FwChange LogoFwChange
Compliance

KRITIS Firewall-Anforderungen: Was Betreiber kritischer Infrastrukturen wissen müssen

Fw
The FwChange Team
||9 min Lesezeit

Wer kritische Infrastruktur in Deutschland betreibt, wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) an einem höheren Maßstab gemessen als ein normales Unternehmen. Die KRITIS Firewall Anforderungen nach dem IT-Sicherheitsgesetz 2.0 gehen deutlich über branchenunabhängige Standards wie ISO 27001 hinaus — mit konkreten Vorgaben für Netzwerksegmentierung, Logging, Änderungsdokumentation und Incident Response.

Dieser Leitfaden erklärt die fünf wesentlichen BSI-Anforderungen an die Firewall-Infrastruktur, zeigt die häufigsten Audit-Fehler und beschreibt, wie sich KRITIS Compliance in der Praxis umsetzen lässt — unabhängig davon, ob Sie Energie, Wasser, Gesundheit, Transport oder einen anderen KRITIS-Sektor betreiben.

Was KRITIS-Betreiber von normalen Unternehmen unterscheidet

KRITIS (Kritische Infrastrukturen) unterliegt dem IT-Sicherheitsgesetz 2.0, das im Mai 2021 in Kraft getreten ist. Während Frameworks wie ISO 27001 allgemeine Managementsysteme beschreiben, verlangt das BSI von KRITIS-Betreibern messbare, nachprüfbare Controls — mit konkreten Nachweispflichten:

  • Strikte IT/OT-Trennung: Klare Netzwerksegmentierung zwischen IT- und OT-Umgebungen. Jede zonenübergreifende Firewall-Regel muss dokumentiert und begründet sein.
  • Lückenlose Änderungsdokumentation: Jede Firewall-Änderung braucht einen vollständigen Audit-Trail — Antrag, Begründung, Risikobewertung, Genehmigung, Umsetzung und Verifizierung.
  • 90 Tage Log-Aufbewahrung: Firewall-Logs müssen mindestens 90 Tage aufbewahrt werden und dem BSI auf Anforderung zur Verfügung stehen.
  • 24/7-Überwachung: Kontinuierliches Monitoring aller Netzwerksicherheitskontrollen, inklusive Echtzeit-Alerting bei Policy-Verstößen und unautorisierten Änderungen.
  • Zweijährliche Prüfungen: Alle zwei Jahre muss die Compliance durch BSI-zugelassene Prüfer nachgewiesen werden — mit Vorlage aller geforderten Nachweise.

Die 5 wesentlichen KRITIS Firewall Anforderungen

Aus dem IT-Sicherheitsgesetz 2.0 und den BSI-Orientierungshilfen ergeben sich fünf Kernbereiche für die Firewall-Infrastruktur von KRITIS-Betreibern:

1. Netzwerksegmentierung und Zonenarchitektur

KRITIS-Betreiber müssen eine zonenbasierte Netzwerkarchitektur implementieren — mit dokumentierten Sicherheitsgrenzen. Mindestens getrennte Zonen für IT, OT, DMZ, Management und externe Anbindungen, wobei Firewall-Regeln den Traffic zwischen jeder Zone explizit steuern.

Jede zonenübergreifende Regel braucht eine dokumentierte Geschäftsbegründung. „Any-to-Any“-Regeln zwischen Zonen sind sofortige Audit-Findings. Die Zonenarchitektur muss in Netzwerkdiagrammen dokumentiert sein, die bei jeder Änderung aktualisiert werden.

Geforderte Nachweise: Zonenarchitektur-Dokument, Netzwerkdiagramme, zonenübergreifende Regelinventare mit Begründungen, Segmentierungs-Testergebnisse.

2. Change-Management-Dokumentation

Jede Firewall-Änderung in einer KRITIS-Umgebung muss einem formalen Change-Management-Prozess folgen. Das ist weder optional noch verhandelbar — Prüfer gehen Änderungsprotokolle im Detail durch. Der Prozess umfasst: Antragsdokumentation, Risikobewertung, mehrstufige Genehmigung, Umsetzungsnachweis und Post-Implementation-Verifizierung.

Notfall-Änderungen sind zulässig, müssen aber einer dokumentierten Notfallprozedur folgen — mit verpflichtender Nachprüfung innerhalb von 48 Stunden.

Geforderte Nachweise: Change-Management-Richtlinie, einzelne Änderungsprotokolle, Genehmigungsketten, Notfallprozeduren, Post-Implementation-Reviews.

3. Logging und Aufbewahrungsfristen

Die KRITIS-Vorgaben schreiben eine Mindestaufbewahrung von 90 Tagen für Firewall-Logs vor. Diese Logs müssen erlaubten und blockierten Traffic, administrativen Zugriff, Konfigurationsuänderungen und Policy-Anpassungen erfassen. Die Speicherung muss manipulationssicher erfolgen.

Log-Integrität ist zentral. BSI-Prüfer verifizieren, dass Logs nicht durch Administratoren verändert oder gelöscht werden können. In der Praxis bedeutet das: Weiterleitung an ein separates SIEM oder Log-Management-System mit Write-Once-Speicher.

Geforderte Nachweise: Log-Aufbewahrungsrichtlinie, SIEM-Konfiguration, Log-Integritätsprüfung, Beispiel-Logexporte, Speicherkapazitätsplanung.

4. Angriffserkennung und Incident Response

KRITIS-Betreiber müssen Sicherheitsvorfälle in ihrer Firewall-Infrastruktur erkennen und nach dokumentierten Verfahren darauf reagieren können. Das umfasst die Überwachung auf unautorisierte Regeländerungen, die Erkennung anomaler Traffic-Muster und Alerting bei Policy-Verstößen.

Erhebliche Sicherheitsvorfälle müssen dem BSI unverzüglich gemeldet werden — bei schwerwiegenden Vorfällen innerhalb von 24 Stunden. Der Incident-Response- Prozess muss regelmäßig geübt und die Ergebnisse dokumentiert werden.

Geforderte Nachweise: Incident-Response-Plan, Monitoring-Konfiguration, Alarmierungsregeln, Vorfallsberichte, Übungsprotokolle, BSI-Meldevorlagen.

5. Regelmäßige Sicherheitsbewertungen

Firewall-Konfigurationen müssen regelmäßig auf ihre Wirksamkeit geprüft werden. Das beinhaltet periodische Regelwerk-Optimierung, um Shadow Rules, Redundanzen und zu offene Policies zu bereinigen. Penetrationstests der Firewall-Infrastruktur müssen mindestens jährlich stattfinden.

Die zweijährliche KRITIS-Prüfung wird die Ergebnisse dieser Bewertungen gezielt abfragen — inklusive der Maßnahmen, die auf Basis der Findings umgesetzt wurden.

Geforderte Nachweise: Bewertungsberichte, Regelwerk-Analysen, Penetrationstest-Reports, Maßnahmen-Tracking, Trend-Daten zur Verbesserung.

Die 7 häufigsten KRITIS-Audit-Fehler

Aus der Praxis von KRITIS-Prüfungen ergeben sich immer wieder dieselben Firewall-bezogenen Findings:

  1. Fehlende Geschäftsbegründungen. Firewall-Regeln existieren ohne dokumentierten Grund. Das ist der mit Abstand häufigste Befund.
  2. Unvollständige Änderungsprotokolle. Änderungen wurden ohne den definierten Prozess vorgenommen — oder der Prozess wurde eingehalten, aber die Dokumentation ist lückenhaft.
  3. Mangelhafte OT/IT-Segmentierung. Traffic zwischen OT- und IT-Zonen, der nicht explizit dokumentiert und begründet ist. Zu breite Regeln, die unnötige Kommunikation zwischen Zonen erlauben.
  4. Lücken bei der Log-Aufbewahrung. Logs werden nicht für die vollen 90 Tage aufbewahrt, oder die Log-Integrität kann nicht nachgewiesen werden, weil die Logs auf demselben System liegen.
  5. Keine nachgewiesenen Reviews. Es gibt keinen dokumentierten Beleg, dass Firewall-Regeln regelmäßig geprüft werden. Regeln von vor Jahren bleiben ohne Re-Validierung aktiv.
  6. Notfall-Änderungen ohne Nachbearbeitung. Während Vorfällen wurden Firewall-Änderungen im Eilverfahren vorgenommen, aber nie nachträglich geprüft und formal genehmigt.
  7. Veraltete Netzwerkdiagramme. Die dokumentierte Netzwerkarchitektur stimmt nicht mit der tatsächlichen Firewall-Konfiguration überein. Diagramme zeigen Zonen, die nicht mehr existieren, oder übersehen neue.

Wie FwChange KRITIS Compliance unterstützt

KRITIS Firewall Anforderungen manuell zu erfüllen ist möglich, erfordert aber enormen Aufwand. Automatisierung eliminiert die häufigsten Audit-Fehler, indem sie Prozessdisziplin technisch erzwingt:

  • Pflicht-Geschäftsbegründung: Jeder Change Request erfordert eine dokumentierte Begründung, bevor er in den Genehmigungsworkflow gelangt. Keine Begründung, keine Änderung.
  • Lückenloser Audit-Trail: Jeder Schritt — Antrag, Validierung, Genehmigung, Umsetzung, Verifizierung — wird automatisch mit Zeitstempel, Benutzeridentität und vollständigem Kontext protokolliert.
  • Mehrstufige Genehmigung: Konfigurierbare Genehmigungsworkflows, die Änderungen nach Risikostufe, Zonen-Kritikalität und Organisationsrichtlinie weiterleiten — genau die mehrstufigen Freigabeketten, die BSI-Prüfer erwarten.
  • Automatische Regelanalyse: Integrierte Regelwerk-Analyse erkennt Shadow Rules, Redundanzen und Konflikte über Ihre gesamte Multi-Vendor-Firewall-Landschaft.
  • Compliance-Reporting: Audit-fertige Berichte, die direkt auf KRITIS-Anforderungen gemappt sind — inklusive Regelinventare, Änderungshistorien und Review-Nachweise.

Wenn Sie kritische Infrastruktur betreiben und KRITIS Compliance nachweisen müssen, starten Sie mit einem kostenlosen Regelwerk-Audit, um Ihre aktuellen Dokumentationslücken zu identifizieren.

Häufige Fragen

Wer zählt als KRITIS-Betreiber?

KRITIS-Betreiber sind Organisationen, die wesentliche Dienste in den vom BSI-KritisV definierten Sektoren erbringen: Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Die Einstufung basiert auf konkreten Schwellenwerten (z. B. Versorgung von mehr als 500.000 Personen). Aktuell gelten rund 1.600 Organisationen in Deutschland als KRITIS-Betreiber.

Wie verhält sich KRITIS zu NIS2?

KRITIS existiert länger als NIS2 und betrifft einen engeren Kreis von Organisationen. Wenn die NIS2-Umsetzung (NIS2UmsuCG) in Kraft tritt, müssen KRITIS-Betreiber beide Frameworks erfüllen. In der Praxis sind die KRITIS-Anforderungen in den meisten Bereichen strenger als NIS2 — wer KRITIS-konform ist, erfüllt die NIS2-Pflichten weitgehend mit.

Was passiert bei einem negativen KRITIS-Audit?

Das BSI kann verbindliche Anweisungen mit konkreten Maßnahmen und Fristen erlassen. Bei Nichteinhaltung drohen Bußgelder bis zu 2 Millionen Euro nach dem IT-Sicherheitsgesetz 2.0. Zusätzlich kann das BSI die Organisation verpflichten, auf eigene Kosten externe Prüfer für eine Nachprüfung zu beauftragen.

Brauchen wir einen bestimmten Firewall-Hersteller für KRITIS?

Nein. Die KRITIS-Anforderungen sind herstellerunabhängig. Ob Sie Palo Alto, Fortinet, Check Point oder eine andere Kombination von Herstellern einsetzen — die Compliance-Anforderungen bleiben dieselben. Entscheidend sind Dokumentation, Prozess und Nachweise, nicht die konkrete Technologie.

Wie oft finden KRITIS-Prüfungen statt?

KRITIS-Betreiber müssen alle zwei Jahre ihre Compliance durch BSI-zugelassene Prüfer nachweisen. Die Ergebnisse werden an das BSI übermittelt, das zusätzliche Informationen anfordern oder eigene Inspektionen durchführen kann.

Weiterführende Compliance-Leitfäden

KRITIS-Betreiber müssen häufig mehrere Frameworks gleichzeitig erfüllen. Diese Leitfäden helfen bei der Vorbereitung:

Wie steht es um Ihre KRITIS Compliance?

Unser kostenloser Firewall-Audit analysiert Ihr Regelwerk in Minuten und zeigt, wo Handlungsbedarf besteht — inklusive KRITIS-relevanter Findings.

Kostenlosen Audit starten →

See How Your Firewall Rules Score

Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.

Try Free ScannerSee All Features

Stay Updated

Get firewall management tips, compliance guides, and product updates.

No spam. Unsubscribe anytime.

Fw

The FwChange Team

Enterprise firewall change management. Built by security professionals with 17+ years of hands-on experience.

Related Articles

Guides

The Complete Guide to Firewall Change Management in 2026

10 min read

Compliance

PCI-DSS 4.0 Firewall Requirements: What Security Teams Need to Know

8 min read

Best Practices

How to Optimize Your Firewall Rulebase: Shadow Rules, Redundancies, and Best Practices

8 min read

Ready to Automate Firewall Changes?

See how FwChange streamlines multi-vendor firewall management with compliance automation and AI-powered rule analysis.

Try Free Scanner