Cybersecurity in KRITIS

Strategy picture

Betreiber (KRITIS) und Einrichtungen (NIS2) sind für ein angemessenes Niveau von Cybersecurity und IT-Sicherheit verantwortlich. Dazu müssen Betreiber in den KRITIS-Anlagen und Einrichtungen im Unternehmen Cybersecurity umsetzen, um sich vor Ausfällen zu schützen:

Bei der Umsetzung und Nutzung von Standards sind Einrichtung frei: KRITIS und NIS2 geben keine konkreten Standards vor – nur Stand der Technik. OpenKRITIS-Mappings helfen bei der Umsetzung: KRITIS und Security, NIS2 auf ISO 27001, NIS2 Implementing Act und DORA zu NIS2.

Sicherheits­maßnahmen

Anforderungen für KRITIS und NIS2

Betreiber (KRITIS) und Einrichtungen (NIS2) müssen organisatorische und technische Schutz-Maßnahmen umsetzen, um ihre Dienstleistungen und Infrastruktur zu schützen. Die KRITIS-Maßnahmen (1-100) orientieren sich an der Konkretisierung der Anforderungen des BSI.

Die NIS2-Maßnahmen orientieren sich an der NIS2-Umsetzung (30.1.1 bis 38.3), die ab Ende 2024 gültig sein soll und durch das KRITIS-Dachgesetz und Implementing Acts ergänzt wird.

eigene Zusammenstellung, nach Konkretisierung der Anforderungen, BSI, 1.0 2020
Kategorie Beschreibung KRITIS NIS2
ISMS Ein Management-System für Informationssicherheit muss im KRITIS-Geltungsbereich etabliert sein mit grundlegende Verantwortungen und Rollen. 1-4
65-67
83-89
30.1.1 30.2.1b
30.2.6 38.1
BCMS, Krisen
Notfallmanagement
Business Continuity Management und IT-Notfall-Management mindern Ausfallrisiken von Assets und die Auswirkungen von IT-Notfällen. 15, 17-19 30.2.0 30.2.3a
30.2.3c 30.2.3d
Personalsicherheit
Schulungen
Prozesse für Personal, HR-Sicherheit, Sicherheits­überprüfungen, Schulungen und Awareness 56-57 68-70 30.2.7a 30.2.7b 30.2.9a 38.3
Lieferanten Management der Risiken und Sicherheit bei Lieferanten und Externen, Supply Chain Security 98-99 43 30.2.4a 30.2.4b 30.2.5a
Risiko-Management Organisiertes Risiko-Management ist Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. 13-16 30.1.1 30.1.2
30.2.0 30.2.1a
Asset-Management Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit Prozessen und Rollen gemanaged werden. 5-12 30.2.9c
Technologie Technische Maßnahmen in der IT und OT der KRITIS-Anlage nach Stand der Technik der IT-Sicherheit mindern IT-Risiken. 20-55 30.2.3b 30.2.5b 30.2.5c 30.2.5d 30.2.8 30.2.10a
30.2.10b 30.2.10c
IAM Definierte Rollen, Berechtigungen und Prozesse durch Identity und Access Management in der KRITIS-Anlage. 58-64 30.2.9b 30.2.10a
Angriffserkennung Angriffe auf müssen erkannt und gemeldet werden, dazu ist Angriffserkennung durch SIEM, SOC und die Orientierungshilfe Angriffserkennung nötig. 77-82 90-96
OH‑SzA
30.2.2 31.2
KRITIS-Officer Die KRITIS-Organisation definiert die KRITIS-Anlagen und Sicherheitsniveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. 97, 100 30.1.2 32.1
33.1 33.2 34.1
Gebäude Maßnahmen zum Schutz des Perimeters, der Versorgung und der Gebäude der KRITIS-Anlage. 71-76 -

up

Umgang mit Cyber Security

Stand der Technik

Für technische Maßnahmen zur Sicherung der IT, OT und technischen Infrastruktur sieht das Gesetz eine Umsetzung vom Stand der Technik vor, einen von drei Technologieständen:

Von TeleTrusT, dem Bundesverband IT-Sicherheit e.V., gibt es dazu ein umfangreiches Werk an aktuell verbreiteten Maßnahmen, die diesem Kriterium entsprechen und die Maßnahmen dementsprechend herleiten. Neben dem Stand der Technik können KRITIS-Betreiber für die Sicherung ihrer IT ebenfalls auf Cyber Security Standards zurückgreifen:

Thema Standard Umfang
Management von Informations­sicherheit
KRITIS BSI Konkretisierung, NIST CSF Kontrollen
NIS2 NIS2, DORA Kontrollen
Informations­sicherheit ISO 27001, BSI IT-Grundschutz ISMS, Kontrollen
Cloud C5 Kontrollen
Branchen, Industrien und Technologien
KRITIS-Branchen B3S Branchenstandards ISMS, Kontrollen
Regulierung und Gesetze EnWG, SiKat, BAIT, TKG, Katalog 2.0 IT-Regulierung, Kontrollen
Industriestandards ISO 2701X, IEC 62443, NERC CIP Kontrollen, Vorgehen

up

Angemessenheit und Wirksamkeit

Schutz­maßnahmen in Kritischen Infrastrukturen müssen angemessen sein — sie müssen einerseits die Schutzziele für KRITIS erreichen können (Eignung), andererseits aber auch in vertretbaren Aufwand umzusetzen zu sein (Verhältnismäßigkeit).

Bei der Abwägung von Angemessenheit und Aufwand für KRITIS-Maßnahmen eröffnet sich schnell ein Spannungsfeld zwischen den unternehmerischen Realitäten und Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen und schließlich den Prüfern in der KRITIS-Prüfung plausibel darlegen können.

In NIS2 wird explizit die Wirksamkeit technischer und organisatorischer Maßnahmen gefordert.

up

Langfristige Überlegungen

KRITIS-Strategie

Eine langfristige und strategische Behandlung von Cyber Security in KRITIS-Anlagen ist in der aktuellen Bedrohungs- und Regulierungslage ratsam — und ermöglicht einen bedachten und geplanten Einsatz von Ressourcen beim Aufbau des Sicherheitsniveaus, anstatt reaktiv nach Vorfällen oder Prüfungen kurzfristig handeln zu müssen.

Security Programm

Ein Sicherheitsprogramm kann als Enabler im Unternehme strategische Themen und Cyber Security mit priorisierten Initiativen und Projekten vorantreiben. Mit einem klaren Mandat basierend auf der eigenen Risikoabwägung können so die wichtigsten Themen und Lücken im Betrieb und den KRITIS-Anlagen strukturiert angegangen und geschlossen werden.

Organisation

Neben einzelnen Initiativen sollten Betreiber organisatorische Voraussetzungen schaffen, um KRITIS-Risiken und die Sicherheit in den KRITIS-Anlagen zu managen — mit klaren Rollen, verbindlichen Verantwortlichkeiten und effektiven Prozessen im ISMS, BCMS und IT-RM.

Technologie

Der technologische Wandel und Sicherheit in der Digitalisierung sollten möglichst langfristig durch Cyber Security begleitet werden — lange Lebenszyklen müssen berücksichtigt und Legacy-IT besonders geschützt werden. Die Sicherheitsanforderungen für KRITIS müssen mit Modernisierungsprogrammen und Cloud-Initiativen harmonisiert werden — vielleicht wird Sicherheit in Zulieferketten oder Service-Management zukünftig wichtiger als die eigene IT.

Prüfungen

Als Kritische Infrastruktur müssen KRITIS-Betreiber die Sicherheitsvorkehrungen in ihren KRITIS-Anlagen dem BSI regelmäßig durch die BSIG-Nachweisprüfungen nachweisen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

up

Weitere Informationen

Literatur

  1. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
  2. Stand der Technik in der IT-Sicherheit, TeleTrusT, Bundesverband IT-Sicherheit e.V., o.D. — dort gibt es auch eine verlinkte PDF Handreichung zum Stand der Technik

Quellen

  1. "Stand der Technik" umsetzen, Allgemeine Infos zu KRITIS, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist