KRITIS-Sicherheits­niveau

KRITIS-Betreiber müssen in ihren KRITIS-Anlagen angemessene Cyber Security Maßnahmen nach Stand der Technik umsetzen. Das IT-Sicherheitsgesetz definiert kein explizites Mindestniveau an Cyber Security, das Betreiber erreichen müssen. Normativ in KRITIS-Anlagen verpflichtend und notwendig ist:

Der Umgang mit KRITIS im Unternehmen sollte neben der operativen Umsetzung von Maßnahmen möglichst langfristig angegangen werden. Eine organisierte KRITIS-Strategie erleichtert dies enorm — indem die wichtigsten Ziele, Risiken und KRITIS-Handlungsfelder langfristig geplant und im Unternehmen verankert werden.

Notwendige Cyber Security

Angemessenheit

§8a (1) BSIG versteht unter Angemessenheit angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse.

Angemessen sind KRITIS-Maßnahmen nach BSIG, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. An dieser Abwägung sollte sich die Auswahl und Umsetzung von Maßnahmen orientieren.

Stand der Technik

Für technische Maßnahmen zur Sicherung der IT, OT und technischen Infrastruktur sieht das Gesetz eine Umsetzung vom Stand der Technik vor, einen von drei Technologieständen:

  1. Allgemein anerkannte Regeln der Technik
  2. Stand der Technik
  3. Stand der Wissenschaft und Forschung

Von TeleTrusT, dem Bundesverband IT-Sicherheit e.V., gibt es dazu ein umfangreiches Werk an aktuell verbreiteten Maßnahmen, die diesem Kriterium entsprechen und die Maßnahmen dementsprechend herleiten. Neben dem Stand der Technik können KRITIS-Betreiber für die Sicherung ihrer IT ebenfalls auf mögliche Standards zurückgreifen:

  1. Branchenstandards (B3S): Empfehlungen für Sicherheitsmaßnahmen in den einzelnen KRITIS-Sektoren, die von Branchenvertretern gemeinsam definiert wurden und Betreiber bei der Umsetzung von §8a (1) BSIG unterstützen sollen.
  2. Industrienormen: Allgemein anerkannte Standards wie ISO 27001 und 27002, BSI IT-Grundschutz oder NIST, die generelle Anforderungen an IT-Sicherheit stellen.
  3. Branchennormen: Einschlägige branchenspezifische Regularien der DIN, VDE oder ISO, die Sicherheit in bestimmten Anlagen oder Systemen vorschreiben, die in Branchen üblich sind.

Genauere Maßnahmen werden im Cyber Security Abschnitt von OpenKRITIS aufgegriffen, beginnend mit dem Management-System für Informationssicherheit (ISMS).

Risiko-Management

Betreiber Kritischer Infrastrukturen müssen die Risiken in KRITIS-Anlagen managen. Dies setzt ein geregeltes Risiko-Management im Unternehmen bzw. im KRITIS-Geltungsbereich voraus — mit definierten Verantwortlichkeiten und Prozessen für Unternehmens- und KRITIS-Risiken. In der Risikobehandlung bedeuten KRITIS-Risiken:

  1. Transfer: KRITIS-Risiken ihrer KRITIS-Anlagen können von KRITIS-Betreibern in der Risiko-Behandlung nicht transferiert, verlagert oder geteilt werden. Betreibt ein Unternehmen KRITIS-Anlagen, muss es deren Risiken behandeln, ein Transfer an Dritte ist nicht möglich
  2. Vermeidung: Gehört eine kritische Dienstleistung in einer KRITIS-Anlage zum Betrieb eines Unternehmens, können KRITIS-Risiken nicht vermieden werden. Die Risiken sind inhärent zum Betrieb Kritischer Infrastrukturen.
  3. Akzeptanz: Risiken von KRITIS-Anlagen, welche die Versorgungssicherheit beeinträchtigen, können nicht oder nur sehr schwer von Beteibern in der Risikobehandlung akzeptiert werden.
  4. Outsourcing: Bei Verlagerung von Anwendungen oder des IT-Betriebs zu IT-Dienstleistern, Managed Service oder Cloud Providern verbleiben die KRITIS-Risiken beim KRITIS-Betreiber. Der externe Dienstleister trägt lediglich die Umsetzungs-Verantwortung von Maßnahmen, das Risiko (Accountable) und Management verbleibt beim KRITIS-Betreiber.
  5. Behandlung: Die KRITIS-Risiken müssen letztlich behandelt und gemindert werden. Dabei eröffnet sich schnell ein Spannungsfeld zwischen den unternehmerischen Realitäten und den Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen.

Darauf bauen dann spezifische Management-Systeme auf — Informationssicherheit (ISMS) für die Sicherheit von IT und OT, Continuity (BCMS) für die Resilienz von Prozessen.

up

Langfristige Überlegungen

KRITIS-Strategie

Eine langfristige und strategische Behandlung von Cyber Security in KRITIS-Anlagen ist in der aktuellen Bedrohungs- und Regulierungslage ratsam — und ermöglicht einen bedachten und geplanten Einsatz von Ressourcen beim Aufbau des Sicherheitsniveaus, anstatt reaktiv nach Vorfällen oder Prüfungen kurzfristig handeln zu müssen.

Security Programm

Ein Sicherheitsprogramm kann als Enabler im Unternehme strategische Themen und Cyber Security mit priorisierten Initiativen und Projekten vorantreiben. Mit einem klaren Mandat basierend auf der eigenen Risikoabwägung können so die wichtigsten Themen und Lücken im Betrieb und den KRITIS-Anlagen strukturiert angegangen und geschlossen werden.

Organisation

Neben einzelnen Initiativen sollten Betreiber die organisatorischen Voraussetzungen schaffen, um KRITIS-Risiken und die Sicherheit in den KRITIS-Anlagen zu managen — mit klaren Rollen, verbindlichen Verantwortlichkeiten und effektiven Prozessen im ISMS, BCMS und IT-RM.

Technologie

Der technologische Wandel und Sicherheit in der Digitalisierung sollten möglichst langfristig durch Cyber Security begleitet werden — lange Lebenszyklen müssen berücksichtigt und Legacy-IT besonders geschützt werden. Die Sicherheitsanforderungen für KRITIS müssen mit Modernisierungsprogrammen und Cloud-Initiativen harmonisiert werden — vielleicht wird Sicherheit in Zulieferketten oder Service-Management zukünftig wichtiger als die eigene IT.

Prüfungen

Als Kritische Infrastruktur müssen KRITIS-Betreiber die Sicherheitsvorkehrungen in ihren KRITIS-Anlagen dem BSI regelmäßig durch die BSIG-Nachweisprüfungen nachweisen.

Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

Weitere Informationen

Literatur

  1. Stand der Technik in der IT-Sicherheit, TeleTrusT, Bundesverband IT-Sicherheit e.V., o.D. — dort gibt es auch eine verlinkte PDF Handreichung zum Stand der Technik
  2. KRITIS-FAQ: Allgemeine Fragen zu §8a BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D

Quellen

  1. "Stand der Technik" umsetzen, Allgemeine Infos zu KRITIS, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 21.08.2020
  3. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 1.12.2017
  4. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  5. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist