Cyber Security in KRITIS

KRITIS-Betreiber sind für ein angemessenes Niveau von Cyber Security und IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich. Dazu müssen in den KRITIS-Anlagen wirksame Cyber Security Maßnahmen umgesetzt werden, um die Anlagen zu schützen:

  1. Organisatorische Maßnahmen: Management-Systeme wie ISMS und BCMS helfen beim Management von Sicherheit und Cyber-Risiken in KRITIS-Anlagen
  2. Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber
  3. Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe

Die KRITIS-Regulierung macht im BSI-Gesetz wenig explizite normative Vorgaben zu genauen Maßnahmen — der folgende Abschnitt greift als Orientierung den Anforderungskatalog des BSI für KRITIS-Betreiber und Prüfer auf, mit insgesamt 100 Anforderungen für Cyber Security. (Konkretisierung der Anforderungen an die §8a (1) BSIG umzusetzenden Maßnahmen)

Organisation und Management

Der wichtigste Baustein für das Management von Cyber-Risiken bei KRITIS-Betreibern ist eine belastbare Organisation für IT-Sicherheit und funktionierende Management-Systeme.

eigene Zusammenstellung Management-Systeme KRITIS
Management-System Beschreibung Risiken und
BSI-Anforderungen
ISMS Ein Management System für Informationssicherheit muss beim Betreiber für den Geltungsbereich der KRITIS-Anlage(n) und deren Assets etabliert sein. Standards wie ISO 27001 helfen bei der geregelten Umsetzung des ISMS. Informationssicherheit
IT-Sicherheit
BSI-1-4, 56-57, 65-70, 83-89
BCMS Business Continuity Management kann Ausfallrisiken von Assets und die Kritikalität von Prozessen analysieren und mindern. Ein BCMS hilft bei der Identifikation von KRITIS-Anlagen und dem Schutz kritischer Assets und Prozesse. Prozessrisiken
Ausfallrisiken
BSI-15, 17-19
IT-Notfall-Management IT-Notfallmanagement mindert IT-Risiken als Teil vom BCMS in den KRITIS-Anlagen durch Vorsorge und Bewältigung von IT-Störungen und Notfällen. IT-Risiken
Ausfallrisiken
BSI-17-19
Risiko-Management Organisiertes Risiko-Management ist die Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. Unternehmensrisiken
BSI-13-16
Asset-Management Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit organisierten Prozessen und Verantwortlichkeiten gemanaged werden. Assetrisiken
BSI-5-12
KRITIS-Organisation Die KRITIS-Organisation definiert die KRITIS-Anlagen und das Cyber Security Niveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. KRITIS-Risiken
BSI-97-100

up

Technische Maßnahmen

Stand der Technik

Beim Betrieb kritischer Dienstleistungen müssen Betreiber Cyber Security Maßnahmen nach Stand der Technik umsetzen und ein angemessenes Niveau der IT- und OT-Sicherheit in ihren KRITIS-Anlagen sicherstellen.

Technologie

Neben angemessenen organisatorischen Grundlagen im KRITIS-Geltungsbereich müssen Betreiber technische Sicherheitsmaßnahmen in ihren KRITIS-Anlagen umsetzen — um die IT und OT der KRITIS-Anlagen nach Stand der Technik zu schützen und Angriffe zu erkennen.

Standards

Bei der Auswahl und Umsetzung von Maßnahmen können Betreiber auf passende Standards zurückgreifen: Cyber Security (ISO 27001/27002, NIST), Standards einzelner Branchen (B3S) und Industrie-Sektoren aber auch Orientierungshilfen und Konkretisierungen vom BSI.

Sicherheitsniveau

Sind KRITIS-Anlagen vorhanden und die Betroffenheit als Kritische Infrastruktur festgestellt, müssen Betreiber für ein angemessenes Sicherheitsniveau im KRITIS-Geltungsbereich sorgen.

  1. Angemessenheit: Maßnahmen müssen nach §8a (1) BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen umfassen.
  2. Umgang mit Risiken: Betreiber sind für die KRITIS-Risiken in ihren Anlagen verantwortlich (A), die Risiken können in der Behandlung nicht verlagert oder vermieden werden.
  3. Mindestniveau und Stand der Technik: Risiken in den KRITIS-Anlagen müssen gemanaged und Cyber Security Maßnahmen nach Stand der Technik implementiert werden.

BSI-Anforderungen BSI-20 bis BSI-55, BSI-58 bis BSI-64, BSI-71 bis BSI-76

Angriffserkennung

Betreiber müssen Vorfälle in ihren KRITIS-Anlagen erkennen und auf Angriffe reagieren, um ihren Meldepflichten an das BSI nachzukommen. Das neue IT-Sicherheitsgesetz 2.0 fordert ab 2023 explizit Systeme und Prozesse zur Angriffserkennung, wie SIEM und SOC.

Dazu sind in den KRITIS-Anlagen Prozesse und Technologien zur Angriffserkennung notwendig, mit denen Ereignisse und Angriffe auf die IT der Anlagen erkannt und die Reaktion eingeleitet werden kann. Parallel zur Reaktion müssen Störungen in KRITIS-Anlagen über die KRITIS-Organisation an das BSI gemeldet werden.

BSI-Anforderungen BSI-77 bis BSI-82, BSI-90 bis BSI-96

up

Weitere Informationen

Literatur

  1. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist