KRITIS Informations­sicherheit

KRITIS-Betreiber müssen ein Management-System für Informationssicherheit (ISMS) im Geltungsbereich ihrer KRITIS-Anlagen etablieren, um KRITIS-Risiken zu mindern. Ein ISMS hilft beim Management von Risiken, die bei der Verarbeitung von Informationen in IT-Systemen und der KRITIS-Anlage auftreten — durch klare Verantwortungen und Prozesse.

Betreiber können ISMS nach ISO 27001, BSI IT-Grundschutz oder Branchen-Standards in den KRITIS-Anlagen umsetzen — die KRITIS-Regulierung macht keine normativen Vorgaben zum Standard, Umfang oder Reifegrad des ISMS. Bestehende Zertifikate, z.B. ISO 27001, können in Prüfungen mitgenutzt werden, wenn der Geltungsbereich KRITIS umfasst.

Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen befasst sich in folgenden Kontrollen und Bereichen mit einem ISMS:

Bereich BSI-ID Anforderung
Management-System 1, 3-4 Funktionierende Governance für Informationssicherheit
Richtlinien 2, 65-70 Normatives Regelwerk für Informationssicherheit
Interne Audits 83-89 Selbstüberprüfung des ISMS zur Überwachung
Personelle Sicherheit 56-57, 68-70 Personalsicherheit in KRITIS-Anlagen

up

Information Security Management

Management-System

Für die wirksame Behandlung von Cyberrisiken in KRITIS-Anlagen ist ein Management-System für Informationssicherheit (ISMS) zwingend notwendig, das den KRITIS-Geltungsbereich abdeckt und dort die notwendigen Maßnahmen der Informations- und IT-Sicherheit steuert.

BSI-ID Anforderung
BSI-1 Managementsystem für Informationssicherheit
BSI-3 Zuständigkeiten und Verantwortungen
BSI-4 Funktionstrennung

Rollen

Im ISMS haben verschiedene Rollen definierte Aufgaben im Geltungsbereich, u.a.:

  1. CISO oder ISO: Leitung ISMS und Verantwortung für Vorgaben der Informationssicherheit
  2. IT-Leiter: Verantwortung für Umsetzung der Vorgaben und von Maßnahmen im IT-Betrieb
  3. Asset-Verantwortliche: Schutz der eigenen Assets durch Umsetzung von Maßnahmen
  4. Leiter operative Sicherheit: Reaktion und Behandlung von Sicherheitsvorfällen

Verantwortlichkeiten

Die Verantwortungen der einzelnen Rollen für Informationssicherheit müssen verbindlich festgelegt werden — eindeutig (A und R) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung). Mögliche Orte für die Festlegungen durch das ISMS sind:

  1. Rollenbeschreibungen
  2. RACI-Matrizen
  3. Prozessbeschreibungen
  4. Funktionsbeschreibungen
  5. Ernennungsurkunden

Prozesse

Mit Prozessen steuert das ISMS die Informationssicherheit in der IT der KRITIS-Anlagen, u.a.:

  1. ISMS-Steuerung: Betrieb des Management-Systems — Ausübung von Governance
  2. Risikoanalyse: Analyse der Informationssicherheit von Assets und der IT, Durchführung der Schutzbedarfsfeststellung (SBF), Feststellung von Risiken
  3. Risikobehandlung: Entscheidung und Auswahl von Optionen in der Risikobehandlung (RBH) — Definition von Maßnahmen für Informations- und IT-Sicherheit der Assets und IT
  4. Reporting: Meldewesen innerhalb des Betreibers zur KRITIS-Anlage zum Stand des ISMS
  5. ISMS-Überprüfung: Eigener Prozess zur Überprüfung im ISMS, siehe interne Audits
  6. ISMS-Verbesserung: Kontinuierliche Verbesserung im ISMS — PDCA-Zyklus

Nachweise

Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:

  1. Protokolle
  2. Entscheidungen
  3. Risikoeinschätzungen
  4. Getroffene Maßnahmen

up

Richtlinien und Vorgaben

Die Sicherheitsziele des ISMS in den KRITIS-Anlagen müssen in einer zentralen Leitlinie (Policy) zur Informationssicherheit verankert werden. Diese Leitlinie sollte die Ziele des Unternehmens, den KRITIS- und regulatorischen Rahmen und die Bedrohungslage abbilden. Basierend auf der Leitlinie dokumentiert das ISMS in seinen weiteren Richtlinien die Anforderungen an Informationssicherheit im Geltungsbereich der KRITIS-Anlage.

BSI-ID Anforderung
BSI-2 Strategische Vorgaben und Verantwortung
BSI-65 Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)
BSI-66 Überprüfung und Freigabe von Richtlinien und Anweisungen
BSI-67 Abweichungen von bestehenden Richtlinien und Anweisungen

Rahmenwerk

Die normativen Vorgaben zur Informationssicherheit legt das ISMS in seinem Rahmenwerk fest — in strategischen Richtlinien und operativen Anweisungen (Policies und Procedures). Das Rahmenwerk muss im KRITIS-Geltungsbereich gültig sein und die relevanten Themen abdecken — und jährlich überprüft und durch die Leitung freigegeben werden.

Abweichungen

Ausnahmen von Vorgaben der Informationssicherheit und abweichende Umsetzungen in KRITIS-Anlagen müssen von autorisierten Gremien freigegeben und dokumentiert werden. Die Risiken dieser Ausnahmen vom Vorgabenwerk und Gründe für die Abweichungen müssen dokumentiert und regelmäßig überprüft werden.

Nachweise

Nachweise für effektive Vorgaben und Richtlinien im ISMS sind u.a.:

  1. Aktuelle Richtlinien
  2. Freigaben
  3. Revisionhistorien
  4. Änderungen
  5. Entscheidungen

up

Interne Audits

Das ISMS muss regelmäßig Audits in den KRITIS-Anlagen durchführen oder veranlassen, um die Compliance von IT-Systemen und den Umgang mit Schwachstellen zu überprüfen. Dies dient einerseits der Compliance mit ISMS-Vorgaben, aber auch der eigenen Verbesserung und Weiterentwicklung des ISMS (KVP).

BSI-ID Anforderung
BSI-83 Anlassbezogene Prüfungen – Konzept
BSI-84 Prüfung offener Schwachstellen
BSI-85 Informieren der Unternehmensleitung
BSI-86 Interne Überprüfungen der Compliance von IT-Prozessen
BSI-87 Interne IT- Prüfungen
BSI-88 Planung externer Audits
BSI-89 Durchführung externer Audits

Arten von Audits

Informationssicherheit in KRITIS-Anlagen kann durch das ISMS mit folgenden Audits überprüft werden — und sollte zu effektiven Verbesserungen führen.

  1. Compliance-Prüfungen: Überprüfung der Richtlinien-Konformität von IT-Prozessen
  2. Schwachstellen-Scans: Technische Scans und Tests der IT-Systeme auf Schwachstellen
  3. IT-Prüfungen: Überprüfung der Richtlinien-Konformität der IT-Systeme von KRITIS-Anlagen
  4. Externe Audits: Unabhängige Überprüfung von Prozessen der Systemen durch Dritte

Nachweise

Nachweise für funktionierende interne Audits zur Verbesserung des ISMS sind u.a.:

  1. Prüfberichte
  2. Prüfpläne
  3. Festgelegte Maßnahmen
  4. Durchgeführte Maßnahmen

up

Personelle Sicherheit

Informationssicherheit und Sicherheitsanforderungen für KRITIS müssen in den Personal- und HR-Prozessen in KRITIS-Anlagen ab der Einstellung berücksichtigt und kontinuierlich durch entsprechende Trainings-Maßnahmen vom ISMS begleitet werden.

BSI-ID Anforderung
BSI-56 Einstellung und Sicherheitsüberprüfung
BSI-57 Einstellung und Beschäftigungsvereinbarungen
BSI-68 Schulungen und Awareness
BSI-69 Disziplinarverfahren
BSI-70 Beendigung des Beschäftigungsverhältnisses

Prozesse

In mindestens den folgenden Personalprozessen von Kritischen Infrastrukturen sollten die Anforderungen vom ISMS zu Informationssicherheit in KRITIS-Anlagen berücksichtigt werden:

  1. Sicherheitsüberprüfung: Mögliche weitergehende Überprüfungen vor der Einstellung von Personal in bestimmten Sicherheits- oder Betriebsbereichen der KRITIS-Anlagen
  2. Einstellung: Dokumentierte Vorgaben für Informationssicherheit in Einstellungsdokumenten
  3. Beendigung: Verpflichtung für Informationssicherheit über das Beschäftigungsende hinaus
  4. Diszplinar: Dokumentierte Disziplinarverfahren für Verstöße gegen Informationssicherheit

Schulungen und Awareness

Das Personal in den KRITIS-Anlagen muss regelmäßig in Informationssicherheit geschult und sensibilisiert werden. Schulungsprogramme sollten mit dem Onboarding beginnen und in festen Zyklen Wissen und Fähigkeiten vermitteln, Awareness-Programme zur Sensibilisierung sollten regelmäßig in verschiedenen Formaten durchgeführt werden. Beides muss auch Dienstleister und weitere Externe in den KRITIS-Anlagen umfassen.

Nachweise

Nachweise für angemessene personelle Informationssicherheit sind u.a.:

  1. Klauseln in Arbeitsverträgen
  2. Teilnahmeprotokolle Schulungen
  3. Laufzettel bei Austritt

up

Integration im Unternehmen

Das ISMS muss für eine nachhaltige Verbesserung der Informationssicherheit im Betrieb mit weiteren Management-Systemen beim KRITIS-Betreiber vernetzt sein.

  1. Risiko-Management: Meldung von Risiken und Maßnahmen an das Unternehmens-Risiko-Management, Abgleich von Methoden und Definitionen
  2. Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
  3. BCM: Austausch von Risiken und Maßnahmen, gemeinsame Risikobehandlung und Pläne
  4. IT-Betrieb und IT-Sicherheit: Definition und Begleitung der Maßnahmen-Umsetzung im Betrieb; Austausch zu operativen Risiken und Bedrohungen
  5. IT-Notfallmanagement: Behandlungsoption für Maßnahmen zur Ausfallsicherheit; gemeinsame Sicht auf IT-Assets und deren Risiken
  6. KRITIS-Organisation: Abgleich Geltungsbereich ISMS und Geltungsbereich KRITIS; Definition der IT-Systeme und Prozesse im Scope; Zusammenarbeit im Meldewesen

up

Weitere Informationen

Literatur

  1. KRITIS-FAQ: Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Implementierungsleitfaden ISO/IEC 27001:2013, Ein Praxisleitfaden für die Implementierung eines ISMS, ISACA Germany Chapter, Mai 2016
  3. IT-Grundschutz-Baustein (200-1): ISMS.1: Sicherheitsmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021
  4. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
  5. IT-Grundschutz-Baustein (200-1): DER.3.1: Audits und Revisionen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021

Standards

  1. ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
  2. DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheits­managementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
  3. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
  4. IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist