Cybersecurity in KRITIS
Betreiber (KRITIS) und Einrichtungen (NIS2) sind für ein angemessenes Niveau von Cybersecurity und IT-Sicherheit verantwortlich. Dazu müssen Betreiber in den KRITIS-Anlagen und Einrichtungen im Unternehmen Cybersecurity umsetzen, um sich vor Ausfällen zu schützen:
- Organisatorische Maßnahmen: Steuerung durch ISMS, BCMS und Risiko-Management, einschliesslich KRITIS-Sicherheit und Personalsicherheit
- Technologie: Maßnahmen nach Stand der Technik schützen IT, OT und Infrastruktur
- Angriffserkennung: Incident Management und Systeme zur Angriffserkennung wie SIEM und IDS ermöglichen eine angemessene Reaktion auf Angriffe
- NIS2: Mit NIS2 erweitern sich die Security-Pflichten im Umfang und der Abdeckung.
Bei der Auswahl der Maßnahmen und Standards sind KRITIS-Betreiber relativ frei — sowohl KRITIS als auch NIS2 machen wenig explizite normative Vorgaben zur genauen Umsetzung.
Sicherheitsmaßnahmen
Anforderungen für KRITIS und NIS2
Betreiber (KRITIS) und Einrichtungen (NIS2) müssen organisatorische und technische Schutz-Maßnahmen umsetzen, um ihre Dienstleistungen und ihr zu schützen. Die KRITIS-Maßnahmen orientieren sich an der Konkretisierung der Anforderungen des BSI aus 2020 (von 1 bis 100) und beziehen sich auf die aktuelle (alte) KRITIS-Regulierung des IT-Sicherheitsgesetz 2.0.
Die NIS2-Maßnahmen orientieren sich an der NIS2-Umsetzung (30.1.1 bis 38.3), die ab Ende 2024 gültig sein soll und durch das KRITIS-Dachgesetz und Implementing Acts ergänzt wird.
| Kategorie | Beschreibung | KRITIS | NIS2 |
|---|---|---|---|
| ISMS | Ein Management-System für Informationssicherheit muss im Geltungsbereich von KRITIS-Anlagen etabliert sein, das grundlegende Verantwortungen und Rollen festlegt. | 1-4 65-67 83-89 |
30.1.1 30.2.1b 30.2.6 38.1 |
| BCMS, Krisen und Notfallmanagement | Business Continuity Management und IT-Notfall-Management mindern Ausfallrisiken von Assets die Auswirkungen von IT-Notfällen. Ein BCMS hilft bei der Identifikation und Schutz von KRITIS-Anlagen. | 15, 17-19 | 30.2.0 30.2.3a 30.2.3c 30.2.3d |
| Personalsicherheit und Schulungen | Prozesse für Personal, HR-Sicherheit, Sicherheitsüberprüfungen, Schulungen und Awareness | 56-57 68-70 | 30.2.7a 30.2.7b 30.2.9a 38.3 |
| Lieferanten | Management der Risiken und Sicherheit bei Lieferanten und Externen, Supply Chain Security | 98-99 43 | 30.2.4a 30.2.4b 30.2.5a |
| Risiko-Management | Organisiertes Risiko-Management ist die Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. | 13-16 | 30.1.1 30.1.2 30.2.0 30.2.1a |
| Asset-Management | Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit organisierten Prozessen und Verantwortlichkeiten gemanaged werden. | 5-12 | 30.2.9c |
| Technologie | Technische Maßnahmen in der IT und OT der KRITIS-Anlage nach Stand der Technik der IT-Sicherheit mindern IT-Risiken. | 20-55 | 30.2.3b 30.2.5b 30.2.5c 30.2.5d 30.2.8 30.2.10a 30.2.10b 30.2.10c |
| IAM | Definierte Rollen, Berechtigungen und Prozesse durch Identity und Access Management in der KRITIS-Anlage. | 58-64 | 30.2.9b 30.2.10a |
| Angriffserkennung | Angriffe auf KRITIS-Anlagen müssen erkannt werden, um auf Vorfälle reagieren und den Meldepflichten nachzukommen. Dazu ist Angriffserkennung durch SIEM, SOC und ab 2023 die Umsetzung der Orientierungshilfe Angriffserkennung nötig. | 77-82 90-96 OH‑SzA |
30.2.2 31.2 |
| KRITIS-Organisation | Die KRITIS-Organisation definiert die KRITIS-Anlagen und das Cyber Security Niveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. | 97, 100 | 30.1.2 32.1 33.1 33.2 34.1 |
| Gebäude | Maßnahmen zum Schutz des Perimeters, der Versorgung und der Gebäude der KRITIS-Anlage. | 71-76 | - |
Umgang mit Cyber Security
Stand der Technik
Für technische Maßnahmen zur Sicherung der IT, OT und technischen Infrastruktur sieht das Gesetz eine Umsetzung vom Stand der Technik vor, einen von drei Technologieständen:
- Allgemein anerkannte Regeln der Technik
- Stand der Technik
- Stand der Wissenschaft und Forschung
Von TeleTrusT, dem Bundesverband IT-Sicherheit e.V., gibt es dazu ein umfangreiches Werk an aktuell verbreiteten Maßnahmen, die diesem Kriterium entsprechen und die Maßnahmen dementsprechend herleiten. Neben dem Stand der Technik können KRITIS-Betreiber für die Sicherung ihrer IT ebenfalls auf Cyber Security Standards zurückgreifen:
| Thema | Standard | Umfang | ||
|---|---|---|---|---|
| Management von Informationssicherheit | ||||
| KRITIS | BSI Konkretisierung, NIST CSF | Kontrollen | ||
| Informationssicherheit | ISO 27001, BSI IT-Grundschutz | ISMS, Kontrollen | ||
| Cloud | C5 | Kontrollen | ||
| Branchen, Industrien und Technologien | ||||
| KRITIS-Branchen | B3S Branchenstandards | ISMS, Kontrollen | ||
| Regulierung und Gesetze | EnWG, SiKat, BAIT, TKG, Katalog 2.0 | IT-Regulierung, Kontrollen | ||
| Industriestandards | ISO 2701X, IEC 62443, NERC CIP | Kontrollen, Vorgehen | ||
Angemessenheit und Wirksamkeit
Schutzmaßnahmen in Kritischen Infrastrukturen müssen angemessen sein — sie müssen einerseits die Schutzziele für KRITIS erreichen können (Eignung), andererseits aber auch in vertretbaren Aufwand umzusetzen zu sein (Verhältnismäßigkeit).
- §8a (1) BSIG versteht unter Angemessenheit
angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse.
- Angemessen sind KRITIS-Maßnahmen nach BSIG,
wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
An dieser Abwägung sollte sich die Auswahl und Umsetzung von Maßnahmen orientieren.
Bei der Abwägung von Angemessenheit und Aufwand für KRITIS-Maßnahmen eröffnet sich schnell ein Spannungsfeld zwischen den unternehmerischen Realitäten und Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen und schließlich den Prüfern in der KRITIS-Prüfung plausibel darlegen können.
In NIS2 wird explizit die Wirksamkeit technischer und organisatorischer Maßnahmen gefordert.
- Wirksamkeit betrifft die Umsetzung und Effektivität der Maßnahmen. Die Implementierung der Maßnahmen sollte dabei für Drittpersonen verständlich und nachvollziehbar sein.
- Wirksamkeit bedeutet, dass Prozesse effektiv gelebt werden und Maßnahmen im Ergebnis einem festgelegten Maßnahmenziel gerecht werden. Falls Mängel in der Umsetzung oder Effektivität identifiziert werden, sollten Verbesserungsmaßnahmen umgesetzt werden.
- Um die Wirksamkeit zu bewerten, kann für Prozesse, Anwendungen und Systeme betrachtet werden, ob Maßnahmen wie geplant zur Erreichung der Maßnahmenziele beitragen.
Langfristige Überlegungen
KRITIS-Strategie
Eine langfristige und strategische Behandlung von Cyber Security in KRITIS-Anlagen ist in der aktuellen Bedrohungs- und Regulierungslage ratsam — und ermöglicht einen bedachten und geplanten Einsatz von Ressourcen beim Aufbau des Sicherheitsniveaus, anstatt reaktiv nach Vorfällen oder Prüfungen kurzfristig handeln zu müssen.
Security Programm
Ein Sicherheitsprogramm kann als Enabler im Unternehme strategische Themen und Cyber Security mit priorisierten Initiativen und Projekten vorantreiben. Mit einem klaren Mandat basierend auf der eigenen Risikoabwägung können so die wichtigsten Themen und Lücken im Betrieb und den KRITIS-Anlagen strukturiert angegangen und geschlossen werden.
Organisation
Neben einzelnen Initiativen sollten Betreiber organisatorische Voraussetzungen schaffen, um KRITIS-Risiken und die Sicherheit in den KRITIS-Anlagen zu managen — mit klaren Rollen, verbindlichen Verantwortlichkeiten und effektiven Prozessen im ISMS, BCMS und IT-RM.
Technologie
Der technologische Wandel und Sicherheit in der Digitalisierung sollten möglichst langfristig durch Cyber Security begleitet werden — lange Lebenszyklen müssen berücksichtigt und Legacy-IT besonders geschützt werden. Die Sicherheitsanforderungen für KRITIS müssen mit Modernisierungsprogrammen und Cloud-Initiativen harmonisiert werden — vielleicht wird Sicherheit in Zulieferketten oder Service-Management zukünftig wichtiger als die eigene IT.
Prüfungen
Als Kritische Infrastruktur müssen KRITIS-Betreiber die Sicherheitsvorkehrungen in ihren KRITIS-Anlagen dem BSI regelmäßig durch die BSIG-Nachweisprüfungen nachweisen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.
Weitere Informationen
Literatur
- Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
- Stand der Technik in der IT-Sicherheit, TeleTrusT, Bundesverband IT-Sicherheit e.V., o.D. — dort gibt es auch eine verlinkte PDF Handreichung zum Stand der Technik
Quellen
- "Stand der Technik" umsetzen, Allgemeine Infos zu KRITIS, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist