Risikobeurteilung in fünf Schritten: Resilienz für kritische Infrastrukturen

Cyberangriffe, Sabotage, Naturereignisse oder Lieferkettenstörungen: Betreiber kritischer Infrastrukturen (KRITIS) stehen vor einer wachsenden Vielfalt an Bedrohungen – und zugleich unter regulatorischem Zeitdruck. „Bis 17. Juli 2026 müssen KRITIS-Betreiber Maßnahmen treffen, um sich gegen Gefahren aller Art abzusichern“, erklärt Markus Weidenauer, Geschäftsführer der SecCon Group. Eine strukturierte Risikobeurteilung nach ISO 31000 bilde dafür einen grundlegenden Ausgangspunkt.

1. Kritische Schutzgüter identifizieren

Zunächst gilt es, unverzichtbare Schutzgüter zu identifizieren. Dazu zählen physische Anlagen ebenso wie Informations- und Betriebstechnik oder personelle Schlüsselressourcen. „Bevor an konkrete Maßnahmen gedacht werden kann, muss definiert sein, was im Betrieb unverzichtbar ist“, betont Weidenauer. Je nach Branche reichen diese kritischen Elemente von Netzknoten in der Energieversorgung bis zu Leitstellenpersonal oder externen Versorgungsabhängigkeiten.

2. Gefährdungen ganzheitlich erfassen

Sind diese Grundlagen geklärt, folgt die ganzheitliche Erfassung möglicher Gefährdungen. Neben technischen Störungen rücken zunehmend Naturereignisse, Insiderbedrohungen oder gezielte Einflussnahme auf Mitarbeitende in den Fokus. „Ziel ist es, ein vollständiges und realistisches Bedrohungsbild – angepasst an Standort, Struktur und Branche – zu schaffen“, so Weidenauer. Gerade im Bereich der Informations- und Telekommunikationstechnik spielen Ransomware, Überlastungsangriffe oder Manipulationen von Steuerungssystemen eine zentrale Rolle.

3. Risken bewerten, analysieren und priorisieren

Darauf aufbauend müssen Risiken bewertet und priorisiert werden. Eintrittswahrscheinlichkeit und Schadensausmaß bestimmen, welche Szenarien zuerst adressiert werden. Im Gesundheitswesen kann bereits der Ausfall zentraler Informationssysteme oder medizinischer Technik gravierende Folgen für die Patientenversorgung haben. Eine fundierte Analyse schafft hier die Grundlage für zielgerichtete Entscheidungen.

4. Schutz und Resilienzmaßnahmen ableiten

Erst im nächsten Schritt werden konkrete Schutz- und Resilienzmaßnahmen definiert. Technische Absicherung, organisatorische Notfallstrukturen und Sensibilisierung von Mitarbeitenden greifen dabei ineinander. „Wichtig sind belastbare Krisen- und Notfallpläne mit klaren Entscheidungs- und Eskalationswegen“, unterstreicht Weidenauer. Ebenso relevant bleibt der Schutz von Führungspersonen in besonderen Lagen.

5. Dokumentation, Überprüfung und Aktualisierung

Entscheidend für nachhaltige Sicherheit ist schließlich die kontinuierliche Weiterentwicklung. „Eine Risikobeurteilung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess“, sagt Weidenauer. Dokumentation, regelmäßige Überprüfung und Anpassung an neue Bedrohungen erhöhen dauerhaft Krisenfestigkeit und Handlungsfähigkeit.

Damit wird deutlich: Resilienz entsteht nicht durch Einzelmaßnahmen, sondern durch systematische Analyse, klare Prioritäten und konsequente Umsetzung – ein Ansatz, der angesichts wachsender Risiken zunehmend zur Pflicht wird.