KRITIS Informations­sicherheit

KRITIS-Betreiber müssen ein Management-System für Informationssicherheit im Geltungsbereich ihrer KRITIS-Anlagen etablieren, um KRITIS-Risiken zu mindern. Ein ISMS verankert Verantwortung und Prozesse für das Management von Risiken bei der Verarbeitung von Informationen in IT-Systemen und Anlagen.

Betreiber können ISMS nach ISO 27001, BSI IT-Grundschutz oder Branchen-Standards umsetzen, die KRITIS-Regulierung macht keine normative Vorgaben zum genauen Standard oder Aufbau des ISMS. Bestehende Zertifizierungen nach ISO 27001 oder C5 können in KRITIS-Prüfungen mitgenutzt werden, sofern der Geltungsbereich die KRITIS-Anlagen umfasst.

Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen definiert in folgenden Kontrollen und Bereichen Anforderungen für ISMS in KRITIS:

Bereich BSI-ID Anforderung
Management-System 1, 3-4 Funktionierende Governance für Informationssicherheit
Richtlinien 2, 65-67 Normatives Regelwerk für Informationssicherheit
Interne Audits 83-89 Selbstüberprüfung des ISMS zur Überwachung
Personelle Sicherheit 56-57, 68-70 Personalsicherheit in KRITIS-Anlagen
Lieferanten 98-99 Steuerung und Kontrolle Externer in KRITIS-Anlagen
KRITIS und Meldestelle 97, 100 KRITIS-Organisation und Kontakt zu Behörden
Standards

DE Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

up

Information Security Management

Security Standards

Die KRITIS-Regulierung schreibt keine verbindlichen Cyber Security Standards für Kritische Infrastrukturen vor, Betreiber können die Umsetzung frei entscheiden. Einige bekannte Standards zum Aufbau eines KRITIS-ISMS umfassen:

Standard Inhalt Zertifikat BSIG-Prüfung
Management von Informations­sicherheit
BSI Konkretisierung Anforderungswerk für KRITIS-Vorgaben
NIST CSF Methodik und Anforderungsgruppen für Security
ISO 27001 Management-System für Informations­sicherheit
C5 Anforderungswerk für Cloud-Security
BSI IT-Grundschutz Management-System für Informations­sicherheit

Von der Wahl­freiheit zum Sicherheits­standard gibt es Ausnahmen in bestimmten Branchen, die (zusätzlich) besonders reguliert sind und/oder einen Branchen­standard umsetzen müssen.

up

Management-System (ISMS)

Für die wirksame Behandlung von Cyberrisiken in KRITIS-Anlagen ist ein Management-System für Informationssicherheit (ISMS) zwingend notwendig, das den KRITIS-Geltungsbereich abdeckt und dort die notwendigen Maßnahmen der Informations- und IT-Sicherheit steuert.

BSI-ID Anforderung
BSI-1 Managementsystem für Informationssicherheit
BSI-3 Zuständigkeiten und Verantwortungen
BSI-4 Funktionstrennung

Rollen

Im ISMS haben verschiedene Rollen definierte Aufgaben im Geltungsbereich, u.a.:

  1. CISO oder ISO: Leitung ISMS und Verantwortung für Vorgaben der Informationssicherheit
  2. IT-Leiter: Verantwortung für Umsetzung der Vorgaben und von Maßnahmen im IT-Betrieb
  3. Asset-Verantwortliche: Schutz der eigenen Assets durch Umsetzung von Maßnahmen
  4. Leiter operative Sicherheit: Reaktion und Behandlung von Sicherheitsvorfällen

Verantwortlichkeiten

Die Verantwortungen der einzelnen Rollen für Informationssicherheit müssen verbindlich festgelegt werden — eindeutig (A und R) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung). Mögliche Orte für die Festlegungen durch das ISMS sind:

  1. Rollenbeschreibungen
  2. RACI-Matrizen
  3. Prozessbeschreibungen
  4. Funktionsbeschreibungen
  5. Ernennungsurkunden

Prozesse

Mit Prozessen steuert das ISMS die Informationssicherheit in der IT der KRITIS-Anlagen, u.a.:

  1. ISMS-Steuerung: Betrieb des Management-Systems — Ausübung von Governance
  2. Risikoanalyse: Analyse der Informationssicherheit von Assets und der IT, Durchführung der Schutzbedarfsfeststellung (SBF), Feststellung von Risiken
  3. Risikobehandlung: Entscheidung und Auswahl von Optionen in der Risikobehandlung (RBH) — Definition von Maßnahmen für Informations- und IT-Sicherheit der Assets und IT
  4. Reporting: Meldewesen innerhalb des Betreibers zur KRITIS-Anlage zum Stand des ISMS
  5. ISMS-Überprüfung: Eigener Prozess zur Überprüfung im ISMS, siehe interne Audits
  6. ISMS-Verbesserung: Kontinuierliche Verbesserung im ISMS — PDCA-Zyklus

Nachweise

Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:

  1. Protokolle
  2. Entscheidungen
  3. Risikoeinschätzungen
  4. Getroffene Maßnahmen

up

Richtlinien und Vorgaben

Die Sicherheitsziele des ISMS in den KRITIS-Anlagen müssen in einer zentralen Leitlinie (Policy) zur Informationssicherheit verankert werden. Diese Leitlinie sollte die Ziele des Unternehmens, den KRITIS- und regulatorischen Rahmen und die Bedrohungslage abbilden. Basierend auf der Leitlinie dokumentiert das ISMS in seinen weiteren Richtlinien die Anforderungen an Informationssicherheit im Geltungsbereich der KRITIS-Anlage.

BSI-ID Anforderung
BSI-2 Strategische Vorgaben und Verantwortung
BSI-65 Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)
BSI-66 Überprüfung und Freigabe von Richtlinien und Anweisungen
BSI-67 Abweichungen von bestehenden Richtlinien und Anweisungen

Rahmenwerk

Die normativen Vorgaben zur Informationssicherheit legt das ISMS in seinem Rahmenwerk fest — in strategischen Richtlinien und operativen Anweisungen (Policies und Procedures). Das Rahmenwerk muss im KRITIS-Geltungsbereich gültig sein und die relevanten Themen abdecken — und jährlich überprüft und durch die Leitung freigegeben werden.

Abweichungen

Ausnahmen von Vorgaben der Informationssicherheit und abweichende Umsetzungen in KRITIS-Anlagen müssen von autorisierten Gremien freigegeben und dokumentiert werden. Die Risiken dieser Ausnahmen vom Vorgabenwerk und Gründe für die Abweichungen müssen dokumentiert und regelmäßig überprüft werden.

Nachweise

Nachweise für effektive Vorgaben und Richtlinien im ISMS sind u.a.:

  1. Aktuelle Richtlinien
  2. Freigaben
  3. Revisionhistorien
  4. Änderungen
  5. Entscheidungen

up

Interne Audits

Das ISMS muss regelmäßig Audits in den KRITIS-Anlagen durchführen oder veranlassen, um die Compliance von IT-Systemen und den Umgang mit Schwachstellen zu überprüfen. Dies dient einerseits der Compliance mit ISMS-Vorgaben, aber auch der eigenen Verbesserung und Weiterentwicklung des ISMS (KVP).

BSI-ID Anforderung
BSI-83 Anlassbezogene Prüfungen – Konzept
BSI-84 Prüfung offener Schwachstellen
BSI-85 Informieren der Unternehmensleitung
BSI-86 Interne Überprüfungen der Compliance von IT-Prozessen
BSI-87 Interne IT- Prüfungen
BSI-88 Planung externer Audits
BSI-89 Durchführung externer Audits

Arten von Audits

Informationssicherheit in KRITIS-Anlagen kann durch das ISMS mit folgenden Audits überprüft werden — und sollte zu effektiven Verbesserungen führen.

  1. Compliance-Prüfungen: Überprüfung der Richtlinien-Konformität von IT-Prozessen
  2. Schwachstellen-Scans: Technische Scans und Tests der IT-Systeme auf Schwachstellen
  3. IT-Prüfungen: Überprüfung der Richtlinien-Konformität der IT-Systeme von KRITIS-Anlagen
  4. Externe Audits: Unabhängige Überprüfung von Prozessen der Systemen durch Dritte

Nachweise

Nachweise für funktionierende interne Audits zur Verbesserung des ISMS sind u.a.:

  1. Prüfberichte
  2. Prüfpläne
  3. Festgelegte Maßnahmen
  4. Durchgeführte Maßnahmen

up

Personelle Sicherheit

Informationssicherheit und Sicherheitsanforderungen für KRITIS müssen in den Personal- und HR-Prozessen in KRITIS-Anlagen ab der Einstellung berücksichtigt und kontinuierlich durch entsprechende Trainings-Maßnahmen vom ISMS begleitet werden.

BSI-ID Anforderung
BSI-56 Einstellung und Sicherheitsüberprüfung
BSI-57 Einstellung und Beschäftigungsvereinbarungen
BSI-68 Schulungen und Awareness
BSI-69 Disziplinarverfahren
BSI-70 Beendigung des Beschäftigungsverhältnisses

Prozesse

In mindestens den folgenden Personalprozessen von Kritischen Infrastrukturen sollten die Anforderungen vom ISMS zu Informationssicherheit in KRITIS-Anlagen berücksichtigt werden:

  1. Sicherheitsüberprüfung: Mögliche weitergehende Überprüfungen vor der Einstellung von Personal in bestimmten Sicherheits- oder Betriebsbereichen der KRITIS-Anlagen
  2. Einstellung: Dokumentierte Vorgaben für Informationssicherheit in Einstellungsdokumenten
  3. Beendigung: Verpflichtung für Informationssicherheit über das Beschäftigungsende hinaus
  4. Diszplinar: Dokumentierte Disziplinarverfahren für Verstöße gegen Informationssicherheit

Schulungen und Awareness

Das Personal in den KRITIS-Anlagen muss regelmäßig in Informationssicherheit geschult und sensibilisiert werden. Schulungsprogramme sollten mit dem Onboarding beginnen und in festen Zyklen Wissen und Fähigkeiten vermitteln, Awareness-Programme zur Sensibilisierung sollten regelmäßig in verschiedenen Formaten durchgeführt werden. Beides muss auch Dienstleister und weitere Externe in den KRITIS-Anlagen umfassen.

Nachweise

Nachweise für angemessene personelle Informationssicherheit sind u.a.:

  1. Klauseln in Arbeitsverträgen
  2. Teilnahmeprotokolle Schulungen
  3. Laufzettel bei Austritt

up

Lieferanten-Management

Beim Einsatz und der Beauftragung von Externen wie Dienstleistern und Lieferanten müssen die Sicherheitsanforderungen in KRITIS-Anlagen gewährleistet werden. Die zentrale KRITIS-Organisation kann den Umgang mit Externen speziell in KRITIS-Anlagen überwachen.

  1. Vorgaben für Externe: Die Sicherheitsanforderungen des ISMS müssen für Dienstleister, Lieferanten und Externe in den KRITIS-Anlagen verbindlich gemacht werden. Dies umfasst KRITIS-relevante Mindestanforderungen für Externe, Schutz von Informationen, Incident Management und Vorfallmeldungen und die Integration ins eigene Risiko-Management.
  2. Kontrolle der Einhaltung: Die Anforderungen an Externe müssen vertraglich festgehalten und kontrolliert, und operativ durch Audits, Tests, Zertifizierungen überprüft werden. Das Lieferanten- und Provider Management muss dafür aktiv ins ISMS eingebunden werden.
BSI-ID Anforderung
BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister
BSI-99 Kontrolle der Leistungserbringung und Sicherheitsanforderungen an Dienstleister

Nachweise

Artefakte als Nachweis für Informationssicherheit im Umgang mit Externen sind u.a.:

  1. Vertragsklauseln
  2. IS-Vorgaben für Externe
  3. Auswertung SLAs
  4. Auswertung Audits

up

Integration im Unternehmen

Das ISMS muss für eine nachhaltige Verbesserung der Informationssicherheit im Betrieb mit weiteren Management-Systemen beim KRITIS-Betreiber vernetzt sein.

  1. Risiko-Management: Meldung von Risiken und Maßnahmen an das Unternehmens-Risiko-Management, Abgleich von Methoden und Definitionen
  2. Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
  3. BCM: Austausch von Risiken und Maßnahmen, gemeinsame Risikobehandlung und Pläne
  4. IT-Betrieb und IT-Sicherheit: Definition und Begleitung der Maßnahmen-Umsetzung im Betrieb; Austausch zu operativen Risiken und Bedrohungen
  5. IT-Notfallmanagement: Behandlungsoption für Maßnahmen zur Ausfallsicherheit; gemeinsame Sicht auf IT-Assets und deren Risiken
  6. KRITIS-Organisation: Abgleich Geltungsbereich ISMS und Geltungsbereich KRITIS; Definition der IT-Systeme und Prozesse im Scope; Zusammenarbeit im Meldewesen

up

Weitere Informationen

Literatur

  1. KRITIS-FAQ: Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Implementierungsleitfaden ISO/IEC 27001:2013, Ein Praxisleitfaden für die Implementierung eines ISMS, ISACA Germany Chapter, Mai 2016
  3. IT-Grundschutz-Baustein (200-1): ISMS.1: Sicherheitsmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
  4. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
  5. IT-Grundschutz-Baustein (200-1): DER.3.1: Audits und Revisionen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021

Standards

  1. ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
  2. DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheits­managementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
  3. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
  4. IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist