Branchen

Erfahrung in sicherheitssensiblen Umgebungen: KRITIS, Behörden, Verteidigung

3 Min. Lesezeit

Bestimmte Branchen und Organisationen stellen besondere Anforderungen an IT-Sicherheit. Nicht nur technisch, sondern auch organisatorisch und personell. Wir haben in diesen Umgebungen gearbeitet und verstehen, was dort anders läuft.

Was "sicherheitssensible Umgebungen" bedeutet

Kritische Infrastrukturen (KRITIS)

Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz. Sie müssen nachweisen, dass ihre IT-Systeme angemessen geschützt sind. Das betrifft unter anderem:

  • Energie (Strom, Gas, Öl)
  • Wasser und Ernährung
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Finanzwesen

Behörden und öffentlicher Sektor

Bundes-, Landes- und Kommunalbehörden haben eigene Anforderungen:

  • BSI-Grundschutz oder ISO 27001
  • Besondere Vergabeverfahren
  • Verstärkte Datenschutzanforderungen nach DSGVO
  • Teilweise Standortanforderungen (Deutschland/EU)

Verteidigung und Rüstung

Der engste regulatorische Rahmen:

  • Umgang mit Verschlusssachen verschiedener Geheimhaltungsstufen
  • Sicherheitsüberprüfungen des Personals (SÜ1, SÜ2, SÜ3)
  • Besondere Anforderungen an Entwicklungs- und Betriebsumgebungen
  • Oft Air-Gapped oder stark abgeschottete Netze

Unsere Erfahrung

Sicherheitsüberprüfungen

Unsere Mitarbeiter bringen die notwendigen Voraussetzungen für Projekte mit Verschlusssachen mit:

  • Erweiterte Sicherheitsüberprüfung (SÜ2) vorhanden
  • Erfahrung im Umgang mit klassifizierten Materialien
  • Verständnis für die Besonderheiten dieser Umgebungen

Branchenerfahrung

Wir haben in Projekten gearbeitet, die unter besonderen regulatorischen Anforderungen stehen:

  • Rüstungsindustrie
  • Marineelektronik
  • Kritische Infrastrukturen
  • Öffentlicher Sektor

Technische Expertise

Was in diesen Umgebungen anders ist:

Air-Gapped Deployments: Kein Internetzugang. Alles muss offline funktionieren, von Paketinstallationen bis zu Software-Updates.

On-Premises only: Keine Public Cloud. Oft eigene Rechenzentren mit physischer Zutrittskontrolle.

Strikte Netzwerksegmentierung: Zonenmodelle mit kontrollierten Übergängen zwischen Sicherheitsbereichen.

Audit-Anforderungen: Lückenlose Nachvollziehbarkeit von Änderungen. Wer hat wann was gemacht?

Patch-Management unter Constraints: Updates müssen getestet und freigegeben werden, bevor sie auf produktive Systeme kommen.

Was wir mitbringen

Verständnis für Rahmenbedingungen

In regulierten Umgebungen ist nicht alles möglich, was technisch sinnvoll wäre. Wir arbeiten innerhalb der Vorgaben und finden pragmatische Lösungen.

Dokumentation und Nachvollziehbarkeit

Änderungen müssen revisionssicher dokumentiert sein. Wir arbeiten mit Infrastructure as Code, Git-basierten Workflows und strukturierten Freigabeprozessen.

Diskretion

Was wir in Projekten erfahren, bleibt vertraulich. Das versteht sich in diesen Branchen von selbst.

Typische Themen

Netzwerksegmentierung und Zonenmodelle: Sichere Trennung von Netzbereichen nach Schutzbedarf.

Monitoring in abgeschotteten Umgebungen: Observability ohne Cloud-Dienste, komplett On-Premises.

Sichere Entwicklungsumgebungen: CI/CD in Air-Gapped Netzen ohne externe Abhängigkeiten.

Backup und Recovery: Wiederherstellung unter regulatorischen Anforderungen, mit Nachweis.

Patch-Management: Kontrollierte Updates mit dokumentierten Freigabeprozessen.

Mehr dazu: Security & Compliance Beratung

FAQ

Arbeitet ihr nur in hochsicheren Umgebungen?

Nein. Der Großteil unserer Projekte findet in normalen Unternehmensumgebungen statt. Aber wir haben die Erfahrung und Freigaben, um auch in regulierten Umgebungen zu arbeiten.

Was ist der Unterschied zu normalen IT-Projekten?

Hauptsächlich: strengere Prozesse, mehr Dokumentation, längere Freigabezyklen, oft kein Internet. Technisch ist vieles ähnlich, aber die Rahmenbedingungen sind enger.

Übernehmt ihr Projekte mit Verschlusssachen-Einstufung?

Ja, soweit unsere Freigaben (SÜ2) ausreichen. Für höhere Einstufungen prüfen wir das im Einzelfall.

Wie läuft die Zusammenarbeit bei klassifizierten Projekten?

Typischerweise vor Ort beim Kunden oder in entsprechend zugelassenen Umgebungen. Details klären wir projektspezifisch.

Fazit

Regulierte Umgebungen sind anspruchsvoller. Mehr Prozesse, strengere Anforderungen, weniger Spielraum. Wir verstehen diese Rahmenbedingungen aus eigener Erfahrung und liefern Lösungen, die nicht nur technisch funktionieren, sondern auch den regulatorischen Anforderungen genügen.

Interesse geweckt?

Sprechen Sie mit unseren Expert:innen über Ihr Projekt.

Kontakt aufnehmen
Alle Artikel