Whitepaper NIS2-Check EN

Compliance

KRITIS-Firewall-Compliance: Die BSI-Anforderungen

NF Nick Falshaw· 6. Feb. 2026· 6 Min. Lesezeit
KRITIS Firewall-ComplianceKRITIS BSIDeutsche kritische Infrastruktur
Eine Firewall schützt deutsche KRITIS-Infrastruktur, mit einem Compliance-Siegel

Die KRITIS-Firewall-Compliance zählt zu den anspruchsvollsten Cybersicherheitsanforderungen, mit denen deutsche Organisationen konfrontiert sind. Wenn Sie Kritische Infrastrukturen betreiben — Energie, Wasser, Gesundheit, Transport, Ernährung, Finanzwesen, Telekommunikation oder IT —, legt das BSI für Sie einen höheren Maßstab an als für die übliche Unternehmenssicherheit. Ihre Firewall-Infrastruktur muss nicht nur Ihr Netzwerk schützen, sondern auch eine umfassende Dokumentation liefern, die die Compliance zu jedem beliebigen Zeitpunkt nachweist.

Was KRITIS besonders macht

Die KRITIS-Regelungen (Kritische Infrastrukturen) nach dem IT-Sicherheitsgesetz 2.0 gehen über übliche Best Practices der Sicherheit hinaus. Während Rahmenwerke wie ISO 27001 ein allgemeines Sicherheitsmanagementsystem bereitstellen, fordert KRITIS spezifische, messbare Maßnahmen mit Nachweis der Umsetzung:

  • Strikte IT/OT-Trennung: Betreiber Kritischer Infrastrukturen müssen eine klare Netzwerksegmentierung zwischen IT- und OT-Umgebungen nachweisen, mit dokumentierten Firewall-Regeln, die den gesamten zonenübergreifenden Datenverkehr steuern.
  • Vollständige Änderungsdokumentation: Jede Firewall-Änderung muss über einen lückenlosen Audit-Trail verfügen — Antrag, Begründung, Risikobewertung, Genehmigung, Umsetzung und Verifizierung — wobei die Aufzeichnungen für Audits aufbewahrt werden.
  • Verlängerte Log-Aufbewahrung: Firewall-Logs müssen mindestens 90 Tage aufbewahrt werden und auf Anfrage dem BSI bereitgestellt werden können.
  • 24/7-Überwachung: KRITIS-Betreiber müssen eine kontinuierliche Überwachung der Netzwerksicherheitsmaßnahmen implementieren, einschließlich Echtzeit-Alarmierung bei Verstößen gegen Firewall-Richtlinien und unautorisierten Änderungen.
  • Zweijährliche Audits: KRITIS-Betreiber müssen ihre Compliance durch Audits nachweisen, die alle zwei Jahre von BSI-anerkannten Prüfern durchgeführt werden, samt Nachweisen für sämtliche Maßnahmen.

Die 5 wesentlichen KRITIS-Firewall-Anforderungen

Basierend auf den BSI-Standards und dem IT-Sicherheitsgesetz 2.0 konzentriert sich die KRITIS-Firewall-Compliance auf fünf wesentliche Anforderungen:

1. Netzwerksegmentierung und Zonenarchitektur

KRITIS-Betreiber müssen eine zonenbasierte Netzwerkarchitektur mit dokumentierten Sicherheitsgrenzen implementieren. Das bedeutet mindestens getrennte Zonen für IT, OT, DMZ, Management und externe Anbindung — mit Firewall-Regeln, die den Datenverkehr zwischen den einzelnen Zonen explizit steuern.

Jede zonenübergreifende Regel muss eine dokumentierte betriebliche Begründung aufweisen. „Any/Any“-Regeln zwischen Zonen führen unmittelbar zu einem Nichtbestehen des Audits. Die Zonenarchitektur muss in Netzwerkdiagrammen dokumentiert sein, die bei jeder Änderung aktualisiert werden.

Wesentliche Nachweise: Dokument der Zonenarchitektur, Netzwerkdiagramme, Inventar der zonenübergreifenden Regeln mit Begründungen, Ergebnisse von Segmentierungstests.

2. Dokumentation des Änderungsmanagements

Jede Firewall-Änderung in einer KRITIS-Umgebung muss einem formalen Change-Management-Prozess folgen. Das ist nicht optional und nicht verhandelbar — Prüfer sehen sich die Änderungsaufzeichnungen im Detail an. Der Prozess muss die Antragsdokumentation, eine Risikobewertung, eine mehrstufige Genehmigung, Umsetzungsaufzeichnungen sowie eine Verifizierung nach der Umsetzung umfassen.

Notfalländerungen sind zulässig, müssen jedoch über ein dokumentiertes Notfall-Änderungsverfahren mit verpflichtender Nachprüfung innerhalb von 48 Stunden verfügen.

Wesentliche Nachweise: Change-Management-Richtlinie, einzelne Änderungsaufzeichnungen, Genehmigungsketten, Notfall-Änderungsverfahren, Nachprüfungen nach der Umsetzung.

3. Anforderungen an Logging und Aufbewahrung

KRITIS schreibt eine Mindestaufbewahrungsdauer von 90 Tagen für Firewall-Logs vor. Diese Logs müssen sämtlichen erlaubten und abgewiesenen Datenverkehr, administrative Zugriffe, Konfigurationsänderungen und Richtlinienanpassungen erfassen. Die Logs müssen manipulationssicher gespeichert und für forensische Analysen verfügbar sein.

Die Integrität der Logs ist entscheidend. BSI-Prüfer überprüfen, dass Logs nicht von Administratoren verändert oder gelöscht werden können. Dies erfordert in der Regel die Weiterleitung der Logs an ein separates SIEM- oder Log-Management-System mit Write-Once-Speicherung.

Wesentliche Nachweise: Richtlinie zur Log-Aufbewahrung, SIEM-Konfiguration, Verifizierung der Log-Integrität, Beispiel-Log-Exporte, Planung der Speicherkapazität.

4. Erkennung und Reaktion auf Vorfälle

KRITIS-Betreiber müssen Sicherheitsvorfälle in ihrer Firewall-Infrastruktur erkennen und gemäß dokumentierten Verfahren darauf reagieren. Dazu gehören die Überwachung auf unautorisierte Regeländerungen, die Erkennung anomaler Verkehrsmuster und die Alarmierung bei Richtlinienverstößen.

Vorfallmeldungen müssen unverzüglich an das BSI übermittelt werden — schwerwiegende Vorfälle innerhalb von 24 Stunden. Der Incident-Response-Prozess muss regelmäßig durch Übungen getestet und die Ergebnisse dokumentiert werden.

Wesentliche Nachweise: Incident-Response-Plan, Überwachungskonfiguration, Alarmregeln, Vorfallmeldungen, Übungsaufzeichnungen, Vorlagen für BSI-Meldungen.

5. Regelmäßige Sicherheitsbewertungen

Firewall-Konfigurationen müssen regelmäßig auf ihre Sicherheitswirksamkeit bewertet werden. Dazu gehört die periodische Optimierung des Regelwerks, um Schattenregeln, Redundanzen und zu freizügige Richtlinien zu entfernen. Penetrationstests der Firewall-Infrastruktur müssen mindestens jährlich durchgeführt werden.

Das zweijährliche KRITIS-Audit prüft gezielt die Ergebnisse dieser Bewertungen sowie die als Reaktion auf Feststellungen ergriffenen Maßnahmen.

Wesentliche Nachweise: Bewertungsberichte, Ergebnisse der Regelwerksanalyse, Penetrationstestberichte, Nachverfolgung der Behebung, Trenddaten, die Verbesserungen belegen.

Häufige Ursachen für ein Nichtbestehen von KRITIS-Audits

Basierend auf den Mustern aus KRITIS-Audits sind dies die häufigsten firewallbezogenen Feststellungen:

  1. Fehlende betriebliche Begründungen. Firewall-Regeln existieren, ohne dass dokumentierte Gründe für ihr Vorhandensein vorliegen. Dies ist die mit Abstand häufigste Feststellung.
  2. Unvollständige Änderungsaufzeichnungen. An Firewall-Konfigurationen wurden Änderungen vorgenommen, ohne dem dokumentierten Change-Management-Prozess zu folgen — oder der Prozess wurde befolgt, aber die Aufzeichnungen sind unvollständig.
  3. Unzureichende OT/IT-Segmentierung. Datenflüsse zwischen OT- und IT-Zonen, die nicht explizit dokumentiert und begründet sind. Zu breit gefasste Regeln, die unnötige Kommunikation zwischen Zonen erlauben.
  4. Lücken bei der Log-Aufbewahrung. Logs werden nicht über die vollen 90 Tage Mindestdauer aufbewahrt, oder die Log-Integrität kann nicht nachgewiesen werden, weil die Logs auf demselben System gespeichert werden, von dem sie stammen.
  5. Kein Nachweis regelmäßiger Überprüfungen. Es gibt keinen dokumentierten Nachweis, dass Firewall-Regeln periodisch überprüft werden. Regeln aus dem Vorjahren bestehen weiter, ohne jegliche Aufzeichnung einer erneuten Validierung.
  6. Notfalländerungen ohne Nachbereitung. Notfall-Firewall-Änderungen wurden während Vorfällen vorgenommen, aber niemals nachträglich überprüft und formal genehmigt.
  7. Veraltete Netzwerkdiagramme. Die dokumentierte Netzwerkarchitektur stimmt nicht mit der tatsächlichen Firewall-Konfiguration überein. Diagramme zeigen Zonen und Verbindungen, die nicht mehr existieren, oder lassen neue außer Acht.

Wie FwChange die KRITIS-Compliance unterstützt

Die KRITIS-Firewall-Anforderungen manuell zu erfüllen ist möglich, erfordert jedoch erheblichen Aufwand. Automatisierung beseitigt die häufigsten Audit-Mängel, indem sie Prozessdisziplin durchsetzt:

  • Verpflichtende betriebliche Begründung: Jeder Änderungsantrag erfordert eine dokumentierte betriebliche Begründung, bevor er in den Genehmigungsworkflow gelangt. Keine Begründung, keine Änderung.
  • Lückenloser Audit-Trail: Jeder Schritt des Änderungsprozesses — Antrag, Validierung, Genehmigung, Umsetzung, Verifizierung — wird automatisch mit Zeitstempeln, Benutzeridentitäten und vollständigem Kontext protokolliert.
  • Mehrstufige Genehmigung: Konfigurierbare Genehmigungsworkflows, die Änderungen anhand von Risikostufe, Kritikalität der Zone und organisatorischer Richtlinie weiterleiten. Sie unterstützen die mehrstufigen Genehmigungsketten, die KRITIS-Prüfer erwarten.
  • Automatisierte Regelanalyse: Die integrierte Regelanalyse erkennt Schattenregeln, Redundanzen und Konflikte über Ihren gesamten herstellerübergreifenden Bestand hinweg.
  • Compliance-Reporting: Erzeugen Sie audit-fertige Berichte, die sich direkt den KRITIS-Anforderungen zuordnen lassen, einschließlich Regelinventaren, Änderungshistorien und Überprüfungsnachweisen.

Wenn Sie Kritische Infrastrukturen betreiben und die KRITIS-Compliance nachweisen müssen, beginnen Sie mit einem kostenlosen Regelwerks-Audit, um Ihre aktuellen Dokumentationslücken zu identifizieren.

Häufig gestellte Fragen

Wer gilt als KRITIS-Betreiber?

KRITIS-Betreiber sind Organisationen, die wesentliche Dienste in den durch die Verordnung BSI-KritisV definierten Sektoren erbringen: Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanzwesen und Transport. Die Einstufung beruht auf bestimmten Schwellenwerten (z. B. die Versorgung von mehr als 500.000 Menschen). In Deutschland gelten derzeit rund 1.600 Organisationen als KRITIS-Betreiber.

Wie verhält sich KRITIS zu NIS2?

KRITIS ist älter als NIS2 und erfasst einen engeren Kreis von Organisationen. Sobald die NIS2-Umsetzung (NIS2UmsuCG) in Kraft tritt, müssen KRITIS-Betreiber beide Rahmenwerke erfüllen. In der Praxis sind die KRITIS-Anforderungen in der Regel strenger als NIS2, sodass KRITIS-konforme Organisationen die NIS2-Anforderungen weitgehend ebenfalls erfüllen werden.

Was passiert, wenn wir ein KRITIS-Audit nicht bestehen?

Das BSI kann verbindliche Anweisungen erteilen, die bestimmte Behebungsmaßnahmen innerhalb festgelegter Fristen verlangen. Ein Verstoß kann nach dem IT-Sicherheitsgesetz 2.0 Bußgelder von bis zu 2 Millionen EUR nach sich ziehen. Das BSI kann zudem verlangen, dass die Organisation auf eigene Kosten externe Prüfer für eine Nachverifizierung hinzuzieht.

Benötigen wir für KRITIS einen bestimmten Firewall-Hersteller?

Nein. Die KRITIS-Anforderungen sind herstellerneutral. Ob Sie Palo Alto, Fortinet, Check Point oder eine beliebige andere Kombination von Herstellern einsetzen — die Compliance-Anforderungen sind dieselben. Worauf es ankommt, sind die Dokumentation, der Prozess und die Nachweise — nicht die konkrete Technologie.

Wie oft werden KRITIS-Audits durchgeführt?

KRITIS-Betreiber müssen ihre Compliance alle zwei Jahre durch Audits nachweisen, die von BSI-anerkannten Prüfern durchgeführt werden. Die Audit-Ergebnisse werden dem BSI übermittelt, das zusätzliche Informationen anfordern oder eigene Prüfungen durchführen kann.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragWarum ich ein Tool für das Firewall-Change-Management entwickelt habe