KRITIS-Maßnahmen

KRITIS-Betreiber sind für ein angemessenes Niveau von Cyber Security und IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich. Dazu müssen in den KRITIS-Anlagen wirksame Cyber Security Maßnahmen umgesetzt werden, um die Anlagen zu schützen:

  1. Organisatorische Maßnahmen: Management-Systeme wie ISMS und BCMS helfen beim Management von Sicherheit und Cyber-Risiken in den KRITIS-Anlagen.
  2. Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
  3. Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.

Die KRITIS-Regulierung macht im BSI-Gesetz wenig explizite normative Vorgaben zu genauen Maßnahmen — der folgende Abschnitt greift als Orientierung den Anforderungskatalog des BSI für KRITIS-Betreiber und Prüfer auf, mit insgesamt 100 Anforderungen für Cyber Security.

Organisation und Management

Der wichtigste Baustein für das Management von Cyber-Risiken bei KRITIS-Betreibern ist eine belastbare Organisation für IT-Sicherheit und funktionierende Management-Systeme.

eigene Zusammenstellung Management-Systeme KRITIS
Management-System Beschreibung Risiken und
BSI-Anforderungen
ISMS Ein Management System für Informationssicherheit muss beim Betreiber für den Geltungsbereich der KRITIS-Anlage(n) und deren Assets etabliert sein. Standards wie ISO 27001 helfen bei der geregelten Umsetzung des ISMS. Informationssicherheit
IT-Sicherheit
BSI-1-4, 56-57, 65-70, 83-89
BCMS Business Continuity Management kann Ausfallrisiken von Assets und die Kritikalität von Prozessen analysieren und mindern. Ein BCMS hilft bei der Identifikation von KRITIS-Anlagen und dem Schutz kritischer Assets und Prozesse. Prozessrisiken
Ausfallrisiken
BSI-15, 17-19
IT-Notfall-Management IT-Notfallmanagement mindert IT-Risiken als Teil vom BCMS in den KRITIS-Anlagen durch Vorsorge und Bewältigung von IT-Störungen und Notfällen. IT-Risiken
Ausfallrisiken
BSI-17-19
Risiko-Management Organisiertes Risiko-Management ist die Grundlage für eine angemessene Behandlung von Cyber Security und Ausfallrisiken in den KRITIS-Anlagen. Unternehmensrisiken
BSI-13-16
Asset-Management Um Risiken in KRITIS-Anlagen identifizieren und angemessen behandeln zu können, müssen Assets mit organisierten Prozessen und Verantwortlichkeiten gemanaged werden. Assetrisiken
BSI-5-12
KRITIS-Organisation Die KRITIS-Organisation definiert die KRITIS-Anlagen und das Cyber Security Niveau. Für die Meldung von Vorfällen ans BSI ist sie die Meldeorganisation. KRITIS-Risiken
BSI-97-100

up

Technische Maßnahmen

Neben angemessenen organisatorischen Grundlagen im KRITIS-Geltungsbereich müssen Betreiber technische Sicherheitsmaßnahmen in ihren KRITIS-Anlagen umsetzen — um die IT und OT der KRITIS-Anlagen nach Stand der Technik zu schützen und Angriffe zu erkennen.

Angriffserkennung

Betreiber müssen Vorfälle in ihren KRITIS-Anlagen erkennen und auf Angriffe reagieren, um ihren Meldepflichten an das BSI nachzukommen. Dazu sind in den KRITIS-Anlagen Prozesse und Technologien zur Angriffserkennung notwendig, mit denen Ereignisse und Angriffe auf die IT der Anlagen erkannt und die Reaktion eingeleitet werden kann. Parallel zur Reaktion müssen Störungen in KRITIS-Anlagen über die KRITIS-Organisation ans BSI gemeldet werden.

BSI-Anforderungen BSI-77 bis BSI-82, BSI-90 bis BSI-96

2.0 Das neue IT-Sicherheitsgesetz 2.0 fordert explizit Systeme zur Angriffserkennung — was bei KRITIS-Betreibern absehbar den Einsatz von SIEM/SOC notwendig machen wird.

Stand der Technik

Beim Betrieb kritischer Dienstleistungen in KRITIS-Anlagen müssem Betreiber ein angemessenes Niveau der IT- und OT-Sicherheit nach Stand der Technik gewährleisten. Dabei helfen Standards für Sicherheit (ISO, NIST), Standards einzelner Branchen (B3S) oder Industrie-Sektoren aber auch Orientierungshilfen und Konkretisierungen vom BSI.

BSI-Anforderungen BSI-20 bis BSI-55, BSI-58 bis BSI-64, BSI-71 bis BSI-76

up

Weitere Informationen

Literatur

  1. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist