Die §8a BSIG-Nachweisprüfung
Mit KRITIS-Prüfungen weisen Betreiber Kritischer Infrastrukturen alle zwei Jahre die IT-Sicherheit und Schutzmaßnahmen der KRITIS-Anlagen nach. Dazu führen KRITIS-Prüfer im Geltungsbereich der KRITIS-Anlagen geeignete Prüfhandlungen durch, um das Niveau von Cyber Security zu bewerten. Die Prüfungen sind in §8a BSIG mandatiert — daher §8a BSIG Nachweisprüfungen.
Die KRITIS-Prüfungen müssen durch Betreiber selbst veranlasst und geplant werden. Im Rahmen der Vorbereitung wählen die Betreiber die Prüfgrundlage aus und beauftragen die Prüfer. Anschließend wird der Auditplan erstellt. Nach diesem Vorlauf und (deutlich) vor Ablauf der Abgabefrist beim BSI beginnt das Prüfteam die Prüfung der KRITIS-Anlage.
Phase | Prüfung | Fragen | Vorgehen |
---|---|---|---|
1 | Grundlagen | KRITIS-Ansatz nachvollziehbar und plausibel? | Review Dokumente Interview Verantwortliche |
2 | Angemessenheit | Maßnahmen angemessen geplant und umgesetzt? | Interview Experten Review Maßnahmen + IT |
3 | Wirksamkeit | Maßnahmen wirklich im Einsatz und wirksam? | Review Nachweise Stichproben IT |
∑ | Berichterstattung | In den Nachweisdokumenten — siehe Ergebnisse von KRITIS-Prüfungen |

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis
Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber
sich auf Nachweis-Prüfungen vorbereiten.
Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022
KRITIS-Prüfungen durchführen
Vorgehen
Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.
Grundlagenprüfung
In der Grundlagenprüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Hauptprüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.
- Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
- Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
- Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
- Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.
Angemessenheitsprüfung
In der Angemessenheitsprüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheitsmaßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.
- Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
- Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheitsmaßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
- Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheitsmaßnahmen und IT.
Wirksamkeitsprüfung
In der Wirksamkeitsprüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.
- Durchführung: Prüfung, ob die Kontrollen (Sicherheitsmaßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
- Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nachvollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
- Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
- Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.
In der Prüfung
Prüfhandlungen
In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:
- Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
- Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumentenlenkung, Versionen, Daten, Änderungen)
- Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
- Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
- Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen
Themen
Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.
- Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informationssicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfallmanagement und KRITIS verankern und selbst überprüfen und verbessern.
- Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
- Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheitsmaßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungsprozesse
- Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
- Personal und Physische Sicherheit: Zugangs- und Zutrittsberechtigungen und deren Management (IAM), Schutzmaßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
- Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge
Teilnahme
An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:
- Das Prüfteam mit den KRITIS-Prüfern: Prüfungsleiter und Prüfer
- Sicherheitsmanagement zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
- Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
- IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
- Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden
Feststellungen und Bewertung
Prüfurteil
Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüfzeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.
KRITIS-Mängel
In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:
- Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
- Geringfügige Mängel stellen
ein Risiko
ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden. - Empfehlungen sind Verbesserungshinweise zur IT-Sicherheit und Kommentare zu Maßnahmen.
Ergebnis
Das Prüfteam dokumentiert sein Vorgehen, seine Beobachtungen und Bewertung von Abweichungen im eigenen Prüfbericht. Parallel zum Fortschreiten der Prüfung lassen die Prüfer in der Regel eine eigene Qualitätssicherung der Formalien und Inhalte des Prüfberichts durchführen. Damit soll sichergestellt werden, dass das Vorgehen und die Ergebnisse der Prüfer durch unabhängige Dritten (Prüfer) nachvollzogen werden können.
Als Ergebnis der KRITIS-Prüfung komplettiert das Prüfteam die vom BSI geforderten Formulare und Nachweisdokumente und trägt dort seine Einschätzungen ein.
Vorgaben
Die KRITIS-Gesetzgebung selbst macht keine genauen Vorgaben für die Durchführung der KRITIS-Prüfungen. Der entsprechende §8a Absatz 3 BSIG umfasst:
- Betreiber müssen Cyber Security Anforderungen aus §8a (1) und (1a) umsetzen und nachweisen
- Nachweis erstmalig zwei Jahre nach Registrierung und dann regelmäßig alle zwei Jahre
- Der Nachweis kann durch
Sicherheitsaudits, Prüfungen oder Zertifizierungen
erfolgen - Die Ergebnisse und Sicherheitsmängel werden im Anschluss dem BSI übermittelt
- Das BSI kann Unterlagen und Dokumentation der Prüfung verlangen
- Das BSI kann Behebung der Sicherheitsmängel verlangen
Daneben gibt es Vorgaben vom BSI auf seiner Webseite und in verschiedenen Dokumenten:
- Orientierungshilfe Nachweise (OH-N) enthält als Orientierung für Prüfer und Betreiber Vorgaben zum Ablauf der KRITIS-Prüfung, Themen, Mängel, Kategorien und Nachweisdokumenten
- BSI-Webseite Informationen für Prüfer mit Links, Hinweisen und FAQs für Prüfer
- Die Nachweisdokumente sind verbindliche Vordrucke und in der Prüfung auszufüllende Formulare P und KI. Diese Formulare verweisen als KRITIS-Nachweisdokumente auf weitere obligatorische Anlagen und legen teilweise Inhalte und Struktur der Prüfung und ihrer Ergebnisse fest
Teilweise sind auch berufsständische Vorgaben bei bestimmten Prüfern (Wirtschaftsprüfer) und Sicherheitsstandards je nach Branche verbindlich, die Prüfvorgehen etc. vorgeben.
Weitere Informationen
Literatur
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
- Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
- FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
Formulare
- Siehe auch die OpenKRITIS-Seite im Detail: Ergebnisse BSIG-Prüfungen
- Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- IDW PH 9.860.2, Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß §8a Abs. 1 BSIG umzusetzenden Maßnahmen, Institut der Wirtschaftsprüfer IDW, 2019