IT-Sicherheitsgesetz und KRITIS-Verordnung. Welche Vorbereitungen müssen kritische Infrastrukturen noch treffen?

PrintMailRate-it

veröffentlicht am 27. September 2018; Autoren: Konrad Klein, Nils Mensel

 

​Betreiber kritischer Infrastrukturen in der Gesundheitsbranche haben am 30.06.2019 die Frist zur Abgabe von Prüfnachweisen beim Bundesamt für Sicherheit in der Informationstechnologie, kurz BSI, vor der Brust. Um nach dem Audit keine bösen Überraschungen zu überleben, ist es sinnvoll sich frühzeitig mit den konkreten Anforderungen zu beschäftigen.


Nachdem mit dem 3. März 2018 bereits der erste Korb an kritischen Infrastrukturen Nachweise zur Umsetzung des „Standes der Technik” für deren IT-Systeme bereitstellen „durfte”, ist neben der Gesundheitsbranche im kommenden Jahr auch das Finanz- und Versicherungswesen, sowie der Sektor Transport und Verkehr an der Reihe.


Mittlerweile sollten die kritische Infrastrukturen über entsprechende Kontaktstellen und Meldeverfahren zum BSI verfügen und aufgrund der bisher verfügbaren branchenspezifischen Sicherheitsstandards (kurz: B3S) ist der erste Schreck über die umzusetzenden Maßnahmen verflogen. Dennoch bleibt bei vielen Betreibern die Unsicherheit über die anstehenden Prüfungen und die bis dahin umzusetzenden Maßnahmen.

 
Von zentraler Bedeutung ist dabei zunächst die Identifikation des Geltungsbereiches. In den Geltungsbereich, der gleichzeitig Prüfgegenstand für die Erlangung der Nachweise nach §8a BSIG sein soll, sind alle informationstechnischen Systeme, Komponenten, Prozesse, Rollen, sowie Personen zu umfassen, welche für die Funktionsfähigkeit der kritischen Dienstleistung maßgeblich sind oder darauf Einfluss haben. Nachdem also die Erreichung bzw. Überschreitung der Schwellwerte für eine kritische Dienstleistung festgestellt wurde, sind im nächsten Schritt die daran beteiligten Komponenten zu identifizieren. Zum Geltungsbereich gehören immer die Systeme, Komponenten und Prozesse


• der kritischen Dienstleistung (kDL),
• welche die kDL direkt unterstützen und
• von denen die kDL indirekt abhängig ist,


z.B. bei deren Ausfall, Störung, Angriff es zu einer Beeinträchtigung der kDL kommen könnte. Auch Kommunikationsverbindungen zu externen Dienstleistern oder anderen Netzen müssen hierbei berücksichtigt werden. Der Geltungsbereich sollte also weder zu klein gewählt werden, um kritische Komponenten nicht zu vergessen, noch zu groß, da hierdurch der Aufwand für die Prüfnachweise deutlich erhöht wird.


Eine Prüfung beginnt also zunächst mit der Erhebung des Prüfungsgegenstandes. Eine sorgfältige und nachvollziehbare Aufbereitung des Geltungsbereichs durch den Betreiber ist deshalb notwendig. Es kann sehr sinnvoll sein dies im Rahmen des zwingend zu etablierenden Informationssicherheitsmanagementsystems (ISMS) zu tun, sofern ein ISMS nicht bereits implementiert ist. Für ein angemessenes ISMS sind die Systeme und Komponenten ohnehin nach Kritikalität zu bewerten, sodass es bei Bedarf auch speziell für den Scope der kritischen Dienstleistung ausgerichtet werden kann.


Nachfolgend sollen die wesentlichen Bereiche aufgelistet werden, welche im Rahmen einer Prüfung zur Erbringung der Nachweise nach §8a BSIG von Bedeutung sind.


Asset Management und technische Schutzvorkehrungen

 

Neben der Ausgestaltung des ISMS in Form von Richtlinien, organisatorischen Maßnahmen, sowie Verantwortlichkeiten ist auch die Nutzung und Verwaltung von (kritischen) Assets und der Maßnahmen zu deren Schutz maßgeblich. Es wird erwartet, dass ein Inventar aller Vermögenswerte (im Geltungsbereich) vorhanden ist. Diese sind zu klassifizieren und Verantwortlichen zuzuweisen. Für die Verwaltung, als auch für die Nutzung sind ggf. Anweisungen zu formulieren, insbesondere sind Richtlinien für Datenträger zu erstellen.


Risikomanagement

 

Zum Zwecke der Einschätzung der Bedrohungslage sind geeignete Risikoanalysemethoden im Unternehmen zu etablieren, um Risiken identifizieren, adressieren und bewerten zu können, damit geeignete Maßnahmen initiiert werden.


Continuity Management & Incident Management


Zur Sicherstellung der Versorgung und der Verfügbarkeit der kritischen Dienstleistung ist ein geeignetes Continuity Management mit entsprechenden Notfallplänen und –test vorzuhalten. Es sind geeignete Prozesse zur Störungsbeseitigung und -dokumentation etabliert und Verantwortlichkeiten geregelt.


Informationssicherheit


IT-Systeme und technische Komponenten werden angemessen vor Ausfällen, Störungen und Angriffen geschützt. Hierunter sind neben dem Schutz vor Schadprogrammen auch Anmeldeverfahren, Zugriffsmöglichkeiten, Datenübertragungen und auch die Verfahren für Systemänderungen (Change Management) anzusehen.


Personelle und organisatorische Sicherheit


Die Verfahren zur Vergabe und dem Entzug von Berechtigungen und Zutrittsmöglichkeiten sollten eine restriktive Vergabe nach dem Minimalprinzip ermöglichen. Hochprivilegierte Benutzer in kritischen IT-Systemen sind zu überwachen. Darüber hinaus ist sicherzustellen, dass Mitarbeiter über ausreichende Kenntnisse zur Ausübung Ihrer Tätigkeit unter IT-Sicherheitsgesichtspunkten verfügen.

 

Ein angemessen ausgestaltetes und wirksames ISMS ist eine gute Basis für die KRITIS-Prüfung, da die vorher genannten Prüfbereiche in einem guten Managementsystem bereits mitverwaltet werden und durch den erforderlichen PDCA-Zyklus (Plan-Do-Check-Act) eines ISMS ein kontinuierlicher Verbesserungsprozess und somit eine Reaktion auf neue Bedrohungen sichergestellt ist. Nichtsdestotrotz ist ein Zertifikat eines funktionierendes ISMS, beispielsweise nach ISO 27001 keine Sicherheit für einen ausreichenden Nachweis nach §8a BSIG. Zum einen ist sicherzustellen, dass der Prüfgegenstand dem Geltungsbereich entspricht und alle Bedrohungslagen und Risiken ausreichend betrachtet wurden (All-Gefahren-Ansatz) – was alleine angesichts der häufig standardisierten und knappen Berichterstattung ein Problem darstellen könnte. Zum anderen werden bei einer ISO-Zertifizierung bestimmte Risiken unter wirtschaftlichen Gesichtspunkten in Kauf genommen, während diese Betrachtung bei kritischen Infrastrukturen nicht möglich ist. Im Sinne des Schutzbedarfs sind vielmehr die Verfügbarkeit der kDL und die Vermeidung von Versorgungsengpässen ausschlaggebend.


In Zusammenarbeit mit dem Institut der Wirtschaftsprüfer (IDW) und dem BSI ist aktuell ein Prüfkriterienkatalog in Erstellung, der die oben genannten Anforderungen umfasst. Dieser Standard für KRITIS-Prüfungen ermöglicht es, ein einheitliches Niveau auch bei unterschiedlichen Prüfgesellschaften zu erfüllen und Ergebnisse vergleichbarer zu machen. Rödl & Partner ist als Prüfer für Prüfnachweise nach § 8a BSIG zugelassen.


Sofern die Anforderungen bislang nicht vollumfänglich erfüllt werden, so bleibt noch Zeit für Gegenmaßnahmen. Gegebenenfalls ist eine Vorab-Analyse sinnvoll, um gravierende Schwächen frühzeitig zu erkennen und zu beheben, bevor diese nach Feststellung während des KRITIS-Audits an das BSI gemeldet werden müssen. Aufgrund unserer Erfahrung aus früheren Projekten können wir eine solche Analyse als zwei- bis dreitätigen Workshop sehr empfehlen.

 

 

Kontakt

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Contact Person Picture

Nils Mensel

Diplom-Kaufmann, IT-Auditor IDW, Datenschutzbeauftragter (TÜV), Prüfer für Interne Revisionssysteme (DIIR)

Senior Associate

+49 911 9193 3618

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu