Cyber Security in KRITIS
KRITIS-Betreiber sind für ein angemessenes Niveau von Cyber Security und IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich. Dazu müssen Betreiber in den KRITIS-Anlagen Cyber Security Maßnahmen umsetzen, um Anlagen und ihre IT vor Ausfällen und Angriffen zu schützen:
- Organisatorische Maßnahmen: Management-Systeme wie ISMS und BCMS organisieren Sicherheit und Risiken in KRITIS-Anlagen
- Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen
- Angriffserkennung: Incident Management und Systeme zur Angriffserkennung wie SIEM und IDS ermöglichen eine angemessene Reaktion auf Angriffe
Bei der Auswahl der Maßnahmen und Standards sind KRITIS-Betreiber relativ frei — das IT-Sicherheitsgesetz macht wenig explizite normative Vorgaben zur genauen Umsetzung.
Sicherheitsmaßnahmen
BSI-Anforderungen
Die folgenden Sicherheitsmaßnahmen für KRITIS orientieren sich an der Konkretisierung der Anforderungen des BSI für KRITIS-Betreiber und Prüfer mit 100 Kontrollen basierend auf C5. Andere Security Standards sind für KRITIS auch möglich.
| Kategorie | Beschreibung | Risiken und Anforderungen |
|---|---|---|
| ISMS | Ein Management-System für Informationssicherheit muss im Geltungsbereich von KRITIS-Anlagen etabliert sein, das grundlegende Verantwortungen und Rollen festlegt. | Cyber Security KRITIS-Risiken 1-4, 56-57, 65-70, 83-89 |
| BCMS | Business Continuity Management mindert Ausfallrisiken von Assets und analysiert die Kritikalität von Prozessen. Ein BCMS hilft bei der Identifikation und Schutz von KRITIS-Anlagen. | Prozess-Risiken Ausfall-Risiken 15, 17-19 |
| IT-Notfall-Management | IT-Notfallmanagement mindert IT-Risiken als Teil vom BCMS in den KRITIS-Anlagen durch Vorsorge und Bewältigung von IT-Störungen und Notfällen. | IT-Risiken Ausfall-Risiken 17-19 |
| Risiko-Management | Organisiertes Risiko-Management ist die Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. | Unternehmensrisiken Versorgungsrisiken 13-16 |
| Asset-Management | Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit organisierten Prozessen und Verantwortlichkeiten gemanaged werden. | Asset-Risiken 5-12 |
| KRITIS-Organisation | Die KRITIS-Organisation definiert die KRITIS-Anlagen und das Cyber Security Niveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. | KRITIS-Risiken 97, 100 |
| Technologie | Technische Maßnahmen in der IT und OT der KRITIS-Anlage nach Stand der Technik der IT-Sicherheit mindern IT-Risiken. | IT-Risiken 20-55 |
| Angriffserkennung | Angriffe auf KRITIS-Anlagen müssen erkannt werden, um auf Vorfälle reagieren und den Meldepflichten nachzukommen. Dazu ist Angriffserkennung durch SIEM, SOC und ab 2023 die Umsetzung der Orientierungshilfe Angriffserkennung nötig. | Cyber Security Cyber Angriffe 77-82, 90-96 OH-SZA |
| IAM | Definierte Rollen, Berechtigungen und Prozesse durch Identity und Access Management in der KRITIS-Anlage. | Informationssicherheit 58-64 |
| Gebäude | Maßnahmen zum Schutz des Perimeters, der Versorgung und der Gebäude der KRITIS-Anlage. | Physische Risiken 71-76 |
| Lieferanten | Management der Risiken und Informationssicherhet bei Lieferanten und Externen. | Informationssicherheit 98-99 |
Stand der Technik
KRITIS-Betreiber müssen Cyber Security Maßnahmen nach Stand der Technik umsetzen und ein angemessenes Niveau der IT- und OT-Sicherheit in ihren KRITIS-Anlagen erreichen.
Neben angemessenen organisatorischen Grundlagen im KRITIS-Geltungsbereich müssen Betreiber technische Sicherheitsmaßnahmen in ihren KRITIS-Anlagen umsetzen — um die IT und OT der KRITIS-Anlagen nach Stand der Technik zu schützen und Angriffe zu erkennen.
Standards
Bei der Auswahl von Schutzmaßnahmen können Betreiber auf viele Cyber Security Standards zurückgreifen, die beim Aufbau von generellem Sicherheitsmanagement (ISMS) helfen oder Maßnahmen für einzelne Branchen (B3S) und Technologien definieren.
| Thema | Standard | Umfang | ||
|---|---|---|---|---|
| Management von Informationssicherheit | ||||
| KRITIS | BSI Konkretisierung, NIST CSF | Kontrollen | ||
| Informationssicherheit | ISO 27001, BSI IT-Grundschutz | ISMS, Kontrollen | ||
| Cloud | C5 | Kontrollen | ||
| Branchen, Industrien und Technologien | ||||
| KRITIS-Branchen | B3S Branchenstandards | ISMS, Kontrollen | ||
| Regulierung und Gesetze | EnWG, SiKat, BAIT, TKG, Katalog 2.0 | IT-Regulierung, Kontrollen | ||
| Industriestandards | ISO 2701X, IEC 62443, NERC CIP | Kontrollen, Vorgehen | ||
Strategie
Ist die Betroffenheit als Kritische Infrastruktur festgestellt, müssen Betreiber für angemessene Sicherheit im KRITIS-Geltungsbereich sorgen und diese strategisch behandeln.
- Angemessenheit: Maßnahmen müssen nach §8a (1) BSIG
angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen
umfassen. - Umgang mit Risiken: Betreiber sind für die KRITIS-Risiken in ihren Anlagen verantwortlich (A), die Risiken können in der Behandlung nicht verlagert oder vermieden werden.
- Mindestniveau und Stand der Technik: Risiken in den KRITIS-Anlagen müssen gemanaged und Cyber Security Maßnahmen nach Stand der Technik implementiert werden.
- KRITIS-Strategie: Die wichtigstens Ziele, Risiken und KRITIS-Handlungsfelder im Unternehmen langfristig planen und verankern.
Weitere Informationen
Literatur
- Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
Quellen
- Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist