KRITIS Risiken und Assets

KRITIS-Betreiber müssen Risiken in ihren KRITIS-Anlagen und Assets behandeln, um die Versorgungssicherheit der kritischen Dienstleistung zu schützen. Dafür sind Governance und Prozesse für Risiko-Management und Asset-Management im KRITIS-Geltungsbereich notwendig — für transparente Risiken und geeignete Maßnahmen.

Die KRITIS-Regulierung legt keine Anforderungen an Standards oder Technologie für Risiko- oder Asset-Management fest — verpflichtend ist das Steuern von Risiken und Assets in den KRITIS-Anlagen. Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen behandelt Risiko- und Asset-Management wie folgt:

Bereich BSI-ID Anforderung
Risiko-Management 13-16 Richtlinien und Governance für Risiko-Management
Asset-Management 5-8, 12 Inventar und Prozesse für Assets
Klassifizierung 9-11 Umgang mit Informationen und Daten

Risiko-Management

Governance für Risiken

Für die Behandlung von Risiken in KRITIS-Anlagen sind Verantwortlichkeiten und Prozesse durch klare Vorgaben und Governance für Risiko-Management notwendig. Die Methoden und Abläufe sollten mit bestehenden Management-Systemen harmonisiert werden — dem Risiko-Management des Unternehmens und ISMS und BCMS in KRITIS-Anlagen.

BSI-ID Anforderung
BSI-13 Richtlinie für die Organisation des Risikomanagements
BSI-14 Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken
BSI-15 Richtlinien zur Folgeabschätzung
BSI-16 Maßnahmenableitung

Vorgaben

Durch Vorgaben legt die Unternehmensleitung die Strategien, Methoden und Abläufe im Umgang mit Risiken in KRITIS-Anlagen fest — in einer Risiko-Management Richtlinie oder zentralen KRITIS-Policy. In den Vorgaben sollten auch einheitliche Risiko-Klassen, Methoden und Schwellenwerte für die weiteren Management-Systeme (ISMS, BCMS) definiert werden.

Rollen

Das Risiko-Management in KRITIS-Anlagen benötigt definierte Rollen und Verantwortungen:

  1. Risiko-Verantwortliche: Eigentümer von Risiken in den KRITIS-Anlagen, verantwortlich für die Behandlung der Risiken

Prozesse

Risiken in KRITIS-Anlagen müssen durch organisierte Prozesse gesteuert werden, die pro Jahr mindestens einmal durchlaufen werden:

  1. Identifikation: Methoden zur Identifikation von Risiken in Assets und KRITIS-Anlagen
  2. Risikoanalyse: Analyse der Risiken von Assets — Durchführung von Risiko-Analysen
  3. Risikobehandlung: Auswahl von Optionen in der Risikobehandlung mit ISMS und BCMS

Nachweise

Artefakte als Nachweis für ein funktionierendes Risiko-Management sind u.a.:

  1. Risiko-Analysen
  2. Richtlinie
  3. Risiko-Inventar
  4. Analyse-Methoden

Strategien

Neben dem operativen Risiko-Management in KRITIS-Anlagen sind grundlegende Entscheidungen zum Risiko-Appetit und den Strategien zur Behandlung notwendig:

  1. Transfer: KRITIS-Risiken ihrer KRITIS-Anlagen können von KRITIS-Betreibern in der Risiko-Behandlung nicht transferiert, verlagert oder geteilt werden. Betreibt ein Unternehmen KRITIS-Anlagen, muss es deren Risiken behandeln, ein Transfer an Dritte ist nicht möglich
  2. Vermeidung: Gehört eine kritische Dienstleistung auf einer KRITIS-Anlage zum Betrieb eines Unternehmens, kann es diese Risiken auch in der Risikobehandlung nicht vermeiden. Die Risiken sind inhärent zum Betrieb Kritischer Infrastrukturen.
  3. Akzeptanz: Risiken von KRITIS-Anlagen, welche die Versorgungssicherheit beeinträchtigen, können nur sehr schwer von Beteibern in der Risikobehandlung schlicht ‘akzeptiert’ werden. Es geht schließlich um die Versorgungssicherheit und Compliance zu einem Bundesgesetz.
  4. Outsourcing: Bei Verlagerung von Anwendungen oder des IT-Betriebs zu IT-Dienstleistern, Managed Service oder Cloud Providern verbleiben die KRITIS-Risiken beim KRITIS-Betreiber. Der externe Dienstleister trägt lediglich die Umsetzungs-Verantwortung von Maßnahmen, das Risiko (Accountable) und Management verbleibt beim KRITIS-Betreiber.

Bei den KRITIS-Risiken und Behandlungsoptionen eröffnet sich schnell ein Spannungsfeld zwischen den unternehmerischen Anforderungen und Realitäten und den Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen.

Integration im Unternehmen

Das Risiko-Management muss für das Management von Ausfallrisiken im Betrieb mit weiteren Management-Systemen vernetzt sein.

  1. Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
  2. ISMS: Definition von Risiko-Methoden und Kategorien; Austausch zu IS- und IT-Risiken in den KRITIS-Anlagen und ISMS-Ergebnissen (SBF, Maßnahmen)
  3. BCM: Definition von Risiko-Methoden und Kategorien; Austausch zu Ausfallrisiken in den KRITIS-Anlagen und BCM-Ergebnissen (BIA, RIA, ...)
  4. KRITIS-Organisation: Steuerung der Risiko-Strategie für KRITIS, Austausch zur Cyber Security Strategie und Risiko-Behandlung

up

Asset-Management

Governance für Assets

Um die Risiken in den KRITIS-Anlagen steuern zu können, ist ein Inventar und Management der dort eingesetzten Assets zwingend notwendig. Betreiber müssen dazu die Assets in den KRITIS-Anlagen kennen und organisiert verwalten — mit klaren Verantwortlichkeiten und Prozessen im Asset Management.

BSI-ID Anforderung
BSI-5 Asset Inventar und Prozesse
BSI-6 Zuweisung von Asset Verantwortlichen
BSI-7 Nutzungsanweisungen für Assets
BSI-8 Ab- und Rückgabe von Assets
BSI-12 Überführung und Entfernung von Assets

Vorgaben

Die Verwaltung der Assets wird in einer Richtlinie des Risiko-Managements festgeschrieben, welche die Anforderungen, Rollen und Prozesse definiert. Der ordnungsgemäße Umgang mit Assets in der KRITIS-Anlage wird in dokumentierten Anweisungen festgelegt.

Rollen

Für das Management von Assets in KRITIS-Anlagen sind definierte Rollen notwendig:

  1. Asset-Verantwortliche: Dedizierter Owner von Assets und deren Risiken — verantwortlich für den Schutz der Assets durch Maßnahmen

Inventar

Für eine Übersicht der vorhandenen Assets und als Grundlage vom Risiko-Management ist ein Inventar der Assets in den KRITIS-Anlagen notwendig. Assets umfassen, je nach Definition, IT-Systeme, Komponenten, Verfahren und Anwendungen, und sollten regelmäßig erfasst werden — ob IT-gestützt (CMDB, IT-SM) oder durch manuelle Prozesse ist dabei zweitrangig.

Prozesse

Definierte Prozesse sind für den Lebenszyklus der Assets und deren Verwaltung notwendig:

  1. Inventarisierung: Regelprozess zur Aufnahme und Aktualisierung der vorhandenen Assets
  2. Verantwortungen: Verantwortlichkeiten für Assets werden durch geregelte Prozesse an festgelegte Owner vergeben
  3. Lebenszyklus: Die Aus- und Rückgabe von Assets folgt klaren Regeln und wird dokumentiert
  4. Transfer: Die Überführung von Assets nach außerhalb erfolgt nur mit Genehmigung

Nachweise

Artefakte als Nachweis für ein funktionierendes Asset-Management sind u.a.:

  1. Asset-Inventar
  2. Asset-Listen
  3. Zugewiesene Risiken
  4. Asset-Verantwortliche

Klassifizierung

Informationen in den KRITIS-Anlagen folgen einer einheitlichen Klassifikation durch den Betreiber und werden im Betrieb dementsprechend eingestuft. Dazu gibt es ein definiertes Klassifizierungs­schema und Vorgaben, wie Informationen und deren Datenträger und Medien zu handhaben sind — von der Erstellung und Ausgabe, bis zum Transport, Rückgabe und Vernichtung. Dies geschieht nach definierten Prozessen, deren Einhaltung überwacht wird.

BSI-ID Anforderung
BSI-9 Klassifikation von Informationen
BSI-10 Kennzeichnung von Informationen und Handhabung von Assets
BSI-11 Verwaltung von Datenträgern

Integration im Unternehmen

Das Asset-Management muss im Betrieb mit weiteren Management-Systemen vernetzt sein.

  1. Risiko-Management: Definition von Vorgaben und Zuständigkeiten, Austausch zu Assets und Risiken in Scope von KRITIS
  2. ISMS: Austausch zu Assets und deren Zuständigkeiten in den KRITIS-Anlagen
  3. BCM: Austausch zu Assets und deren Zuständigkeiten in den KRITIS-Anlagen
  4. KRITIS-Organisation: Unterstützung bei der Definition des KRITIS-Geltungsbereichs

up

Weitere Informationen

Literatur

  1. Schutz Kritischer Infrastrukturen - Risiko- und Krisenmanagement Leitfaden für Unternehmen und Behörden, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), 2019
  2. IT Asset-Management, NIST Special Publication 1800-5, September 2018
  3. Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011
  4. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, NIST SP 800-37 Rev. 2, Dezember 2018
  5. Guide for Conducting Risk Assessments, NIST SP 800-30 Rev. 1, September 2012

Standards

  1. ISO 31000:2018, Risk management - Guidelines, International Organization for Standardization
  2. ISO 31010:2019, Risk management - Risk assessment techniques, International Organization for Standardization
  3. ISO/IEC 27005:2018, Information technology - Security techniques - Information security risk management
  4. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist