Lieferanten und Sicherheit

Einkauf von IT

Bei der Beschaffung von IT für KRITIS-Anlagen und in Einrichtungen müssen notwendige Sicherheitsanforderungen beachtet werden. Die Vorgaben sollten durch das ISMS als Mindestanforderungen erfolgen, die beim Einkauf und in Beschaffungsprozessen befolgt werden müssen.

• Vorgaben für den Einkauf: Die Sicherheitsanforderungen des ISMS müssen im Einkauf und bei eingekauften IT-Systemen und Lösungen verbindlich gemacht werden. Dies umfasst Anforderungen an Schutzmaßnahmen, zu befolgenden Standards oder Common Criteria und auch verbindliche Regeln in der Entwicklung und Code.
• Kontrolle der Einhaltung: Die Anforderungen an eingekaufte IT und Dienstleistungen müssen vertraglich festgehalten und kontrolliert werden. Operativ durch Produkt-Tests und Zertifizierungen.

Nachweise

Artefakte als Nachweis für Informationssicherheit im Umgang mit Externen sind u.a.:

1. Klauseln in Ausschreibungen
2. Zertifizierte Produkte
3. Getestete Produkte

Lieferanten-Management

Beim Einsatz und der Beauftragung von Externen wie Dienstleistern und Lieferanten müssen die Sicherheitsanforderungen in KRITIS-Anlagen gewährleistet werden. Die Vorgaben werden häufig innerhalb des ISMS definiert, und dann durch das Provider-Management, den Einkauf oder die KRITIS-Organisation gesteuert.

• Vorgaben für Externe: Die Sicherheitsanforderungen des ISMS müssen für Dienstleister, Lieferanten und Externe in den KRITIS-Anlagen verbindlich gemacht werden. Dies umfasst KRITIS-relevante Mindestanforderungen für Externe, Schutz von Informationen, Incident Management und Vorfallmeldungen und die Integration ins eigene Risiko-Management.
• Kontrolle der Einhaltung: Die Anforderungen an Externe müssen vertraglich festgehalten und kontrolliert, und operativ durch Audits, Tests, Zertifizierungen überprüft werden. Das Lieferanten- und Provider Management muss dafür aktiv ins ISMS eingebunden werden.

Nachweise

Artefakte als Nachweis für Informationssicherheit im Umgang mit Externen sind u.a.:

1. Vertragsklauseln
2. IS-Vorgaben für Externe
3. Auswertung SLAs
4. Auswertung Audits

Supply Chain Security

Neben der Sicherheit innerhalb von Dienstleister-Beziehungen und bei Produkten müssen mit NIS2 und dem KRITIS-Dachgesetz auch Aspekte der Lieferketten-Sicherheit betrachtet werden. Dies umfasst den Schutz der Supply Chain – also das Vorhandensein und die Resilienz der eigenen Zulieferer und Dienstleister.

• Supply Chain Security: Vorgaben an das Schutzniveau bei Providern aber auch zur Resilienz der Lieferkette sollten zusammen mit dem ISMS erarbeitet werden. Die Lieferkette sollte diversifiziert werden und Dienstleister und Provider sollten so ausgewählt werden, dass es keinen SPOF (Single Point of Failure) gibt.
• Analyse der Resilienz: Die Abhängigkeit von Lieferanten und Dienstleistern sollte strategisch erfasst und analysiert werden. Dies kann in enger Zusammenarbeit mit dem oder durch das BCMS erfolgen, was Abhängigkeiten und Resilienzen untersucht und Pläne erstellt.

Nachweise

Artefakte als Nachweis für Sicherheit der Lieferkette sind u.a.:

1. Risikobewertungen Provider
2. Alternative Dienstleister
3. Vielfältige Anbieter

Integration im Unternehmen

Sicherheit von Externen muss mit vielen weiteren Management-Systemen beim Betreiber und der Einrichtung vernetzt sein.

• Sicherheits-Management (ISMS): Austausch zu Vorgaben, Prozessen, Schulungen, Kontrollen
• Risiko-Management: Meldung von externen Risiken und Maßnahmen an das IT und Unternehmens-Risiko-Management
• Asset-Management: Definition von extern gesteuerten und betriebenen Assets
• BCM: Austausch von Risiken von Externen und Dienstleistern, Lieferketten-Sicherheit und Alternativen, Notfallpläne
• IT-Betrieb und IT-Sicherheit: Überwachung (organisatorisch und vertraglich) beim Einsatz Externer und Dienstleistern durch die IT
• IT-Notfallmanagement: Notfallpläne für Störungen bei externen Dienstleistungen und IT

Literatur

1. IT-Grundschutz-Baustein (200-1): OPS.2.3 Nutzung von Outsourcing, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023
2. IT-Grundschutz-Baustein (200-1): OPS.2.2 Cloud-Nutzung, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023
3. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018

Standards

1. ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
2. DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheits­managementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
3. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
4. IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik

Quellen

1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist