KRITIS Information Security

KRITIS-Betreiber müssen im Geltungs­bereich ihrer KRITIS-Anlagen ein ISMS, ein Management-System für Informations­sicherheit etablieren, um KRITIS-Risiken zu mindern. Das ISMS verankert Verantwortung und Prozesse für das Management von Cybersecurity.

Betreiber können ISMS u.a. nach ISO 27001, BSI IT-Grundschutz oder Branchen-Standards umsetzen, die KRITIS-Regulierung macht keine normative Vorgaben zum genauen Standard oder Aufbau des ISMS. Bestehende Zertifizierungen nach ISO 27001 oder C5 können in KRITIS-Prüfungen mitgenutzt werden, sofern der Geltungsbereich die KRITIS-Anlagen umfasst.

Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen definiert in folgenden Kontrollen und Bereichen Anforderungen für ISMS in KRITIS:

Bereich BSI-ID Anforderung
Management-System 1, 3-4 Funktionierende Governance für Informationssicherheit
Richtlinien 2, 65-67 Normatives Regelwerk für Informationssicherheit
Interne Audits 83-89 Selbstüberprüfung des ISMS zur Überwachung
Personelle Sicherheit 56-57, 68-70 Personalsicherheit in KRITIS-Anlagen
Lieferanten 98-99 Steuerung und Kontrolle Externer in KRITIS-Anlagen
KRITIS und Meldestelle 97, 100 KRITIS-Organisation und Kontakt zu Behörden
Standards

Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001:2022 und OH SzA.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2023

Information Security Management

Security Standards

Die KRITIS-Regulierung schreibt keine verbindlichen Cyber Security Standards für Kritische Infrastrukturen vor, Betreiber können die Umsetzung frei entscheiden. Einige bekannte Standards zum Aufbau eines KRITIS-ISMS umfassen:

Standard Inhalt Zertifikat BSIG-Prüfung
Management von Informations­sicherheit
BSI Konkretisierung Anforderungswerk für KRITIS-Vorgaben
NIST CSF Methodik und Anforderungsgruppen für Security
ISO 27001 Management-System für Informations­sicherheit
C5 Anforderungswerk für Cloud-Security
BSI IT-Grundschutz Management-System für Informations­sicherheit

Von der Wahl­freiheit zum Sicherheits­standard gibt es Ausnahmen in bestimmten Branchen, die besonders reguliert sind und/oder einen Branchen­standard umsetzen müssen.

up

Management-System (ISMS)

Für die wirksame Behandlung von Cyberrisiken in KRITIS-Anlagen ist ein Management-System für Informationssicherheit (ISMS) notwendig, das den KRITIS-Geltungs­bereich abdeckt und dort die notwendigen Maßnahmen der Informations- und IT-Sicherheit steuert.

BSI-ID Anforderung
BSI-1 Managementsystem für Informationssicherheit
BSI-3 Zuständigkeiten und Verantwortungen
BSI-4 Funktionstrennung

Rollen

Im ISMS haben verschiedene Rollen definierte Aufgaben im Geltungsbereich, u.a.:

Verantwortlichkeiten

Die Verantwortungen der einzelnen Rollen für Informationssicherheit müssen verbindlich festgelegt werden — eindeutig (A und R) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung). Mögliche Orte für die Festlegungen durch das ISMS sind:

  1. Rollenbeschreibungen
  2. RACI-Matrizen
  3. Prozessbeschreibungen
  4. Funktionsbeschreibungen
  5. Ernennungsurkunden

Prozesse

Mit Prozessen steuert das ISMS die Informationssicherheit in der IT der KRITIS-Anlagen, u.a.:

Nachweise

Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:

  1. Protokolle
  2. Entscheidungen
  3. Risikoeinschätzungen
  4. Getroffene Maßnahmen

up

Richtlinien und Vorgaben

Die Sicherheitsziele des ISMS in den KRITIS-Anlagen müssen in einer zentralen Leitlinie (Policy) zur Informationssicherheit verankert werden. Diese Leitlinie sollte die Ziele des Unternehmens, den KRITIS- und regulatorischen Rahmen und die Bedrohungslage abbilden. Basierend auf der Leitlinie dokumentiert das ISMS in seinen weiteren Richtlinien die Anforderungen an Informationssicherheit im Geltungsbereich der KRITIS-Anlage.

BSI-ID Anforderung
BSI-2 Strategische Vorgaben und Verantwortung
BSI-65 Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)
BSI-66 Überprüfung und Freigabe von Richtlinien und Anweisungen
BSI-67 Abweichungen von bestehenden Richtlinien und Anweisungen

Rahmenwerk

Die normativen Vorgaben zur Informationssicherheit legt das ISMS in seinem Rahmenwerk fest — in strategischen Richtlinien und operativen Anweisungen (Policies und Procedures). Das Rahmenwerk muss im KRITIS-Geltungsbereich gültig sein und die relevanten Themen abdecken — und jährlich überprüft und durch die Leitung freigegeben werden.

Abweichungen

Ausnahmen von Vorgaben der Informationssicherheit und abweichende Umsetzungen in KRITIS-Anlagen müssen von autorisierten Gremien freigegeben und dokumentiert werden. Die Risiken dieser Ausnahmen vom Vorgabenwerk und Gründe für die Abweichungen müssen dokumentiert und regelmäßig überprüft werden.

Nachweise

Nachweise für effektive Vorgaben und Richtlinien im ISMS sind u.a.:

  1. Aktuelle Richtlinien
  2. Freigaben
  3. Revisionhistorien
  4. Änderungen
  5. Entscheidungen

up

Interne Audits

Das ISMS muss regelmäßig Audits in den KRITIS-Anlagen durchführen oder veranlassen, um die Compliance von IT-Systemen und den Umgang mit Schwachstellen zu überprüfen. Dies dient einerseits der Compliance mit ISMS-Vorgaben, aber auch der eigenen Verbesserung und Weiterentwicklung des ISMS (KVP).

BSI-ID Anforderung
BSI-83 Anlassbezogene Prüfungen – Konzept
BSI-84 Prüfung offener Schwachstellen
BSI-85 Compliance und Informieren der Unternehmensleitung
BSI-86 Interne Überprüfungen der Compliance von IT-Prozessen
BSI-87 Interne IT- Prüfungen
BSI-88 Planung externer Audits
BSI-89 Durchführung externer Audits

Arten von Audits

Informationssicherheit in KRITIS-Anlagen kann durch das ISMS mit folgenden Audits überprüft werden — und sollte zu effektiven Verbesserungen führen.

Nachweise

Nachweise für funktionierende interne Audits zur Verbesserung des ISMS sind u.a.:

  1. Prüfberichte
  2. Prüfpläne
  3. Festgelegte Maßnahmen
  4. Durchgeführte Maßnahmen

up

Personelle Sicherheit

Informationssicherheit und Sicherheitsanforderungen für KRITIS müssen in den Personal- und HR-Prozessen in KRITIS-Anlagen ab der Einstellung berücksichtigt und kontinuierlich durch entsprechende Trainings-Maßnahmen vom ISMS begleitet werden.

BSI-ID Anforderung
BSI-56 Einstellung und Sicherheitsüberprüfung
BSI-57 Einstellung und Beschäftigungsvereinbarungen
BSI-68 Schulungen und Awareness
BSI-69 Disziplinarverfahren
BSI-70 Beendigung des Beschäftigungsverhältnisses

Prozesse

In mindestens den folgenden Personalprozessen von Kritischen Infrastrukturen sollten die Anforderungen vom ISMS zu Informationssicherheit in KRITIS-Anlagen berücksichtigt werden:

Schulungen und Awareness

Das Personal in den KRITIS-Anlagen muss regelmäßig in Informationssicherheit geschult und sensibilisiert werden. Schulungsprogramme sollten mit dem Onboarding beginnen und in festen Zyklen Wissen und Fähigkeiten vermitteln, Awareness-Programme zur Sensibilisierung sollten regelmäßig in verschiedenen Formaten durchgeführt werden. Beides muss auch Dienstleister und weitere Externe in den KRITIS-Anlagen umfassen.

Nachweise

Nachweise für angemessene personelle Informationssicherheit sind u.a.:

  1. Klauseln in Arbeitsverträgen
  2. Teilnahmeprotokolle Schulungen
  3. Laufzettel bei Austritt

up

Lieferanten-Management

Beim Einsatz und der Beauftragung von Externen wie Dienstleistern und Lieferanten müssen die Sicherheitsanforderungen in KRITIS-Anlagen gewährleistet werden. Die zentrale KRITIS-Organisation kann den Umgang mit Externen speziell in KRITIS-Anlagen überwachen.

BSI-ID Anforderung
BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister
BSI-99 Kontrolle der Leistungserbringung und Sicherheitsanforderungen an Dienstleister

Nachweise

Artefakte als Nachweis für Informationssicherheit im Umgang mit Externen sind u.a.:

  1. Vertragsklauseln
  2. IS-Vorgaben für Externe
  3. Auswertung SLAs
  4. Auswertung Audits

up

Integration im Unternehmen

Das ISMS muss für eine nachhaltige Verbesserung der Informationssicherheit im Betrieb mit weiteren Management-Systemen beim KRITIS-Betreiber vernetzt sein.

up

Weitere Informationen

Literatur

  1. KRITIS-FAQ: Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Implementierungsleitfaden ISO/IEC 27001:2013, Ein Praxisleitfaden für die Implementierung eines ISMS, ISACA Germany Chapter, Mai 2016
  3. IT-Grundschutz-Baustein (200-1): ISMS.1: Sicherheitsmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
  4. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
  5. IT-Grundschutz-Baustein (200-1): DER.3.1: Audits und Revisionen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021

Standards

  1. ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
  2. DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheits­managementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
  3. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
  4. IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist