Background Checks in der KRITIS: Was Betreiber jetzt prüfen müssen

KRITIS-Betreiber (Kritische Infrastrukturen) sind mit die am stärksten regulierten Unternehmen in Deutschland. Dieser Leitfaden zeigt, welche Background Checks für welche Positionen nach BSI-Gesetz, KRITIS-DachG und IT-Sicherheitsgesetz 2.0 erforderlich sind.

Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit hätte.

KRITIS-Sektoren nach BSI:

• Energie (Strom, Gas, Öl, Wasserstoff)

• Informationstechnik und Telekommunikation

• Transport und Verkehr

• Gesundheit (Krankenhäuser, Arzneimittelhersteller)

• Wasser (Wasserversorgung, Abwasser)

• Ernährung

• Finanz- und Versicherungswesen

• Staat und Verwaltung

• Siedlungsabfallentsorgung

• Medien und Kultur

Ab bestimmten Schwellenwerten (z. B. über 500.000 Versorgte) gelten Unternehmen als KRITIS und unterliegen besonderen Pflichten.

Die rechtlichen Grundlagen

BSI-Gesetz (BSIG)

Regelt die IT-Sicherheit kritischer Infrastrukturen. KRITIS-Betreiber müssen:

• Angemessene organisatorische und technische Vorkehrungen treffen

• Sicherheitsrelevante Vorfälle an das BSI melden

• Regelmäßig Audits nachweisen

IT-Sicherheitsgesetz 2.0

Erweitert die BSI-Pflichten:

• Systeme zur Angriffserkennung sind Pflicht

• Meldepflichten wurden verschärft

• Bußgelder wurden deutlich erhöht

KRITIS-Dachgesetz (KRITIS-DachG)

Tritt in Kraft und erweitert Anforderungen auf physische Sicherheit:

• Schutz vor physischen Angriffen

• Personelle Sicherheit (Background Checks!)

• Krisenmanagement

• Ausfallsicherheit

NIS2-Richtlinie

EU-Richtlinie, seit Oktober 2024 in deutsches Recht umgesetzt. Erweitert den KRITIS-Begriff auf weitere Sektoren (u. a. Post- und Kurierdienste, Produktion bestimmter Güter).

Welche Positionen erfordern Background Checks?

Pflicht-Prüfung für:

• Geschäftsleitung der KRITIS-Betreiber

• IT-Sicherheitsbeauftragte (in vielen Sektoren gesetzlich vorgeschrieben)

• Betriebspersonal in sicherheitsrelevanten Bereichen

• Systemadministratoren mit privilegierten Zugriffsrechten

• Externe Dienstleister mit Zugang zu KRITIS-Systemen

Empfohlene Prüfung für:

• Alle Mitarbeiter mit Zugang zu geschäftskritischen Daten

• Wartungspersonal mit physischem Zugang

• Projekt- und Bauleiter bei Infrastrukturprojekten

• Rechenzentrums-Mitarbeiter

Welche Checks sind erforderlich?

1. Sicherheitsüberprüfung (SÜ)

Nach Sicherheitsüberprüfungsgesetz (SÜG) für Mitarbeiter mit Zugang zu Verschlusssachen. Es gibt drei Stufen:

• Ü1: Einfache Sicherheitsüberprüfung (für VS-VERTRAULICH)

• Ü2: Erweiterte Sicherheitsüberprüfung (für GEHEIM)

• Ü3: Erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (für STRENG GEHEIM)

SÜG-Prüfungen werden vom Bundesamt für Verfassungsschutz (BfV) durchgeführt — nicht vom Arbeitgeber selbst.

2. Pre-Employment Screening (ergänzend)

Zusätzlich zur SÜ oder bei weniger sensiblen Positionen:

• Identitätsverifizierung (Ausweis, Dokumente)

• Qualifikations- und Zeugnisprüfung

• Beschäftigungshistorie

• Strafregisterauszug / erweitertes Führungszeugnis

• Sanktionslisten-Screening (EU, UN, OFAC)

• PEP-Prüfung

• Adverse Media Screening

• Referenz-Checks

3. Laufendes Monitoring

• Sanktionslisten-Abgleich (wöchentlich)

• PEP-Status-Monitoring

• Adverse Media Alerts

• Compliance-Verstöße (laufende Meldungen)

Kritische Infrastrukturen in der Schweiz, Österreich und EU-weit

Schweiz — NCSC und ISchV

Das Schweizer Pendant zur BSI heißt Nationales Zentrum für Cybersicherheit (NCSC). Rechtliche Grundlage: Informationssicherheitsgesetz (ISG), Cyberrisikenverordnung (CyRV) und Informationsschutzverordnung (ISchV). Die Schweiz hat NIS2 formal nicht umgesetzt, orientiert sich aber an EU-Standards. Für Banken und Finanzinstitute gelten zusätzlich FINMA-Anforderungen an Betriebssicherheit und personelle Eignung.

Österreich — NIS-Gesetz + NIS2-Umsetzung

Österreich hat das EU-NIS2 mit dem NIS-G (Netz- und Informationssystemsicherheitsgesetz) umgesetzt. Zuständige Behörden: GovCERT Austria und die jeweilige Fachbehörde pro Sektor (z. B. E-Control für Energie). Der Scope der kritischen und wichtigen Einrichtungen ist durch NIS2 erheblich erweitert worden: jetzt auch Postdienste, Produktion pharmazeutischer Grundstoffe, Abwasser-Entsorger und viele weitere Branchen.

EU-weit — NIS2-Richtlinie + DORA

Die NIS2-Richtlinie (2022/2555) ist seit Oktober 2024 EU-weit umzusetzen. Sie erweitert den Kreis der „wesentlichen" und „wichtigen" Einrichtungen deutlich. Für den Finanzsektor gilt zusätzlich der Digital Operational Resilience Act (DORA), anwendbar seit Januar 2025, mit expliziten Anforderungen an Background Checks für kritische IT-Drittdienstleister (Art. 28 DORA). Beide Regulierungen fordern: Personelle Sicherheit, Hintergrundprüfung für sensitive Rollen, laufendes Monitoring, revisionssichere Dokumentation.

Häufige Lücken in der KRITIS-Praxis

1. Nur Einzel-Check bei Einstellung

Viele Betreiber prüfen nur bei Einstellung — nie wieder. Aber: Mitarbeiter können sich radikalisieren, Strafverfahren bekommen, in Sanktionslisten aufgenommen werden. Laufendes Monitoring ist entscheidend.

2. Externe Dienstleister übersehen

Wartungstechniker, externe IT-Consultants, Reinigungspersonal in Rechenzentren — oft nicht geprüft. Aber: Sie haben oft mehr Zugang als manche interne Mitarbeiter.

3. Keine Dokumentation

BSI-Audit fragt: „Wann haben Sie welchen Mitarbeiter gegen welche Listen geprüft?" Ohne revisionssichere Dokumentation ist das Verfahren wertlos.

4. Unterschätzung des Insider-Threats

Studien zeigen: Ein großer Teil sicherheitsrelevanter Vorfälle geht von eigenen Mitarbeitern oder Ex-Mitarbeitern aus. Background Checks sind die erste Verteidigungslinie.

Konsequenzen bei Verstoß

BSI-Bußgelder

Bis zu 20 Mio. € oder 4 % des globalen Jahresumsatzes (höher von beiden).

Persönliche Haftung

Geschäftsführer haften persönlich bei mangelhafter Umsetzung der BSI-Vorgaben — unabhängig davon, ob ein Schaden eingetreten ist oder nicht.

Reputationsschäden

Sicherheitsvorfälle bei KRITIS-Betreibern werden öffentlich. Ein einziger Vorfall kann Jahrelange Vertrauensarbeit zunichtemachen.

Verlust der Betriebserlaubnis

Bei schwerwiegenden Verstößen: Betriebsuntersagung durch Aufsichtsbehörden (BSI, Bundesnetzagentur, Landesbehörden).

Best Practice: So stellst Du KRITIS-konformes Background Check auf

1. Rollen-Risikomatrix

• Welche Rollen haben Zugang zu kritischen Systemen?

• Welche externen Parteien ebenfalls?

• Welche Prüftiefe ist pro Rolle erforderlich?

2. Prüfprozess standardisieren

• Einwilligungsprozess

• Prüfmodule pro Rolle

• Eskalationspfad bei Auffälligkeiten

• Dokumentationspflicht

3. Automatisierung nutzen

Manuelle Prüfung bei 100+ sicherheitsrelevanten Positionen ist nicht skalierbar. Automatisierte Tools wie Indicium übernehmen:

• Pre-Employment Checks

• Laufendes Sanktionslisten- und PEP-Monitoring

• Adverse Media Alerts

• Revisionssichere Dokumentation (BSI-Audit-fähig)

4. Externe Dienstleister einbinden

Auch Wartungstechniker, Consultants und Service-Personal in den Prüfprozess einbeziehen.

5. Laufendes Audit

Jährliche Review des Prozesses durch interne Revision oder externen Prüfer.

Wie Indicium KRITIS unterstützt

• Alle Pre-Employment-Checks in einem Workflow

• Laufendes Sanktionslisten- und PEP-Monitoring

• Adverse Media Screening mit deutschem Schwerpunkt

• Revisionssichere Dokumentation für BSI-Audits

• DSGVO-konform, Server in der EU

• Integration in bestehende HR-Systeme

• Alle Compliance-Dokumente im Trust Center

Fazit

KRITIS-Betreiber sind 2026 verpflichtet, personelle Sicherheit professionell umzusetzen. Background Checks sind nicht Kür, sondern Pflicht. Manuelle Prüfung bei 100+ Rollen ist nicht skalierbar. Automatisierte Tools mit revisionssicherer Dokumentation sind der einzig praktikable Weg.

Demo buchen und KRITIS-konforme Prozesse konkret mit uns besprechen.