KRITIS-Sicherheits­strategie

KRITIS-Betreiber müssen in ihren KRITIS-Anlagen angemessene Cyber Security Maßnahmen nach Stand der Technik umsetzen. Das IT-Sicherheitsgesetz definiert kein explizites Mindestniveau an Cyber Security, das Betreiber erreichen müssen, normativ in KRITIS-Anlagen verpflichtend und notwendig sind:

Der Umgang mit KRITIS im Unternehmen sollte neben der operativen Umsetzung von Maßnahmen möglichst strategisch organisiert werden. Eine langfristige KRITIS-Strategie erleichtert dies enorm — indem die wichtigsten Ziele, Risiken und KRITIS-Handlungsfelder im Unternehmen dauerhaft verankert werden. Dies erleichtert auch die KRITIS-Prüfungen.

Umgang mit Cyber Security

Stand der Technik

Für technische Maßnahmen zur Sicherung der IT, OT und technischen Infrastruktur sieht das Gesetz eine Umsetzung vom Stand der Technik vor, einen von drei Technologieständen:

  1. Allgemein anerkannte Regeln der Technik
  2. Stand der Technik
  3. Stand der Wissenschaft und Forschung

Von TeleTrusT, dem Bundesverband IT-Sicherheit e.V., gibt es dazu ein umfangreiches Werk an aktuell verbreiteten Maßnahmen, die diesem Kriterium entsprechen und die Maßnahmen dementsprechend herleiten. Neben dem Stand der Technik können KRITIS-Betreiber für die Sicherung ihrer IT ebenfalls auf Cyber Security Standards zurückgreifen:

  1. Branchenstandards (B3S): Empfehlungen für Sicherheitsmaßnahmen in den einzelnen KRITIS-Sektoren, die von Branchenvertretern gemeinsam definiert wurden und Betreiber bei der Umsetzung von §8a (1) BSIG unterstützen sollen.
  2. Industrienormen: Allgemein anerkannte Standards wie ISO 27001 und 27002, BSI IT-Grundschutz oder NIST, die generelle Anforderungen an IT-Sicherheit stellen.
  3. Branchennormen: Einschlägige branchenspezifische Regularien der DIN, VDE oder ISO, die Sicherheit in bestimmten Anlagen oder Systemen vorschreiben, die in Branchen üblich sind.

Genauere Maßnahmen sind im Cyber Security Abschnitt von OpenKRITIS definiert, beginnend mit dem Management-System für Informationssicherheit (ISMS).

Angemessenheit

Schutz­maßnahmen in Kritischen Infrastrukturen müssen angemessen sein — sie müssen einerseits die Schutzziele für KRITIS erreichen können, andererseits aber auch in vertretbaren Aufwand umzusetzen zu sein.

  1. §8a (1) BSIG versteht unter Angemessenheit angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse.
  2. Angemessen sind KRITIS-Maßnahmen nach BSIG, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. An dieser Abwägung sollte sich die Auswahl und Umsetzung von Maßnahmen orientieren.

Bei der Abwägung von Angemessenheit und Aufwand für KRITIS-Maßnahmen eröffnet sich schnell ein Spannungsfeld zwischen den unternehmerischen Realitäten und Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen und schließlich den Prüfern in der KRITIS-Prüfung plausibel darlegen können.

KRITIS-Risiken

Betreiber Kritischer Infrastrukturen müssen die Risiken in KRITIS-Anlagen managen. KRITIS-Risiken können nur schwerlich vermieden oder transferiert werden. Dies setzt geregeltes Risiko-Management im Unternehmen im KRITIS-Geltungsbereich voraus, um die passenden Strategien und Behandlungs­optionen für den Umgang mit KRITIS-Risiken auszuwählen.

Schutzziele

Das primäre Schutzziel der KRITIS-Regulierung ist die Verfügbarkeit der kritischen Dienst­leistungen (kDL), die in KRITIS-Anlagen erbracht werden. Notwendige Security Maßnahmen zielen auf die Sicherstellung dieser Dienstleistungen in Anbetracht von Cyberrisiken ab — indem sie die IT, Organisation und Prozesse von KRITIS-Anlagen wie folgt schützen:

  1. Vertraulichkeit: Die in der KRITIS-Anlage und zur Steuerung eingesetzten Informationen und IT-Systeme müssen vor unerlaubtem Zugriff geschützt werden — Zugangsdaten, Passwörter, Betriebs­informationen, Konfigurationen etc., um Angriffe (dadurch) zu vermeiden.
  2. Integrität: Die eingesetzten Informationen und Systeme müssen ebenso gegen unbefugte Änderungen geschützt werden, um einen ungestörten und korrekten Regelbetrieb zu gewährleisten.
  3. Verfügbarkeit: Die für die KRITIS-Anlage notwendigen IT-Systeme, Prozesse und Assets müssen vor Ausfällen und Störungen geschützt und möglichst resilient organisiert werden, um die Verfügbarkeit der kritischen Dienstleistung bei Vorfällen sicherzustellen.

Strategien und Optionen

Die üblichen Behandlungs­optionen für Risiken sind in KRITIS-Anlagen von Betreibern Kritischer Infrastrukturen nur eingeschränkt nutzbar:

  1. Transfer: KRITIS-Risiken ihrer KRITIS-Anlagen können von KRITIS-Betreibern in der Risiko-Behandlung nicht transferiert, verlagert oder geteilt werden. Betreibt ein Unternehmen KRITIS-Anlagen, muss es deren Risiken behandeln, ein Transfer an Dritte ist nicht möglich
  2. Vermeidung: Gehört eine kritische Dienstleistung in einer KRITIS-Anlage zum Betrieb eines Unternehmens, können KRITIS-Risiken nicht plausibel vermieden werden. Die Risiken sind dem Betrieb Kritischer Infrastrukturen inhärent.
  3. Akzeptanz: Risiken von KRITIS-Anlagen, welche die Versorgungssicherheit beeinträchtigen, können von Betreiber nur sehr schwer legitim in der Risikobehandlung schlicht akzeptiert werden.
  4. Outsourcing: Bei Verlagerung von Anwendungen oder des IT-Betriebs zu IT-Dienstleistern, Managed Service oder Cloud Providern verbleiben die KRITIS-Risiken beim KRITIS-Betreiber. Der externe Dienstleister trägt lediglich die Umsetzungs-Verantwortung von Maßnahmen, das Risiko (Accountable) und Management verbleibt beim KRITIS-Betreiber.

Behandlung

Die KRITIS-Risiken müssen letztlich behandelt und gemindert werden. Dabei eröffnet sich schnell ein Spannungsfeld zwischen unternehmerischen Realitäten und den Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen.

Die einzelnen Risiken müssen dann in dedizierten Management-Systemen behandelt werden, wie im ISMS für Informations­sicherheit und BCMS für Resilienz.

up

Langfristige Überlegungen

KRITIS-Strategie

Eine langfristige und strategische Behandlung von Cyber Security in KRITIS-Anlagen ist in der aktuellen Bedrohungs- und Regulierungslage ratsam — und ermöglicht einen bedachten und geplanten Einsatz von Ressourcen beim Aufbau des Sicherheitsniveaus, anstatt reaktiv nach Vorfällen oder Prüfungen kurzfristig handeln zu müssen.

Security Programm

Ein Sicherheitsprogramm kann als Enabler im Unternehme strategische Themen und Cyber Security mit priorisierten Initiativen und Projekten vorantreiben. Mit einem klaren Mandat basierend auf der eigenen Risikoabwägung können so die wichtigsten Themen und Lücken im Betrieb und den KRITIS-Anlagen strukturiert angegangen und geschlossen werden.

Organisation

Neben einzelnen Initiativen sollten Betreiber die organisatorischen Voraussetzungen schaffen, um KRITIS-Risiken und die Sicherheit in den KRITIS-Anlagen zu managen — mit klaren Rollen, verbindlichen Verantwortlichkeiten und effektiven Prozessen im ISMS, BCMS und IT-RM.

Technologie

Der technologische Wandel und Sicherheit in der Digitalisierung sollten möglichst langfristig durch Cyber Security begleitet werden — lange Lebenszyklen müssen berücksichtigt und Legacy-IT besonders geschützt werden. Die Sicherheitsanforderungen für KRITIS müssen mit Modernisierungsprogrammen und Cloud-Initiativen harmonisiert werden — vielleicht wird Sicherheit in Zulieferketten oder Service-Management zukünftig wichtiger als die eigene IT.

Prüfungen

Als Kritische Infrastruktur müssen KRITIS-Betreiber die Sicherheitsvorkehrungen in ihren KRITIS-Anlagen dem BSI regelmäßig durch die BSIG-Nachweisprüfungen nachweisen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

up

Weitere Informationen

Literatur

  1. OpenKRITIS-Artikel zu KRITIS Cyber Security Standards für Betreiber
  2. OpenKRITIS-Artikel zu Cyber Security Maßnahmen für Betreiber
  3. Stand der Technik in der IT-Sicherheit, TeleTrusT, Bundesverband IT-Sicherheit e.V., o.D. — dort gibt es auch eine verlinkte PDF Handreichung zum Stand der Technik
  4. KRITIS-FAQ: Allgemeine Fragen zu §8a BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D

Quellen

  1. "Stand der Technik" umsetzen, Allgemeine Infos zu KRITIS, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  3. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, September 2021
  4. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  5. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist