrungspflichten.
Ihre Experten
Erhalten Sie Unterstützung von unserem Prüfteam und Entwicklungsteam aus einer Hand.
Spezialist für kritische Systemaudits: Software-Architektur, CI/CD & Cloud Monitoring
Manuel Müller ist ein erfahrener Software Architekt, der auf die Auditierung und Optimierung kritischer IT-Systeme spezialisiert ist. Seine Expertise umfasst die tiefgehende Analyse und Standardisierung von Architekturentscheidungen (z.B. Event-Driven vs. Pub-Sub, Websockets vs. RPCS). Als Auditor bewertet er umfassend CI/CD-Pipelines (Azure, AWS EKS, Google), Cloud Monitoring (Instana, OpenDistro, Grafana, CheckMK) und Lasttests mit Apache JMeter. Er nutzt Domain-Driven Design und testgetriebene Entwicklung (TDD) zur strukturellen Verbesserung von Softwaresystemen.
Manuel Müller
Senior Software and Azure Architekt
Spezialist für KRITIS-Softwareentwicklung: .NET, Azure & sichere Cloud-Architekturen
Dejan Vujkov ist ein erfahrener Senior Full-Stack Software-Entwickler mit Schwerpunkt auf kritischen Infrastrukturen in der Energiebranche (KRITIS). Seine Expertise umfasst .NET- und Angular-basierte Systeme mit Dependency Injection, TDD, Unit-, Integrations- und e2e-Tests. Er implementiert Sicherheits- und Compliance-Anforderungen wie Secure Coding, SAST, Zero Trust, TLS 1.3, SBOM sowie Multi-Tenancy-Architekturen und optimiert Systeme mit strukturiertem Logging und Performance-Tests (Apache JMeter). Zudem verfügt er über mehrjährige Erfahrung mit Azure-basierten Microservices, CI/CD-Pipelines und Migrationen von .NET Framework zu .NET Core sowie DB-First zu Code-First.
Dejan Vujkov
Senior Software Entwickler
Spezialist für Cloud-IIoT in deutschen KRITIS-nahen Umgebungen
Peyman Ardalani entwickelt IIoT-Cloud-Plattformen für deutsche Automobilwerke (u. a. VW, Audi, Ford, Iveco) mit über 1 Mio. Transaktionen pro Werk und Tag – typisch für echtzeitnahe Produktions- und Steuerungsszenarien. Sein Schwerpunkt liegt auf sicherer OT/IT-Anbindung über MQTT, OPC UA, Modbus und REST sowie dem Betrieb dieser Datenströme auf AWS- und Azure-IoT-Stacks, wo Zero-Trust-Ansätze mit starker Authentifizierung und fein granularer Autorisierung (z. B. via OpenFGA-ähnlichen Modellen und Keycloak-basiertem IAM) relevant werden, um KRITIS-nahe Anforderungen an Latenz, Verfügbarkeit und abgesicherte Feldbus-/Gateway-Kommunikation zu erfüllen.
Peyman Ardalani
Software Architekt und Senior Entwickler
KRITIS-Audit Übersicht
5 Schritte in unserem KRITIS-Audit
Audit Step 1 >
Aufnahme & Scope-Definition
Klärung, welche kritischen Dienstleistungen, Systeme und Standorte unter die KRITIS-Regelungen fallen und in den Prüfgegenstand gehören.
Audit Step 2>
Gap-Analyse zu gesetzl. Anforderungen
Abgleich Ihres aktuellen Sicherheitsniveaus mit IT-Sicherheitsgesetz, BSI-KritisV, NIS-2 und ggf. branchenspezifischen Sicherheitsstandards
Audit Step 3 >
Architektursichtung & Schwachstellenanalyse
Analyse der vorhandenen Repositories und Deployment-Pipelines. Sichtung von Dokumentation und Entwicklungsprozess
Audit Step 4.1 >
Prozessentwicklung
Coaching in Bezug auf das Entwicklungs- und Steuerungsteam. Fokussierung auf ein gelebten aber auditierbaren Prozess.
Audit Step 4.2 >
Softwareentwicklung und Deployment
Softwareanpassung in Python, Java und .NET am Backend. Angular und React am Frontend. AWS oder Azure und On-Prem
Audit Step 5.
Audit-Vorbereitung
Konkreter, priorisierter Maßnahmenplan inklusive Quick-Wins, Roadmap und optionaler Vorbereitung auf formale Prüfungen und § 8a-BSIG-Nachweise.
Case studies
Für ein KRITIS-Audit nach § 8a Abs. 3 BSIG gibt es nicht die "eine" Software, sondern ein Ökosystem aus Werkzeugen, die für die Erfüllung der gesetzlichen Anforderungen (insbesondere Systeme zur Angriffserkennung - SzA) notwendig sind.
Migration to Azure Devops / Kubernetes
KRITIS-Betreiber müssen Systeme einsetzen, die Bedrohungen aktiv erkennen und protokollieren.
SIEM-Systeme (Security Information and Event Management): Zentralisieren Log-Daten zur Erkennung von Mustern (z. B. Splunk, IBM QRadar oder Microsoft Sentinel).
KRITIS-Betreiber müssen Systeme einsetzen, die Bedrohungen aktiv erkennen und protokollieren.
SIEM-Systeme (Security Information and Event Management): Zentralisieren Log-Daten zur Erkennung von Mustern (z. B. Splunk, IBM QRadar oder Microsoft Sentinel).
Keycloack and OpenFGA
Um die organisatorischen Anforderungen (ISO 27001 / BSI-Grundschutz) abzubilden, wird GRC-Software (Governance, Risk & Compliance) genutzt:
Multi-Tenancy Architecture
"They treated our project as their own product. Clear process, great results, and a team that really listens."
Digital Transformation of Production Lines
"They treated our project as their own product. Clear process, great results, and a team that really listens."
Lassen Sie uns Ihre KRITIS-Sicherheit stärken
Gemeinsam entwickeln wir die technischen und organisatorischen Maßnahmen, mit denen Sie KRITIS-Pflichten erfüllen, BSI-Prüfungen bestehen und dauerhafte Audit-Sicherheit erreichen.
Was bedeutet die Abkürzung BSI?
BSI steht für Bundesamt für Sicherheit in der Informationstechnik, die deutsche Bundesbehörde für IT- und Cybersicherheit.
Was bedeutet die Abkürzung KRITIS?
KRITIS ist die Abkürzung für kritische Infrastrukturen, also Einrichtungen und Unternehmen, deren Ausfall erhebliche Folgen für Gesellschaft und Staat hätte.
Was bedeutet NIS2?
NIS2 ist die zweite EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (Richtlinie (EU) 2022/2555) und legt verschärfte Cybersicherheitsanforderungen für besonders wichtige und wichtige Einrichtungen fest.
Was bedeutet DORA?
DORA steht für Digital Operational Resilience Act, eine EU-Verordnung, die die digitale Betriebsstabilität und Cyber-Resilienz von Finanzunternehmen und ihren IT-Dienstleistern regelt.
Was ist ein KRITIS-Audit nach § 8a BSIG?
Ein KRITIS-Audit nach § 8a BSIG ist eine strukturierte Überprüfung, ob Betreiber kritischer Infrastrukturen ausreichende organisatorische und technische Sicherheitsmaßnahmen für ihre IT-Systeme umgesetzt haben. Die Bewertung stützt sich dabei auf branchenspezifische Sicherheitsstandards und etablierte Normen wie zum Beispiel ISO 27001.
Wie läuft ein KRITIS-Audit ab?
Zu Beginn beauftragt der Betreiber eine geeignete Prüfstelle, die zunächst den Scope festlegt, relevante Dokumente analysiert und einen Auditplan erstellt. Anschließend erfolgen Gespräche, Stichprobenprüfungen und technische Tests; das Ergebnis fließt in einen Prüfbericht ein, der dem BSI als Nachweis nach § 8a BSIG vorgelegt wird.
Was kostet ein KRITIS-Audit für kritische Infrastrukturen?
Die Kosten hängen stark von Branche, Größe, Komplexität des Geltungsbereichs und Reifegrad des ISMS ab; sie können von einem niedrigen fünfstelligen bis in den sechsstelligen Euro-Bereich reichen. Ein gut vorbereitetes Unternehmen mit klarer Dokumentation und etablierten Prozessen reduziert in der Regel Auditaufwand und damit auch die Gesamtkosten.