Die §8a BSIG-Nachweis­prüfung

In der KRITIS-Prüfung prüfen KRITIS-Prüfer bei Betreibern Kritischer Infrastrukturen alle zwei Jahre die IT-Sicherheit und Schutz­maßnahmen der KRITIS-Anlagen. Dazu führen die Prüfer im Geltungsbereich der KRITIS-Anlagen geeignete Prüfhandlungen durch, um das Niveau der Cyber Security Maßnahmen zu bewerten. Die Prüfungen sind in §8a BSIG mandatiert — daher §8a (3) BSIG Nachweisprüfungen.

Die KRITIS-Prüfungen müssen durch Betreiber selbst veranlasst und geplant werden. Im Rahmen der Vorbereitung werden durch Betreiber die Prüfgrundlage ausgewählt, die Prüfer beauftragt und der Auditplan erstellt. Nach diesem Vorlauf und (deutlich) vor Ablauf der Abgabefrist beim BSI beginnt das Prüfteam die Prüfung der KRITIS-Anlage.

Phase Prüfung Fragen Vorgehen
1 Grundlagen KRITIS-Ansatz nachvollziehbar und plausibel? Review Dokumente
Interview Verantwortliche
2 Angemessenheit Maßnahmen angemessen geplant und umgesetzt? Interview Experten
Review Maßnahmen + IT
3 Wirksamkeit Maßnahmen wirklich im Einsatz und wirksam? Review Nachweise
Stichproben IT
Berichterstattung In den Nachweisdokumenten — siehe Ergebnisse von KRITIS-Prüfungen
Podcast Icon

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber sich auf Nachweis-Prüfungen vorbereiten. Ein Gespräch über Helm­kameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

KRITIS-Prüfungen durchführen

Vorgehen

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.

Grundlagen­prüfung

In der Grundlagen­prüfung, der ersten Phase der Prüfung noch vor der tatsächlichen Haupt­prüfung, untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

  1. Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
  2. Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
  3. Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
  4. Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheits­prüfung

In der Angemessenheits­prüfung, der zweiten Phase der Prüfung, beurteilen die Prüfer die Angemessenheit von Sicherheits­maßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

  1. Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
  2. Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheits­maßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
  3. Vorgehen: In dieser Phase sprechen die Prüfer mit den IT/Prozess-Verantwortlichen und Control Ownern und prüfen Dokumentationen von Sicherheits­maßnahmen und IT-Systeme.

Wirksamkeits­prüfung

In der Wirksamkeits­prüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

  1. Durchführung: Prüfung, ob die Kontrollen (Sicherheits­maßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
  2. Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nach­vollzogen werden kann — finden sich Nachweise in Systemauszügen, Protokollen oder Logs?
  3. Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
  4. Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

up

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

  1. Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
  2. Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumenten­lenkung, Versionen, Daten, Änderungen)
  3. Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
  4. Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
  5. Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

  1. Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informations­sicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfall­management und KRITIS verankern und selbst überprüfen und verbessern.
  2. Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung
  3. Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheits­maßnahmen von Hardware, sicherem IT-Betrieb bis zu Software, Betriebssystemen und Entwicklungs­prozessen
  4. Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
  5. Personal und Physische Sicherheit: Themen rund um Zugangs- und Zutritts­berechtigungen und deren Management (IAM), Schutz­maßnahmen von Gebäuden, Anlagen, Energie/Klima
  6. Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

  1. Das Prüfteam mit den KRITIS-Prüfern
  2. Sicherheits­management zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
  3. Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
  4. IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
  5. Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden

up

Feststellungen und Bewertung

Prüfurteil

Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüf­zeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

KRITIS-Mängel

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

  1. Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
  2. Geringfügiger Mangel stellen ein Risiko ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
  3. Empfehlung sind Verbesserungshinweise zur IT-Sicherheit und Kommentare zu Maßnahmen.

Ergebnis

Das Prüfteam dokumentiert sein Vorgehen, seine Beobachtungen und Bewertung von Abweichungen im eigenen Prüfbericht. Parallel zum Fortschreiten der Prüfung lassen die Prüfer in der Regel eine eigene Qualitäts­sicherung der Formalien und Inhalte des Prüfberichts durchführen. Damit soll sichergestellt werden, dass das Vorgehen und die Ergebnisse der Prüfer durch unabhängige Dritten (Prüfer) nachvollzogen werden können.

Als Ergebnis der KRITIS-Prüfung komplettiert das Prüfteam die vom BSI geforderten Formulare und Nachweisdokumente und trägt dort seine Einschätzungen ein.

up

Vorgaben

Die KRITIS-Gesetzgebung selbst macht sehr keine genauen Vorgaben für die Durchführung der KRITIS-Prüfungen. Der entsprechende §8a Absatz 3 BSIG umfasst:

Daneben gibt es Vorgaben vom BSI auf seiner Webseite und in verschiedenen Dokumenten:

Teilweise sind auch berufsständische Vorgaben bei bestimmten Prüfern (Wirtschafts­prüfer) und Sicherheits­standards je nach Branche verbindlich, die Prüfvorgehen etc. vorgeben.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  2. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
  3. Aktuelles für Betreiber und Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
  4. Erfolgreich Nachweise einreichen, Webseite Bundesamt für Sicherheit in der Informationstechnik
  5. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik

Formulare

  1. Siehe auch die OpenKRITIS-Seite im Detail: Ergebnisse BSIG-Prüfungen
  2. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. IDW PH 9.860.2, Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß §8a Abs. 1 BSIG umzusetzenden Maßnahmen, Institut der Wirtschafts­prüfer IDW, 2019