Die §8a BSIG-Nachweis­prüfung

Mit KRITIS-Prüfungen weisen Betreiber Kritischer Infrastrukturen alle zwei Jahre die IT-Sicherheit und Schutz­maßnahmen der KRITIS-Anlagen nach. Dazu führen KRITIS-Prüfer im Geltungsbereich der KRITIS-Anlagen geeignete Prüfhandlungen durch, um das Niveau von Cyber Security zu bewerten. Die Prüfungen sind in §8a BSIG mandatiert — daher §8a BSIG Nachweisprüfungen.

Die KRITIS-Prüfungen müssen durch Betreiber selbst veranlasst und geplant werden. Im Rahmen der Vorbereitung wählen die Betreiber die Prüfgrundlage aus und beauftragen die Prüfer. Anschließend wird der Auditplan erstellt. Nach diesem Vorlauf und (deutlich) vor Ablauf der Abgabefrist beim BSI beginnt das Prüfteam die Prüfung der KRITIS-Anlage.

Phase Prüfung Fragen Vorgehen
1 Grundlagen KRITIS-Ansatz nachvollziehbar und plausibel? Review Dokumente
Interview Verantwortliche
2 Angemessenheit Maßnahmen angemessen geplant und umgesetzt? Interview Experten
Review Maßnahmen + IT
3 Wirksamkeit Maßnahmen wirklich im Einsatz und wirksam? Review Nachweise
Stichproben IT
Berichterstattung In den Nachweisdokumenten — siehe Ergebnisse von KRITIS-Prüfungen
Podcast Icon

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber sich auf Nachweis-Prüfungen vorbereiten. Ein Gespräch über Helm­kameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

KRITIS-Prüfungen durchführen

Vorgehen

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.

Grundlagen­prüfung

In der Grundlagen­prüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Haupt­prüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

  1. Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
  2. Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
  3. Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
  4. Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheits­prüfung

In der Angemessenheits­prüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheits­maßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

  1. Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
  2. Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheits­maßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
  3. Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheits­maßnahmen und IT.

Wirksamkeits­prüfung

In der Wirksamkeits­prüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

  1. Durchführung: Prüfung, ob die Kontrollen (Sicherheits­maßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
  2. Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nach­vollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
  3. Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
  4. Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

up

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

up

Feststellungen und Bewertung

Prüfurteil

Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüf­zeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

KRITIS-Mängel

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

Ergebnis

Das Prüfteam dokumentiert sein Vorgehen, seine Beobachtungen und Bewertung von Abweichungen im eigenen Prüfbericht. Parallel zum Fortschreiten der Prüfung lassen die Prüfer in der Regel eine eigene Qualitäts­sicherung der Formalien und Inhalte des Prüfberichts durchführen. Damit soll sichergestellt werden, dass das Vorgehen und die Ergebnisse der Prüfer durch unabhängige Dritten (Prüfer) nachvollzogen werden können.

Als Ergebnis der KRITIS-Prüfung komplettiert das Prüfteam die vom BSI geforderten Formulare und Nachweisdokumente und trägt dort seine Einschätzungen ein.

up

Vorgaben

Die KRITIS-Gesetzgebung selbst macht keine genauen Vorgaben für die Durchführung der KRITIS-Prüfungen. Der entsprechende §8a Absatz 3 BSIG umfasst:

Daneben gibt es Vorgaben vom BSI auf seiner Webseite und in verschiedenen Dokumenten:

Teilweise sind auch berufsständische Vorgaben bei bestimmten Prüfern (Wirtschafts­prüfer) und Sicherheits­standards je nach Branche verbindlich, die Prüfvorgehen etc. vorgeben.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
  2. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
  3. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik

Formulare

  1. Siehe auch die OpenKRITIS-Seite im Detail: Ergebnisse BSIG-Prüfungen
  2. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. IDW PH 9.860.2, Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß §8a Abs. 1 BSIG umzusetzenden Maßnahmen, Institut der Wirtschafts­prüfer IDW, 2019