Bewertung kritischer Abhängigkeiten: 4 Schritte zum Aufbau von Resilienz

Die Kritikalitätsbewertung ist auswirkungsorientiert, weitgehend unabhängig von spezifischen Gefahren und konzentriert sich nicht auf einzelne Bedrohungen, sondern auf die Folgen einer Störung. Ein Beispiel: Ein Krankenhaus würde seine Notaufnahme, Patientenaufzeichnungssysteme und Stromversorgung als hochkritisch einstufen, da deren Ausfall direkte Auswirkungen auf Menschenleben hätte und gegen gesetzliche Vorgaben verstoßen würde.

Im Gegensatz dazu bewertet die Risikobewertung, welche Gefahren die kritischen Elemente bedrohen könnten und in welchem Ausmaß. Dabei werden konkrete Bedrohungen wie Cyberangriffe, extreme Wetterereignisse oder Insolvenzen von Zulieferern berücksichtigt und ihre Wahrscheinlichkeit, potenzielle Auswirkungen sowie die Wirksamkeit bestehender Kontrollen analysiert. Am Beispiel eines Krankenhauses würde eine Risikobewertung etwa Szenarien wie einen Ransomware-Angriff auf Patientendaten, einen Stromausfall in den Operationssälen oder Verzögerungen in der Lieferkette für wichtige Medikamente untersuchen.

Die Reihenfolge ist entscheidend: Zunächst führen Unternehmen eine Kritikalitätsbewertung durch, um zu ermitteln, wo Störungen die größten Auswirkungen hätten. Darauf aufbauend werden gezielte Risikobewertungen für diese prioritären Bereiche durchgeführt. So wird vermieden, Ressourcen für weniger wichtige Elemente zu verschwenden, während gleichzeitig sichergestellt wird, dass die kritischen Dienste angemessen geschützt und berücksichtigt werden.

Im Kontext der CER-Richtlinie ergänzen sich beide Prozesse: Die Kritikalitätsbewertung bildet die Grundlage, indem sie die wesentlichen Dienste identifiziert und deren Abhängigkeiten aufzeigt. Die Risikobewertung hingegen bewertet die Bedrohungen für diese Dienste und liefert wichtige Informationen für die Planung gezielter Resilienzmaßnahmen.

Der Aufbau organisatorischer und systemischer Resilienz beginnt damit, ein klares Verständnis darüber zu entwickeln, was kritisch ist und warum. Ohne diese Klarheit können Resilienzstrategien fehlgeleitet oder unvollständig sein.

Zwei häufige Probleme treten auf, wenn die Kritikalität nicht eindeutig definiert ist:

• Übermäßiger Schutz: Organisationen investieren möglicherweise stark in die Absicherung von Infrastrukturen, Diensten oder Prozessen, die für die Kontinuität des Betriebs oder die gesellschaftliche Stabilität nicht zentral sind.
• Blinde Flecken: Schwachstellen, die tief in voneinander abhängigen Systemen verborgen sind, können unentdeckt bleiben – bis sie erhebliche Kaskadenausfälle auslösen.

Eine strukturierte Kritikalitätsbewertung begegnet diesen Herausforderungen, indem sie die analytische Grundlage für eine effektive Resilienzplanung und -steuerung schafft. Blinde Flecken werden reduziert, weil Organisationen ihre Dienste, Anlagen und Prozesse aus einer mehrdimensionalen Perspektive betrachten – unter Einbeziehung betrieblicher, gesellschaftlicher, wirtschaftlicher, regulatorischer und ökologischer Faktoren. Die Darstellung von Verbindungen zwischen Systemen, Diensten und Lieferketten ermöglicht ein besseres Verständnis der gegenseitigen Abhängigkeiten. Übermäßiger Schutz wird vermieden, da die Kritikalitätsbewertung Kipppunkte potenzieller Systemausfälle aufzeigt – etwa Stellen innerhalb von Netzwerken, an denen der Ausfall eines Elements unverhältnismäßige Auswirkungen haben könnte. Diese Erkenntnisse sind besonders wertvoll, um zu bestimmen, wo Redundanz erforderlich ist, welche Wiederherstellungszeiten kritisch sind und wo eine sektorübergreifende Koordination unabdingbar ist.

Ein transparenter und evidenzbasierter Ansatz zur Bewertung der Kritikalität unterstützt nicht nur die interne Entscheidungsfindung, sondern stärkt auch die Beziehungen zu Regulierungsbehörden, Investoren und weiteren Stakeholdern. Er zeigt, dass Maßnahmen zur Stärkung der Resilienz auf fundierten Analysen statt auf Annahmen beruhen und erleichtert gleichzeitig die Anpassung an externe Anforderungen, etwa die CER-Richtlinie und verwandte gesetzliche Rahmenbedingungen.

Bei einer systematischen Herangehensweise bildet die Kritikalitätsbewertung die Grundlage für:

• Festlegung von Ressourcenprioritäten: Ermittlung, wo Investitionen in Schutz, Redundanz oder Wiederherstellung den größten betrieblichen, wirtschaftlichen und gesellschaftlichen Nutzen erzielen.
• Abhängigkeitsmanagement: Analyse der Beziehungen zwischen Diensten, Sektoren und Regionen, um systemische Schwachstellen zu erkennen und zu verringern.
• Governance-Reife: Aufbau einer gemeinsamen Evidenzbasis, die sowohl der organisatorischen Planung als auch der sektorübergreifenden Koordination zugrunde liegt.

So unterstützt die Kritikalitätsbewertung den Übergang von einer reaktiven Wiederherstellung hin zu einer proaktiven Resilienz-Governance. Sie liefert den Organisationen die nötigen Informationen, um ihre Rolle innerhalb eines übergeordneten Systems zu verstehen und fundierte, ausgewogene Entscheidungen darüber zu treffen, worauf sie ihre Anstrengungen und Investitionen konzentrieren sollten.

Eine fundierte Kritikalitätsbewertung setzt voraus, dass der Begriff „kritisch“ klar definiert, strukturierte Ebenen festgelegt, Abhängigkeiten und Wiederherstellungsprioritäten zugeordnet und ein transparentes Kritikalitätsregister erstellt werden. Diese Schritte schaffen eine klare Grundlage für die Entscheidungsfindung und das Engagement der Behörden.

Die Definition der Kritikalität erfordert einen evidenzbasierten, mehrdimensionalen Ansatz. Früher bewerteten viele Organisationen Kritikalität vor allem anhand enger Maßstäbe wie finanzieller Werte oder unmittelbarer betrieblicher Bedeutung. In der heutigen vernetzten Betriebsumgebung ist dies jedoch nicht mehr ausreichend.

Eine umfassendere Definition berücksichtigt die Folgen einer Störung über mehrere Dimensionen, darunter menschliche Sicherheit, gesellschaftliche Kontinuität, wirtschaftliche Stabilität, gesetzliche Verpflichtungen, Umweltabhängigkeiten und geostrategische Risiken.

Betrachten wir das Beispiel einer regionalen Wasseraufbereitungsanlage. Auf den ersten Blick mag die Anlage von mäßiger Bedeutung erscheinen, da sie nur ein begrenztes geografisches Gebiet versorgt und lediglich einen kleinen Teil der Anlagen des Betreibers ausmacht. Eine detailliertere Analyse zeigt jedoch, dass die Anlage mehrere voneinander abhängige Systeme mit Trinkwasser versorgt:

• Ein großer Krankenhauskomplex ist auf die Wasserversorgung für Patientenversorgung und Sterilisation angewiesen.
• Lebensmittelverarbeitende Betriebe in der Region benötigen das Wasser, um Produktions- und Hygienestandards einzuhalten.
• Ein nahegelegenes Kraftwerk nutzt das aufbereitete Wasser für den Kühlbetrieb.

Fällt diese Anlage aus, wären die Auswirkungen nicht auf eine einzelne Gemeinde oder Organisation beschränkt. Gesundheitsdienste, Lebensmittelproduktion und Energieerzeugung würden beeinträchtigt, was zu erheblichen Kaskadeneffekten in allen Sektoren führen könnte.

Dies zeigt, dass Kritikalität nicht allein nach dem Wert der Anlagen oder der Bedeutung einer einzelnen Organisation beurteilt werden kann. Anlagen und Dienstleistungen müssen stets im Kontext des übergeordneten Ökosystems bewertet werden, wobei zu berücksichtigen ist, dass scheinbar lokale Störungen weitreichende gesellschaftliche und wirtschaftliche Folgen haben können.

Sobald eine Organisation ihre individuelle Kritikalität ermittelt hat, sollte sie Dienste, Prozesse und Vermögenswerte in Stufen einteilen, um deren relative Bedeutung zu unterscheiden. Diese Einteilung bietet eine strukturierte Grundlage, um Prioritäten für Schutzmaßnahmen zu setzen und Wiederherstellungsstrategien festzulegen:

• Stufe 1: Dienste, deren Ausfall schwerwiegende, weitreichende oder grenzüberschreitende Folgen hätte und mehrere Sektoren oder zentrale gesellschaftliche Funktionen betrifft.
• Stufe 2: Dienste, deren Störung den Betrieb erheblich beeinträchtigen würde, die aber durch koordiniertes Eingreifen innerhalb akzeptabler Toleranzen wiederhergestellt werden können.
• Stufe 3: Elemente, deren Störung lokal begrenzt wäre und mit bestehenden Notfallmaßnahmen bewältigt werden kann.

Die Einstufung in Stufen ist weit mehr als eine bloße Rangordnung. Sie macht Abhängigkeiten und versteckte Schwachstellen in komplexen Systemen sichtbar. Ein kleines Glasfaserrelais mag zunächst unbedeutend erscheinen, kann aber nach Analyse viele Kernoperationen mehrerer Stufe-1-Dienste ermöglichen – etwa in Krankenhäusern, Finanzhandelsplattformen oder bei der Koordination von Notfallmaßnahmen. Eine falsche Klassifizierung solcher Elemente kann zu blinden Flecken führen, die erst im Ernstfall sichtbar werden.

Durch die Strukturierung von Diensten in Stufen schaffen Organisationen eine klare Grundlage für Priorisierungsentscheidungen. Die Einteilung dient als Basis für die Ressourcenzuweisung, Redundanzplanung und Wiederherstellungsstrategien und stellt sicher, dass die kritischsten Dienste angemessen berücksichtigt werden, während gleichzeitig ein Übermaß an Schutz für weniger wichtige Elemente vermieden wird – also für solche, deren Unterbrechung lokal begrenzt und beherrschbar wäre.

Die Identifizierung kritischer Dienste und Anlagen ist nur ein Teil der Bewertung. Organisationen müssen zudem verstehen, wie diese Dienste funktionieren, wovon sie abhängen und wie schnell sie wiederhergestellt werden müssen, um Kaskadenausfälle zu vermeiden.

Dieser Schritt beginnt mit der Kartierung interner und externer Abhängigkeiten, einschließlich IT-Systemen, physischer Infrastruktur, Zulieferern, Versorgungsunternehmen, digitalen Plattformen und grenzüberschreitenden Verbindungen. Solche Abhängigkeitskarten machen Common-Mode-Risiken sichtbar – also Situationen, in denen ein einziger Fehlerpunkt mehrere kritische Dienste gleichzeitig beeinträchtigen kann. Beispielsweise könnten mehrere Stufe-1-Dienste von einem Umspannwerk, einer gemeinsamen Cloud-Plattform oder einem Telekommunikationsaustausch abhängen.

Die Redundanz sollte nicht nur auf ihr bloßes Vorhandensein hin bewertet werden, sondern auch auf ihre tatsächliche Unabhängigkeit. Zwei Einrichtungen, die von derselben vorgelagerten Brennstoffversorgung versorgt werden oder sich im selben Überschwemmungsgebiet befinden, mögen zwar redundant erscheinen, sind in Wirklichkeit jedoch gemeinsam verwundbar.

Auch die Prioritäten und Toleranzen für die Wiederherstellung müssen festgelegt werden. Für jeden kritischen Dienst sollten Organisationen bestimmen, wie lange er unterbrochen werden kann, bevor systemische Folgen eskalieren. Diese Zielvorgaben für Wiederherstellungszeiten bilden eine evidenzbasierte Grundlage für die Entwicklung von Notfallplänen und Stresstests für Kontinuitätsmaßnahmen.

Durch die Kombination von Abhängigkeitskartierung, Redundanzanalyse und Wiederherstellungspriorisierung erhalten Organisationen einen klareren Überblick darüber, wo Schwachstellen konzentriert sind und wo gezielte Investitionen den größten Nutzen bringen.

Der letzte Schritt besteht darin, die Ergebnisse in einem umfassenden Kritikalitätsregister zusammenzufassen. Dieses Register dient als maßgeblicher Bezugspunkt für interne Entscheidungsträger und Aufsichtsbehörden. Es enthält in der Regel:

• Eine Liste der wesentlichen Dienste und der zugehörigen Anlagen.
• Die ihnen zugewiesenen Kritikalitätsstufen.
• Die wichtigsten Abhängigkeiten und potenziellen Einzelfehlerquellen.
• Wiederherstellungszeitziele und Redundanzstatus.
• Die Begründungen und Nachweise für jede Klassifizierung.

Ein transparentes und regelmäßig aktualisiertes Kritikalitätsregister stellt sicher, dass die Bewertungen relevant bleiben, wenn sich Dienste weiterentwickeln, Abhängigkeiten ändern oder die Erwartungen der Aufsichtsbehörden angepasst werden. Gemäß der CER-Richtlinie dient dieses Register zudem als Grundlage für den Nachweis der Konformität und unterstützt nachfolgende Risikobewertungen, die sich auf die Bereiche mit der höchsten Priorität konzentrieren.

Die CER-Richtlinie markiert einen grundlegenden Wandel darin, wie Resilienz in Europa gehandhabt wird. Grundlegende Dienstleistungen wie Energie, Wasser, Finanzen, Logistik, Gesundheitswesen und digitale Infrastruktur sind heute nicht länger isoliert, sondern Teil eng vernetzter Systeme, in denen sich Störungen schnell ausbreiten können.

In diesem Kontext bildet die Kritikalitätsbewertung die analytische Grundlage, um Resilienz praktisch und verhältnismäßig zu gestalten. Sie zeigt auf, worauf es wirklich ankommt, wo Schwachstellen zusammenlaufen und welche Vermögenswerte die Kontinuität von Gesellschaft und Wirtschaft sichern. Ohne diese Klarheit besteht die Gefahr, dass weniger wichtige Systeme übermäßig geschützt werden oder – noch kritischer – dass essenzielle Schwachstellen unentdeckt bleiben, bis ein katastrophaler Ausfall eintritt.

Eine strukturierte Kritikalitätsbewertung – deren Kernkomponenten hier hervorgehoben wurden – liefert einen konsistenten, evidenzbasierten Rahmen, um zwischen Diensten zu unterscheiden, deren Ausfall schwerwiegende Folgen hätte, und solchen mit überschaubaren Auswirkungen. Sie ermöglicht sowohl eine zielgerichtete operative Planung als auch den Nachweis der Governance-Reife.

Die Kritikalitätsbewertung ist jedoch nur der Ausgangspunkt, nicht der Endpunkt. Ihre Ergebnisse ermöglichen gezielte Risikobewertungen, informieren die Kapitalplanung, dienen als Leitfaden für Business-Continuity-Strategien und unterstützen die regulatorische Berichterstattung. Für viele Unternehmen bedeutet dies einen grundlegenden Wandel: weg von isoliertem Risikomanagement hin zu einem systemischen Denken, das gegenseitige Abhängigkeiten berücksichtigt. Da Resilienz sowohl eine betriebliche Notwendigkeit als auch eine regulatorische Erwartung ist, bildet das Verständnis dessen, was kritisch ist und warum, den ersten wichtigen Schritt für fundierte Entscheidungen und die Stabilität des Gesamtsystems.