Die §8a BSIG-Nachweis­prüfung

Vorgehen

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.

Grundlagen­prüfung

In der Grundlagen­prüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Haupt­prüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

1. Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
2. Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
3. Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
4. Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheits­prüfung

In der Angemessenheits­prüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheits­maßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

1. Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
2. Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheits­maßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
3. Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheits­maßnahmen und IT.

Wirksamkeits­prüfung

In der Wirksamkeits­prüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

1. Durchführung: Prüfung, ob die Kontrollen (Sicherheits­maßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
2. Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nach­vollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
3. Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
4. Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

• Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
• Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumenten­lenkung, Versionen, Daten, Änderungen)
• Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
• Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
• Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

• Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informations­sicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfall­management und KRITIS verankern und selbst überprüfen und verbessern.
• Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
• Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheits­maßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungs­prozesse
• Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
• Personal und Physische Sicherheit: Zugangs- und Zutritts­berechtigungen und deren Management (IAM), Schutz­maßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
• Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

• Das Prüfteam mit den KRITIS-Prüfern: Prüfungs­leiter und Prüfer
• Sicherheits­management zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
• Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
• IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
• Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden

Feststellungen und Bewertung

Prüfurteil

Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüf­zeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

KRITIS-Mängel

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

• Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
• Geringfügige Mängel stellen ein Risiko ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
• Empfehlungen sind Verbesserungshinweise zur IT-Sicherheit und Kommentare zu Maßnahmen.

Ergebnis

Das Prüfteam dokumentiert sein Vorgehen, seine Beobachtungen und Bewertung von Abweichungen im eigenen Prüfbericht. Parallel zum Fortschreiten der Prüfung lassen die Prüfer in der Regel eine eigene Qualitäts­sicherung der Formalien und Inhalte des Prüfberichts durchführen. Damit soll sichergestellt werden, dass das Vorgehen und die Ergebnisse der Prüfer durch unabhängige Dritten (Prüfer) nachvollzogen werden können.

Als Ergebnis der KRITIS-Prüfung komplettiert das Prüfteam die vom BSI geforderten Formulare und Nachweisdokumente und trägt dort seine Einschätzungen ein.

Vorgaben

Die KRITIS-Gesetzgebung selbst macht keine genauen Vorgaben für die Durchführung der KRITIS-Prüfungen. Der entsprechende §8a Absatz 3 BSIG umfasst:

• Betreiber müssen Cyber Security Anforderungen aus §8a (1) und (1a) umsetzen und nachweisen
• Nachweis erstmalig zwei Jahre nach Registrierung und dann regelmäßig alle zwei Jahre
• Der Nachweis kann durch Sicherheits­audits, Prüfungen oder Zertifizierungen erfolgen
• Die Ergebnisse und Sicherheits­mängel werden im Anschluss dem BSI übermittelt
• Das BSI kann Unterlagen und Dokumentation der Prüfung verlangen
• Das BSI kann Behebung der Sicherheits­mängel verlangen

Daneben gibt es Vorgaben vom BSI auf seiner Webseite und in verschiedenen Dokumenten:

• Orientierungshilfe Nachweise (OH-N) enthält als Orientierung für Prüfer und Betreiber Vorgaben zum Ablauf der KRITIS-Prüfung, Themen, Mängel, Kategorien und Nachweisdokumenten
• BSI-Webseite Informationen für Prüfer mit Links, Hinweisen und FAQs für Prüfer
• Die Nachweisdokumente sind verbindliche Vordrucke und in der Prüfung auszufüllende Formulare P und KI. Diese Formulare verweisen als KRITIS-Nachweisdokumente auf weitere obligatorische Anlagen und legen teilweise Inhalte und Struktur der Prüfung und ihrer Ergebnisse fest

Teilweise sind auch berufsständische Vorgaben bei bestimmten Prüfern (Wirtschafts­prüfer) und Sicherheits­standards je nach Branche verbindlich, die Prüfvorgehen etc. vorgeben.

Literatur

1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
2. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
3. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik

Formulare

1. Siehe auch die OpenKRITIS-Seite im Detail: Ergebnisse BSIG-Prüfungen
2. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

1. IDW PH 9.860.2, Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß §8a Abs. 1 BSIG umzusetzenden Maßnahmen, Institut der Wirtschafts­prüfer IDW, 2019