KRITIS-Prüfungen

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Die Prüfungen orientieren sich an BSI-Vorgaben, werden von spezialisierten KRITIS-Prüfern durchgeführt und müssen von Betreibern selbst organisiert werden.

In der Prüfung finden die Prüfer (wahrscheinlich) Mängel in der IT-Sicherheit beim Betreiber, die als Teil der Ergebnisse und Nachweise ans BSI berichtet und danach vom Betreiber behoben werden müssen. Langfristig sollten Maßnahmen in einem Security Programm und Prüfungen in einem KRITIS-Prüfprogramm gesteuert werden.

Podcast Icon

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber sich auf Nachweis-Prüfungen vorbereiten. Ein Gespräch über Helm­kameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

eigene Zusammenstellung Phasen KRITIS-Prüfungen
Phase Handlung Verantwortlich (A) Durchführung (R)
Vorbereitung KRITIS-Prüfung
Planung Ablauf, Scope und Planung der Prüfung Geschäftsführung KRITIS‑Organisation
Prüfer Auswahl KRITIS-Prüfer und Beauftragung Geschäftsführung KRITIS-Organisation
Grundlage Auswahl Prüfgrundlage und Standards Geschäftsführung KRITIS-Organisation
Die §8a BSIG Nachweisprüfung
Prüfung Durchführung §8a BSIG Nachweisprüfung Geschäftsführung KRITIS-Prüfer
Feststellungen Dokumentation der Mängel und Prüfurteil KRITIS-Prüfer KRITIS-Prüfer
Ergebnisse Nachweisdokumente, Abgabe und Bericht Geschäftsführung KRITIS-Prüfer
Nach der Prüfung
Behebung Koordinierung und Kontrolle der Behebung Geschäftsführung KRITIS-Organisation
Cyber Security Langfristiges Verbesserungs-Programm Geschäftsführung IT-Sicherheit
Prüfprogramm Mehrjähriges Prüfprogramm und Planung KRITIS-Organisation KRITIS-Prüfer

Vorbereitung KRITIS-Prüfung

Prüfplanung

Ablauf und Vorbereitung

Vor KRITIS-Nachweisprüfungen müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

  1. Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen
  2. Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
  3. Betroffene Standorte: Analyse, welche Standorte vom Betreiber und der einzelnen Anlagen in den Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
  4. Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sein werden — IT, Produktion, Sicherheit — und Zeit und Vorbereitung einplanen müssen.
  5. Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sein sollen.
  6. Audit-Preparation: Vorbereitung der KRITIS-Prüfung durch Vorbereitung der Organisation und Fachbereiche, Sammlung von Nachweisen, Übungen und Test­durchläufe der Prüfungen.

Die Vorbereitung, Koordinierung und Steuerung der Prüfung kann auf Seiten der Betreiber von einer eigens mandatierten KRITIS-Organisation verantwortet werden, die sich als Projekt-Organisation oder Stabsstelle um die zentralen KRITIS-Themen kümmert.

Auswahl der KRITIS-Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und ihre Eignung und die des Prüfteams nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage und Standards

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen den den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten für KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Die §8a BSIG Nachweisprüfung

Durchführung

In der §8a BSIG Nachweisprüfung prüfen KRITIS-Prüfer bei KRITIS-Betreibern die Schutz­maßnahmen der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer Prüfhandlungen durch, um vorhandene Cyber Security Maßnahmen zu bewerten.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in KRITIS-Prüfungen in der Regel in drei Phasen:

  1. Grundlagen: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte die Funktion der KRITIS-Anlage und dazugehöriger Prozesse und IT nachvollziehen können.
  2. Angemessenheit von IT-Sicherheit: Prüfung, ob die in Konzepten genannten Maßnahmen geeignet und angemessen sind, IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren.
  3. Wirksamkeit von Kontrollen: Auswahl und Untersuchung von Stichproben, ob die Kontrollen für IT-Sicherheit wirklich wirksam waren und umgesetzt wurden (Effektivität).

In der Prüfung

In der laufenden KRITIS-Prüfung sind in den Audit Sessions dann folgende Themen wichtig:

  1. Teilnehmer: Prüfer und die geprüften Fachbereiche, Experten und IT
  2. Themen: KRITIS, Cyber Security, Risiko-Management, IT und Steuerung
  3. Prüfhandlungen: Interviews, Dokumenten-Reviews, Nachweise und Protokolle

Prüfurteil und Feststellungen

KRITIS-Prüfungen testen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cyber Security Maßnahmen umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüf­handlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.

Ergebnis der Prüfung

Das Ergebnis von KRITIS-Prüfungen ist eine dokumentierte Einschätzung der IT-Sicherheit in KRITIS-Anlagen durch die Prüfer. Die Prüfer dokumentieren die in der Prüfung gewonnenen Erkenntnisse und bewerten mögliche Abweichungen zu Vorgaben als Mängel.

Nachweisdokumente

Die Ergebnisse der BSIG-Nachweisprüfung werden durch die Prüfer in BSI-Formularen dokumentiert, die danach als offizieller §8a BSIG-Prüfnachweis ans BSI übermittelt werden.

Meldung ans BSI

Nach der Prüfung übermitteln die Prüfer die offiziellen Ergebnisse an das BSI: die Nachweis­dokumente KI und P nebst Anlagen. Das BSI prüft diese Nachweise im Anschluss, wobei es zu Rückfragen an Prüfer und Betreiber kommen kann.

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI.

Prüfbericht

Im Prüfbericht dokumentieren die KRITIS-Prüfer ihr Vorgehen, ihre Beobachtungen in der Prüfung und methodische Einschätzung der Ergebnisse. Der Bericht ist an keine Vorgaben gebunden und wird dem BSI nur auf Nachfrage zur Verfügung gestellt.

Mängel und Umsetzungsplan

Die Mängelliste mit dem Umsetzungs­plan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheits­mängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den Kategorien schwerwiegend, geringfügig, Empfehlung und Beobachtung kategorisiert und bewertet.

up

Nach der Prüfung

Behebung

Umsetzung und Kontrolle

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG ebenfalls überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

Programme zur Verbesserung

Cyber Security Programm

Ein Cyber Security Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann bei der nachhaltigen Beseitigung der Mängel helfen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden — ein strukturiertes Programm hilft vor allem für systematische Mängel und Priorisierung von Risiken und Budget.

KRITIS-Prüfprogramm

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  2. Aktuelles für Betreiber und Prüfer, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. FAQ Nachweise gemäß §8a Absatz 3 BSIG, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  4. Erfolgreich Nachweise einreichen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  5. Aktualisierungen der Nachweisformulare und der Orientierungshilfen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  6. FORMEL K - mit Hochgeschwindigkeit zu mehr IT-Sicherheit in Kritischen Infrastrukturen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Formulare

  1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.