Prüfnachweis Kritische Infrastrukturen (KRITIS) nach § 8a BSIG

veröffentlicht am 11. Dezember 2018

​Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 als Artikelgesetz in Kraft getreten. Als Kernbestandteil sehen die neu eingefügten §§ 8a und 8b des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz/BSIG) vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind und dass erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.

Spiegelbildlich zu den besonderen Pflichten ergeben sich aus den §§ 3 Absatz 3 und 8b Absatz 2 Nummer 4 BSIG für Betreiber Kritischer Infrastrukturen besondere Rechte. Diese beinhalten insbesondere die privilegierte Beratung und Information durch das BSI.

Nach § 2 Absatz 10 Nummer 1 in Verbindung mit § 10 Absatz 1 Satz 1 BSIG ist zu bestimmen, welche Anlagen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen als Kritische Infrastrukturen gelten.

Mit der am 3. Mai 2016 in Kraft getretenen BSI-Kritisverordnung (BSI-KritisV) wurden bereits die Festlegungen zur Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation (IKT) getroffen. Die noch ausstehenden Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr wurden am 30. Juni 2017 mit der „Ersten Verordnung zur Änderung der BSI-Kritisverordnung” getroffen.

Was sind Kritische  Infrastrukturen?

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten.

In Deutschland werden folgende Sektoren (und Branchen) den Kritischen Infrastrukturen zugeordnet:

• Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
• Informationstechnik und Telekommunikation
• Finanz- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen)
• Staat und Verwaltung (Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschließlich Katastrophenschutz)
• Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
• Wasser (öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung)
• Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)
• Energie (Elektrizität, Mineralöl, Gas)
• Medien und Kultur (Rundfunk – Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke)

Als Kritische Infrastrukturen gelten aber nicht die Unternehmen oder Abteilungen als Gesamtheit, sondern einzelne technische Anlagen, die eine für die Bevölkerung kritische (Dienst-) Leistung erbringen. Um als kritisch zu gelten, muss diese Anlage einen bestimmten Schwellwert überschreiten. Anlagen unterhalb dieses Schwellwerts müssen zum heutigen Zeitpunkt noch nicht beachtet werden. Im Bereich Gesundheit sehen die Schwellwerte u. a. wie folgt aus:

• 30.000 vollstationäre Fälle pro / Jahr
• Herstellung oder Abgabe von Medizinprodukten mit einem Umsatz von mehr als 90.680.000 Euro pro Jahr
• 34.000 in Verkehr gebrachte Blutkonserven pro Jahr

Zum Schutz der Bevölkerung muss somit sichergestellt werden, dass kritische Dienstleistungen uneingeschränkt zur Verfügung stehen. Es ist daher davon auszugehen, dass in den kommenden Jahren der Schwellwert nach unten angepasst wird, um eine breitere Basis als Kritische Infrastruktur zu definieren und somit mehr Versorgungssicherheit zu ermöglichen.

Was müssen Betreiber Kritischer Infrastrukturen beachten?

Mit Ausnahme von „Staat und Verwaltung” sowie „Medien und Kultur” müssen diese Sektoren ihre Vorkehrungen (siehe § 8a (1) BSIG) nach Stand der Technik zur Vermeidung von Störungen gegenüber dem BSI nachweisen. Dieser Nachweis ist alle 2 Jahre zu erbringen.

Eine Zertifizierung nach ISO 27.001 ist hierbei nicht ausreichend, da bei einer ISO-Zertifizierung bestimmte Risiken in Kauf genommen werden können, bei einer Kritischen Infrastruktur dies aber explizit ausgeschlossen ist. Auch müssen der Geltungsbereich (Scope) der ISO-Zertifizierung und der Kritischen Infrastruktur nicht deckungsgleich sind.

Was ist der Geltungsbereich der Prüfung?

Der Definition des Scopes kommt eine große Bedeutung zu. Der Scope umfasst die informationstechnischen Systeme, Komponenten und Prozesse, Rollen sowie Personen, die für die Funktionsfähigkeit der vom Betreiber betriebenen Kritischen Infrastruktur maßgeblich sind oder auf diese Einfluss haben.
 
Zum Geltungsbereich gehören immer die Systeme, Komponenten und Prozesse

• der kritischen Dienstleistung (kDL),
• die die kDL direkt unterstützen und
• von denen die kDL indirekt abhängig ist,

z. B. bei deren Ausfall, Störung oder Angriff es zu einer Beeinträchtigung der kDL kommen könnte.

Der Scope sollte zum einen nicht zu groß gewählt werden, da sich hierdurch automatisch der Aufwand für den Prüfnachweis nach § 8a BSIG deutlich erhöht und zum anderen darf er aber auch nicht zu klein gewählt sein, um nicht Kritische Infrastrukturen zu vergessen.

Es bietet sich daher an, eine vorgelagerte Beurteilung des Geltungsbereiches im Rahmen einer GAP-Analyse durchzuführen. Dabei wird beurteilt, ob der Geltungsbereich sinnvoll gewählt wurde und ob für die darin enthaltenen Kritischen Dienstleistungen geeignete Maßnahmen vorhanden sind. Auf diese Weise kann vorab beurteilt werden, in welchen Bereichen noch Handlungsbedarf besteht, sodass dieser bis zur eigentlichen Prüfung behoben werden kann.

Was sind die Kriterien für die Prüfung?

Ein großes Problem ist zum aktuellen Zeitpunkt, dass es bis auf den Bereich Wasser noch keinen einheitlichen Branchenstandard gibt, den man vergleichsweise prüfen könnte. Es ist aber davon auszugehen, dass die Berichte aufgrund fehlender offizieller Prüfkriterien und einer größeren Anzahl von Prüfstellen extrem unterschiedlich ausfallen und sich auch bei Häusern vergleichbarer Art unterscheiden werden.

Da bisher nur für eine Branche ein einheitlicher Branchenstandard existiert, entwickelt Rödl & Partner derzeit in Zusammenarbeit mit dem Institut der Wirtschaftsprüfer (IDW) und dem BSI einen Prüfkriterienkatalog ergänzend zum IDW Prüfungsstandard 860, der für die einzelnen Bereiche Soll-Vorgaben definiert und als Mindeststandard für KRITIS-Prüfungen gelten soll. So soll sichergestellt werden, dass die Prüfungen auch bei unterschiedlichen Prüfgesellschaften vergleichbar sind und ein gewisses Mindestniveau erfüllen.

Wie sollte man im Rahmen einer KRITIS-Prüfung vorgehen?

In einem ersten Schritt erfolgt die Prüfung des Geltungsbereiches. Im Idealfall ist dieser bereits im Rahmen einer GAP-Analyse untersucht worden, sodass es kurz vor der Meldefrist an das BSI zu keinen bösen Überraschungen kommen kann.

Im Gegensatz zur oberflächlichen GAP-Analyse erfolgt bei der eigentlichen Prüfung eine detaillierte Überprüfung, ob die einzelnen Anforderungen erfüllt sind. Eventuell gefundene Mängel müssen im Prüfungsbericht festgehalten und, sofern sie einen gewissen Schweregrad besitzen, an das BSI gemeldet werden.

Sind Sie von der Prüfpflicht betroffen, sollten Sie unbedingt einen ausführlichen Prüfungsbericht verlangen, in dem der Geltungsbereich, das Vorgehen in der Prüfung, die gefundenen Risiken und eine Bewertung des Prüfers genau und nachvollziehbar dargestellt sind. Nur dann ist im Falle eines Ausfalls der Kritischen Dienstleistung die Unternehmensführung in einer besseren Beweislage, dass alle festgestellten Punkte erkannt und angegangen wurden bzw. angegangen werden.