KRITIS · Kritische Infrastruktur · BSI

KRITIS-Pentest:
Sicherheit für kritische Infrastrukturen

Betreiber kritischer Infrastrukturen stehen im Fadenkreuz professioneller Angreifer. Das BSI schreibt regelmäßige Sicherheitsprüfungen nach dem Stand der Technik vor. Wir führen diese Prüfungen durch: strukturiert, dokumentiert und auf die besonderen Anforderungen von KRITIS ausgelegt.

Jetzt KRITIS-Pentest anfragen Sektoren ansehen
BSI-konforme Dokumentation Erfahrung in kritischen Umgebungen Kostenloses Erstgespräch
Was ihr bekommt
Prüfnachweis nach Stand der Technik
Unser Bericht dokumentiert die Erfüllung der BSI-Anforderungen gemäß § 8a BSIG - nutzbar für interne und externe Audits.
IT- und OT-Sicherheit im Blick
KRITIS-Umgebungen verbinden klassische IT mit industriellen Steuerungssystemen. Wir verstehen beide Welten und testen entsprechend sensibel.
Keine Betriebsunterbrechung
Klare Scope-Grenzen, lückenlose Protokollierung, sofortiger Abbruch bei unerwarteten Auswirkungen. Euer Betrieb bleibt jederzeit geschützt.
Maßnahmenplan nach Priorität
Jedes Finding mit konkreter Handlungsempfehlung, priorisiert nach Risiko und Umsetzbarkeit in eurem Betriebsumfeld.
Unser Abschlussbericht ist für BSI-Audits, interne Nachweispflichten und die Geschäftsführung geeignet.
Betroffene KRITIS-Sektoren

Gilt KRITIS für euer Unternehmen?

Das BSI-Gesetz definiert neun kritische Sektoren. Betreiber wesentlicher Anlagen ab definierten Schwellenwerten sind zur regelmäßigen Sicherheitsprüfung verpflichtet.

Energie (Strom, Gas, Öl, Fernwärme)
💧Wasser & Abwasser
🏥Gesundheit (Krankenhäuser, Labore)
🍀Ernährung (Produktion, Handel)
🏦Finanz- & Versicherungswesen
🚆Transport & Verkehr
💻Digitale Infrastruktur & IKT
📊Staat & Verwaltung
🗺️Medien & Kultur

Warum KRITIS besonders im Fokus steht

Angriffe auf kritische Infrastrukturen verfolgen geopolitische Ziele - staatliche Akteure sind hier aktiver als in anderen Branchen
OT-Systeme (SCADA, ICS) sind oft jahrzehntealt und wurden nie für Netzwerkverbindungen ausgelegt - klassische IT-Sicherheitskonzepte greifen nicht
Ein erfolgreicher Angriff kann nicht nur Daten, sondern die physische Versorgung der Bevölkerung gefährden
Ransomware-Gruppen haben KRITIS-Betreiber explizit als lukratives Ziel identifiziert
Gesetzliche Grundlagen

Was das BSI-Gesetz von KRITIS-Betreibern fordert

§ 8a BSIG verpflichtet KRITIS-Betreiber zur Umsetzung angemessener technischer und organisatorischer Maßnahmen. Ein Penetrationstest ist das anerkannte Instrument zum Nachweis.

§ 8a BSIG

Angemessene Schutzmaßnahmen

KRITIS-Betreiber müssen Systeme nach dem Stand der Technik absichern. Ein Pentest belegt, dass diese Anforderung ernst genommen wird.

Infra, Physical, AD Pentest
§ 8a BSIG

Regelmäßige Überprüfung

Die Sicherheitsmaßnahmen sind alle zwei Jahre gegenüber dem BSI nachzuweisen. Ein Pentest-Bericht ist ein zentrales Nachweisdokument.

Alle Pentest-Module
§ 8b BSIG

Meldepflicht bei Störungen

Um Vorfälle korrekt einordnen und melden zu können, muss die Angriffsfläche bekannt sein. Ein Pentest schafft diese Transparenz.

OSINT, Infra-Pentest
§ 8a BSIG

Zugangs- und Zutrittskontrolle

Physische Zugänge zu Serverräumen, Leitwarten und Technikbereichen sind besonders schützenswert. Wir testen, ob diese Kontrollen standhalten.

Physical Pentest
§ 8a BSIG

Netzwerk- und Systemsicherheit

Segmentierung von IT und OT, Firewall-Konfigurationen, privilegierte Zugänge: wir prüfen, ob euer Netzwerk eine echte Barriere darstellt.

Infrastruktur-Pentest
§ 8a BSIG

Mitarbeitersensibilisierung

Social Engineering ist einer der häufigsten Einstiegspunkte. Wir testen, wie gut eure Mitarbeiter Manipulationsversuche erkennen und abwehren.

Social Engineering
Unser Vorgehen

KRITIS-Pentest in 5 Schritten

KRITIS-Pentests erfordern besondere Sorgfalt: klare Scope-Definitionen, enge Abstimmung mit dem Betrieb und lückenlose Dokumentation für den BSI-Nachweis.

SCHRITT 01

Scoping & Risikoabstimmung

Gemeinsame Definition des Testumfangs unter Berücksichtigung betriebskritischer Systeme. Ausschlusszonen und No-Go-Bereiche werden verbindlich festgelegt.

SCHRITT 02

Reconnaissance & Angriffsplanung

Informationssammlung über öffentlich zugängliche Quellen, Netzwerk-Footprinting und Planung realistischer Angriffspfade auf eure Umgebung.

SCHRITT 03

Kontrollierte Testdurchführung

Manuelle Tests nach vereinbartem Scope. Wir arbeiten eng mit euren Betriebsverantwortlichen zusammen und kommunizieren kritische Findings sofort.

SCHRITT 04

Analyse & Risikobewertung

Bewertung jedes Findings nach technischem Schweregrad und operativem Business Impact - mit Fokus auf die Besonderheiten eurer KRITIS-Umgebung.

SCHRITT 05

BSI-konformer Abschlussbericht

Vollständige Dokumentation aller Findings mit Handlungsempfehlungen, Management-Summary und BSI-Nachweisdokumentation gemäß § 8a BSIG.

2 Jahre
BSI-Nachweisintervall für KRITIS
9
Kritische Sektoren in Deutschland
1.600+
KRITIS-Betreiber bundesweit
100%
Unserer Berichte BSI-tauglich
KRITIS-Pentest Report · Energieversorger XY BSI-konform ✓
Leitwarte: Direktzugang ohne Badge-Kontrolle
§ 8a BSIG
OT-Netzwerk direkt aus IT erreichbar
§ 8a BSIG
Phishing: 41% der Mitarbeiter betroffen
§ 8a BSIG
SCADA-System: Standardpasswort aktiv
§ 8a BSIG
VPN: Keine MFA für Remote-Zugang
§ 8a BSIG
5 Findings – Maßnahmenplan inklusive Nachweis nach § 8a Abs. 3 BSIG
Relevante Pentest-Module

Welche Tests brauchen KRITIS-Betreiber?

KRITIS-Umgebungen haben besondere Anforderungen. Diese drei Module decken die kritischsten Angriffsvektoren ab und liefern den stärksten BSI-Nachweis.

Physical Pentest

Leitwarten, Serverräume, Technikbereiche: physischer Zugang ist bei KRITIS-Betreibern oft der unterschätzte Angriffsvektor. Wir prüfen, ob eure Zugangskontrollen standhalten.

Mehr erfahren

Infrastruktur & OT-Sicherheit

IT/OT-Segmentierung, SCADA-Zugänge, Firewall-Konfigurationen, privilegierte Konten: wir testen das Netzwerk ganzheitlich - mit besonderer Rücksicht auf betriebskritische Systeme.

Mehr erfahren

Active Directory & Zugangsmanagement

Privilege Escalation, laterale Bewegungen, schwache Konten: ein kompromittiertes AD in einer KRITIS-Umgebung kann fatale Folgen haben.

Mehr erfahren
Häufige Fragen

KRITIS & Penetrationstest - eure Fragen

§ 8a BSIG verpflichtet KRITIS-Betreiber, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass sie angemessene technische und organisatorische Maßnahmen umgesetzt haben. Ein Penetrationstest ist das anerkannte Instrument für diesen Nachweis.
Technisch sind viele Methoden identisch - der Unterschied liegt in der Vorbereitung, der Sensibilität der Durchführung und dem Reporting. Bei KRITIS-Betreibern müssen betriebskritische Systeme besonders sorgfältig abgegrenzt werden. OT-Systeme erfordern ein anderes Vorgehen als klassische IT.
Ja - aber mit besonderer Vorsicht. OT-Systeme sind oft empfindlicher als klassische IT und dürfen nicht durch aggressive Testmethoden destabilisiert werden. Wir definieren gemeinsam klare Grenzen und koordinieren den Test eng mit eurem Betriebspersonal.
Das lässt sich pauschal nicht sagen. KRITIS-Umgebungen unterscheiden sich erheblich - je nach Sektor, Anlagegröße, IT/OT-Verhältnis und gewünschtem Testumfang variiert der Aufwand stark. Nach einem kostenlosen Erstgespräch erhaltet ihr ein transparentes Festpreisangebot.
Das BSI schreibt einen Nachweis alle zwei Jahre vor. Wir empfehlen zusätzlich Tests nach wesentlichen Änderungen an eurer IT- oder OT-Infrastruktur sowie nach sicherheitsrelevanten Vorfällen.
Das BSIG definiert neun kritische Sektoren: Energie, Wasser, Ernährung, IKT, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Staat und Verwaltung sowie Medien und Kultur. Ob ein Betreiber konkret KRITIS-pflichtig ist, hängt von Schwellenwerten ab.

Bereit für euren KRITIS-Pentest?

In 30 Minuten besprechen wir eure KRITIS-Umgebung, klären den Scope und ihr erhaltet ein unverbindliches Angebot - kostenlos.

Jetzt kostenloses Erstgespräch buchen hello@access-granted.de

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH