Cybersecurity in KRITIS

KRITIS-Betreiber sind für ein angemessenes Niveau von Cyber Security und IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich. Dazu müssen Betreiber in den KRITIS-Anlagen Cyber Security Maßnahmen umsetzen, um Anlagen und ihre IT vor Ausfällen und Angriffen zu schützen:

Bei der Auswahl der Maßnahmen und Standards sind KRITIS-Betreiber relativ frei — das IT-Sicherheitsgesetz macht wenig explizite normative Vorgaben zur genauen Umsetzung.

Sicherheits­maßnahmen

BSI-Anforderungen

Die folgenden Sicherheits­maßnahmen für KRITIS orientieren sich an der Konkretisierung der Anforderungen des BSI für KRITIS-Betreiber und Prüfer mit 100 Kontrollen basierend auf C5. Andere Security Standards sind für KRITIS auch möglich.

eigene Zusammenstellung, nach Konkretisierung der Anforderungen, BSI, 1.0 2020
Kategorie Beschreibung Risiken und
Anforderungen
ISMS Ein Management-System für Informationssicherheit muss im Geltungsbereich von KRITIS-Anlagen etabliert sein, das grundlegende Verantwortungen und Rollen festlegt. Cyber Security
KRITIS-Risiken
1-4, 56-57, 65-70, 83-89
BCMS Business Continuity Management mindert Ausfallrisiken von Assets und analysiert die Kritikalität von Prozessen. Ein BCMS hilft bei der Identifikation und Schutz von KRITIS-Anlagen. Prozess-Risiken
Ausfall-Risiken
15, 17-19
IT-Notfall-Management IT-Notfallmanagement mindert IT-Risiken als Teil vom BCMS in den KRITIS-Anlagen durch Vorsorge und Bewältigung von IT-Störungen und Notfällen. IT-Risiken
Ausfall-Risiken
17-19
Risiko-Management Organisiertes Risiko-Management ist die Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. Unternehmensrisiken
Versorgungsrisiken
13-16
Asset-Management Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit organisierten Prozessen und Verantwortlichkeiten gemanaged werden. Asset-Risiken
5-12
KRITIS-Organisation Die KRITIS-Organisation definiert die KRITIS-Anlagen und das Cyber Security Niveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. KRITIS-Risiken
97, 100
Technologie Technische Maßnahmen in der IT und OT der KRITIS-Anlage nach Stand der Technik der IT-Sicherheit mindern IT-Risiken. IT-Risiken
20-55
Angriffserkennung Angriffe auf KRITIS-Anlagen müssen erkannt werden, um auf Vorfälle reagieren und den Meldepflichten nachzukommen. Dazu ist Angriffserkennung durch SIEM, SOC und ab 2023 die Umsetzung der Orientierungshilfe Angriffserkennung nötig. Cyber Security
Cyber Angriffe
77-82, 90-96
OH-SZA
IAM Definierte Rollen, Berechtigungen und Prozesse durch Identity und Access Management in der KRITIS-Anlage. Informationssicherheit
58-64
Gebäude Maßnahmen zum Schutz des Perimeters, der Versorgung und der Gebäude der KRITIS-Anlage. Physische Risiken
71-76
Lieferanten Management der Risiken und Informationssicherhet bei Lieferanten und Externen. Informationssicherheit
98-99

up

Stand der Technik

KRITIS-Betreiber müssen Cyber Security Maßnahmen nach Stand der Technik umsetzen und ein angemessenes Niveau der IT- und OT-Sicherheit in ihren KRITIS-Anlagen erreichen.

Neben angemessenen organisatorischen Grundlagen im KRITIS-Geltungsbereich müssen Betreiber technische Sicherheitsmaßnahmen in ihren KRITIS-Anlagen umsetzen — um die IT und OT der KRITIS-Anlagen nach Stand der Technik zu schützen und Angriffe zu erkennen.

Standards

Bei der Auswahl von Schutz­maßnahmen können Betreiber auf viele Cyber Security Standards zurückgreifen, die beim Aufbau von generellem Sicherheits­management (ISMS) helfen oder Maßnahmen für einzelne Branchen (B3S) und Technologien definieren.

Thema Standard Umfang
Management von Informations­sicherheit
KRITIS BSI Konkretisierung, NIST CSF Kontrollen
Informations­sicherheit ISO 27001, BSI IT-Grundschutz ISMS, Kontrollen
Cloud C5 Kontrollen
Branchen, Industrien und Technologien
KRITIS-Branchen B3S Branchenstandards ISMS, Kontrollen
Regulierung und Gesetze EnWG, SiKat, BAIT, TKG, Katalog 2.0 IT-Regulierung, Kontrollen
Industriestandards ISO 2701X, IEC 62443, NERC CIP Kontrollen, Vorgehen

Strategie

Ist die Betroffenheit als Kritische Infrastruktur festgestellt, müssen Betreiber für angemessene Sicherheit im KRITIS-Geltungsbereich sorgen und diese strategisch behandeln.

up

Weitere Informationen

Literatur

  1. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist