KRITIS Branchenstandards

KRITIS Branchenstandards (B3S)

Für einzelne Branchen in KRITIS-Sektoren gibt es Branchenstandards (B3S), die von Branchen­verbänden für Kritische Infrastrukturen erstellt und vom BSI freigegeben wurden. Diese sehr unterschiedlichen Standards definieren meisten Anforderungen an ein ISMS und branchen­spezifische Sicherheits­maßnahmen für verbreitete Anlagen und IT.

Sektor	Branchenstandard
Energie	Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.1, 29.4.2021 Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.2.2021
Wasser	Branchen­spezifischer Sicherheits­standard Wasser/Abwasser, DVGW, DWA, Version 3.0, Webseite des BSI
Ernährung	Sicherheits­standard für die Ernährungs­industrie, BVE, Version 2.0, Webseite des BSI B3S für den Lebensmittel­handel, EHI, Webseite des BSI
Gesundheit	Informations­sicherheit im Krankenhaus - Branchen­spezifischer Sicherheits­standard (B3S) Webseite der DKG Branchen­spezifischer Sicherheits­standard für die Gesundheitsversorgung im Krankenhaus (PDF), DKG, Version 1.2, Dezember 2022 Branchen­spezifischer Sicherheits­standard Pharma, diverse Verbände, Webseite des BSI, Version 2019? Branchen­spezifischer Sicherheits­standard für die Laboratoriums­diagnostik, ALM, Webseite des BSI, Version 2019?
Transport und Verkehr	Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs-und Leitsysteme im kommunalen Straßenverkehr, HV, Webseite des BSI, Version 2021? B3S im Luftverkehr; eingereicht beim BSI vom Bundesverband der Deutschen Luftverkehrswirtschaft e.V. (BDL) B3S für Betreiber des ÖPNV und des Schienenverkehrs der Eisenbahn; eingereicht beim BSI vom Verband Deutscher Verkehrsunternehmen e.V. (VDV)
Entsorgung	-
IT und TK	Branchen­spezifischer Sicherheits­standard zur IT-Sicherheit (Bereiche Housing und Hosting), UP KRITIS BAK Datacenter & Hosting mit CDN, Version April 2018
Finanzen und Versicherungen	Branchen­spezifischer Sicherheits­standard für gesetzliche Kranken- und Pflegeversicherer B3S-GKV/PV (Ersatzkassen), vdek, Version 1.2, Webseite des BSI

Regulierung und Gesetze

In einigen KRITIS-Sektoren gibt es bestehende und weitergehende Regulierung, die teilweise Anforderungen für IT-Sicherheit enthält — auch unter KRITIS-Gesetzgebung behandelt.

EnWG und IT-Sicherheitskatalog

Energieversorger fallen neben der KRITIS-Regulierung auch unter das EnWG mit Cyber Security Anforderungen für Betreiber von Energieanlagen, Versorgungsnetzen, Kernkraft und weiteren. Manche werden als KRITIS-Betreiber durch §8a BSIG reguliert, andere wiederum durch §11 EnWG oder das ATG.

BAIT

Für die Belange von Banken gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppel­belastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

TKG und Sicherheitskatalog 2.0

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit in §165-169 TKG, das 2021 umfangreich überarbeitet wurde.

• Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
• Sicherheitskonzept und Sicherheitsbeauftragter
• Kritische Komponenten (5G-Netzwerke)
• Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern.

Sicherheitskatalog 2.0	Inhalt
Sicherheits­maßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmelde­geheimnis, personen­bezogene Daten, TK-Infrastruktur/Dienste
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität

Die Maßnahmen können von TK-Sicherheitskatalog 2.0 zu KRITIS (C5) gemappt werden (PDF).

Internationale Industrie­standards

Als Erweiterung zu den allgemeinen Standards gibt es eine Vielzahl internationaler Branchen- und Technologie­standards, die in bestimmten Industrien spezifische Sicherheits­maßnahmen für dort eingesetzte Technologien definieren. Diese Standards definieren meist kein eigenes ISMS — sondern erweitern bestehende Strukturen um bestimmte Kontrollen und Bereiche.

ISO 2701X Technologien

Die verschiedenen ISO 2701X-Standards sind Empfehlungen für die Betreiber bestimmter Dienste und Technologien und enthalten als Code of practice zusätzliche Controls für technologie- und branchen­spezifische Themen, die ISO 27001/27002 erweitern.

Die 2701X-Controls ändern und ergänzen die Anforderungen bestehender ISO 27001 Kapitel bzw. Annex-A Domänen. Diese Empfehlungen erweitern bestehende Management-Systeme (ISMS nach ISO 27001) und stellen keinen eigenen, zertifizierbaren Standard oder ISMS dar, können von KRITIS-Betreibern jedoch als Ergänzung für Branchen­spezifika genutzt werden.

• ISO 27011 Telekommunikation: ISO/IEC 27011:2016 ist eine Empfehlung für Anbieter von Telekommunikations­netzen und -diensten mit ca. 30 Controls. Eine neue Version befindet sich 2022 als ISO/IEC CD 27011.2 in Abstimmung.
• ISO 27017 Cloud: ISO/IEC 27017:2015 ist eine Empfehlung für Betreiber von Cloud-Diensten.
• ISO 27018 Datenschutz in Cloud: ISO/IEC 27018:2018 ist eine Empfehlung für den Schutz personen­bezogener Daten bei Public Cloud Anbietern.
• ISO 27019 Energie: ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozess­steuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.

IEC 62443 Industrie­sicherheit

Der Standard IEC 62443 Industrielle Kommunikations­netze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).

IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrie­anlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62243 für KRITIS-Nachweise und -Maßnahmen

Für IEC 62243 gibt es (zurzeit) noch kein eigenständiges Zertifizierungs­schema — möglich sind aber Zertifizierungen zusammen mit ISO 27001 als ISMS. Die IEC 62443 Normen­reihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:

eigene Zusammenstellung Normenreihe IEC 62443

Standard	Datum	Inhalt
62443-1-1	2009	Grundlagen und Konzepte
62443-1-2	i.A.	Terminologie
62443-1-3	i.A.	Metriken
62443-1-4	i.A.	Lebenszyklen
62443-1-5	i.A.	Regeln für Profile
62443-2-1	2010	Sicherheits­programm für Betreiber von Anlagen
62443-2-2	i.A.	Einstufung
62443-2-3	2015	Patch-Management
62443-2-4	2017	Anforderungen für Provider und Integratoren
62443-2-5	i.A.	Implementation guidance
62443-3-1	2009	Sicherheits­technologien
62443-3-2	2017	Risiko-Assessment und System-Design
62443-3-3	2013	Technische Anforderungen an Systeme und Security-Level
62443-4-1	2018	Sichere Entwicklung (Development Lifecycle)
62443-4-2	2019	Technische Anforderungen an Produkte und Komponenten
62443-5-1	i.A.	Profile
62443-5-2	i.A.	Profile
62443-6-1	i.A.	Evaluierungsmethodik für IEC 62443-2-4 (Provider)
62443-6-2	i.A.	Evaluierungsmethodik für IEC 62443-4-2 (Produkte)

Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:

• Security Level: Geplante Schutzziele basierend auf Bedrohungen von 0 (keine besondere Anforderung) bis 4 (Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation).
• Maturity Level: Reifegrade für die Umsetzung von IT-Sicherheit von 1 (initial und ad-hoc) bis 4 (kontinuierliche Verbesserung).

NERC CIP

NERC CIP, North American Electric Reliability Corporation Critical Infrastructure Protection, ist eine Normenreihe für IT-Sicherheit bei US-Amerikanischen Energie­versorgern. Die CIP-Standards von CIP-002 bis CIP-014 umfassen eine Bandbreite an Cyber Security Themen von Personal, über Sicherheits­management bis physischer Sicherheit.

CLC/TS 50701 Railway Cybersecurity

International gibt es seit Juli 2021 von CENELEC einen Standard für Sicherheit im Eisenbahn­sektor, CLC/TS 50701 Railway applications - Cybersecurity, herausgegeben von TC 9X/WG 26.

Literatur

1. KRITIS-Standards für Management-Systeme auf OpenKRITIS
2. Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
3. NIST Critical Infrastructure Resources, National Institute of Standards and Technology
4. Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021

Quellen

1. ISO/IEC 27011:2016, Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2016
2. ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
3. ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
4. ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
5. CIP Standards, North American Electric Reliability Corporation, 2022