Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    IT-Sicherheit für kritische Infrastrukturen: Das müssen KRITIS-Betreiber beachten

    Home Blog IT Security

    Wer kritische Infrastrukturen betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Aber was genau heißt das?

    IT-Sicherheit für KRITIS gewährleisten

    Ihr Unternehmen gehört zu einem der acht KRITIS-Sektoren (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen oder – Achtung neu: Siedlungsabfälle)? Gut, dass Sie da sind! Denn Sie müssen etwas tun.

    Was genau, hängt zum einen davon ab, ob Sie tatsächlich zum Kreis der KRITIS-Betreiber gehören. Zum anderen gibt es neben allgemeinen Pflichten auch einige branchenspezifische Besonderheiten zu beachten. Aber der Reihe nach.

    Die Pflichten von Betreibern kritischer Infrastrukturen sind im „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) geregelt. Betreiber sollen insbesondere „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse [...] treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“ (§ 8a BSIG). Ob solche Vorkehrungen mit Blick auf den dafür erforderlichen Aufwand „angemessen“ sind, macht der Gesetzgeber nicht etwa von den Möglichkeiten und Ressourcen des Betreibers abhängig. Angemessen sind die geforderten Maßnahmen vielmehr dann, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“ (§ 8a Abs. 1 Satz 3).

    KRITIS_Grafik_kleiner_HG

    Was heißt „Stand der Technik“?

    Des Weiteren fordert § 8a BSIG, dass dabei „der Stand der Technik eingehalten“ werden soll. Was das bedeutet, findet sich nicht im BSIG. In juristischen Zusammenhängen bezieht sich „Stand der Technik“ üblicherweise auf das, was aktuelle nationale oder internationale Standards und Normen oder Best Practices für einen bestimmten Bereich vorschreiben. Best Practices allein reichen für KRITIS-Betreiber aber nicht aus: Die Umsetzung der geforderten Maßnahmen hat nach standardisierten Verfahren zu erfolgen und ihre Wirksamkeit ist zudem kontinuierlich zu überwachen und zu steuern. Das BSI hat einen Katalog zur Konkretisierung der Anforderungen an die Maßnahmen gemäß § 8a BSIG vorgelegt, der vieles näher erläutert. Außerdem können KRITIS-Betreiber oder ihre Verbände selbst sogenannte „branchenspezifische Sicherheitsstandards“ (B3S) erarbeiten (§ 8a Abs. 2).

    Bevor Sie sich aber gleich den gerade erwähnten BSI-Anforderungskatalog oder andere Regelwerke auf den Nachttisch legen, sollten Sie noch schnell einen Blick auf § 8d BSIG werfen – zumindest, wenn Sie der Energie- oder Telekommunikationsbranche angehören. Denn dann gelten die Anforderungen von § 8a ausdrücklich nicht für Sie. Stattdessen finden sich vergleichbare Vorschriften direkt im Energiewirtschaftsgesetz (§ 11 EnWG) bzw. im Telekommunikationsgesetz (§ 165 der seit 1.12.2021 gültigen TKG-Novelle, vorher § 109). Für betroffene Branchenunternehmen hat die Bundesnetzagentur (BNetzA) branchenspezifische IT-Sicherheitskataloge für Energieunternehmen und TK-Anbieter herausgegeben.­­

    Die Anforderungen an KRITIS-Betreiber

    Der Gesetzgeber fordert, dass KRITIS-Betreiber

    1. ihre kritischen Dienstleistungen, Anlagen und Komponenten gemäß BSI-Kritisverordnung (KritisV) identifizieren und beim BSI registrieren (auf diese erstreckt sich der Geltungsbereich der KRITIS-Anforderungen)
    2. die für die Erbringung kritischer Dienstleistungen erforderlichen informationstechnischen Systeme, Komponenten oder Prozesse absichern
    3. die Umsetzung der geforderten IT-Sicherheitsmaßnahmen nachweisen
    4. IT-Störungen, Angriffe und Vorfälle an das BSI melden.

    Der Rest dieses Beitrages befasst sich mit Punkt 2: den von KRITIS-Betreibern geforderten Security-Maßnahmen.
    Die allgemeinen Schutzziele dieser Maßnahmen umfassen nach dem CIA-Prinzip (Confidentiality, Integrity, Availability):

    • die Verfügbarkeit der kritischen Systeme und Daten,
    • ihre Integrität (Korrektheit) und Authentizität (Echtheit und Vertrauenswürdigkeit)
    • sowie die Vertraulichkeit der gespeicherten Informationen.

     

    Welche Security-Maßnamen müssen KRITIS-Betreiber umsetzen?

    Schaut man auf die genannten Anforderungskataloge, die „Konkretisierung der Anforderungen“ des BSI und die IT-Sicherheitskataloge der BNetzA, kristallisieren sich dabei die folgenden organisatorischen und technischen Maßnahmenbereiche heraus:

    Sicherheitsmanagement_Grafik_kleiner_HG

    Organisatorische Maßnahmen: Management von Sicherheit und Risiken

    ISMS: Das Informationssicherheitsmanagement gemäß ISO 27001 (Anforderungen) ist das Kernstück der Absicherungsmaßnahmen. Es umfasst organisatorische Festlegungen (wie z. B.Leit- und Richtlinien, Verfahrensanweisungen oder Formblätter) u. a. zur Sicherheit und zum Umgang mit Risiken (und Chancen), zu Rollen und Verantwortlichkeiten (inkl. Sicherheitsüberprüfungen und Berechtigungsmanagement), Prozesse, Nachweise, Betriebsorganisation sowie Kontrolle und Verbesserung. Hinweise zur Umsetzung entsprechender Maßnahmen gibt ISO 27002.
    Die Anforderungen gelten auch für die Dienstleister von KRITIS-Unternehmen, z. B. beim Outsourcing. Die gute Nachricht: Zumindest im Energiesektor sollen KRITIS-Betreiber, die den operativen Betrieb an einen gemäß IT-Sicherheitskatalog zertifizierten Dienstleister auslagern, ihren eigenen Zertifizierungsumfang reduzieren können, verspricht die BNetzA.

    Ein umfangreiches Whitepaper, wie Sie ISMS einführen und die ISO 27001 Zertifizierung erhalten, können Sie sich hier kostenlos downloaden.

    Business Continuity, Vorfalls- und IT-Notfall-Management: Ein wichtiger Aspekt dabei ist das Kontinuitätsmanagement (Business Continuity Management BCM; vgl. ISO 27001 Kap. A17): KRITIS-Betreiber müssen mit geeigneten Maßnahmen die Ausfallrisiken kritischer Anlagen reduzieren. Das umfasst u. a. die Festlegung von Rollen, Aufgaben und Prozessen und eines verbindlichen Rahmenwerks für das Kontinuitäts- und Notfallmanagement, den Betrieb redundanter Systeme und Dienste, regelmäßige Tests und den Umgang mit IT-Störungen, Angriffen und Systemausfällen einschließlich Notfallplänen und Disaster-Recovery-Maßnahmen. Dabei ist ab 2023 auch der Betrieb von Systemen zur Angriffserkennung Pflicht. Die BCM-Pläne müssen mindestens einmal jährlich überprüft, aktualisiert und getestet werden.

    IT-Risikomanagement: Die Informationssicherheit soll auf der Grundlage eines Risikomanagementansatzes umgesetzt werden (ISO 27005). Dazu sind Verfahren zur Identifikation, Analyse, Beurteilung und Behandlung von IT-Risiken umzusetzen und zu dokumentieren, die die Erbringung kritischer Dienstleistungen gefährden können. Wichtig: Anders als in herkömmlichen Risikomanagementansätzen ist hier der Verzicht auf Maßnahmen bei relevanten Risiken auf der Basis eigenständiger Risikoakzeptanz des Betreibers (oder Versicherung dagegen) in der Regel nicht zulässig. Die Anwendung "EWERK GRC-Manager" unterstützt sie hierbei umfangreich. 

    Asset-Management: Um Risiken zu steuern, müssen KRITIS-Betreiber, die in ihren Anlagen eingesetzten Assets inventarisieren und organisiert verwalten (inkl. definierten Prozessen und Verantwortlichkeiten). Assets mit Relevanz für die Erbringung kritischer Dienstleistungen werden basierend auf einer Risikoanalyse und Folgeabschätzung klassifiziert. Mit dem EWERK-Process House behalten Sie alle Assets immer im Blick. 

    Organisation der KRITIS-Prozesse: Die bisher genannten, größtenteils organisatorischen Pflichten ebenso wie Registrierung und Meldewesen inkl. Einrichtung einer Kontaktstelle erfordern viel Koordination und Steuerung. OpenKRITIS empfiehlt dafür die Einrichtung einer zentralen KRITIS-Organisation bzw. Stabsstelle, die auch den KRITIS-Geltungsbereich definiert und die Umsetzung der Maßnahmen begleitet und überwacht.

    Technische Maßnahmen

    Zusätzlich zu den genannten organisatorischen Maßnahmen müssen Betreiber von KRITIS-Anlagen auch angemessene technische Sicherheitsvorkehrungen nach dem Stand der Technik umsetzen, um ihre informationstechnischen und operativen Systeme (IT und OT) vor Bedrohungen zu schützen. Dazu gehören beispielsweise ausreichend IT-Ressourcen, die Härtung kritischer Systemkomponenten, Verschlüsselung, Zugriffskontrolle und sichere Anmeldeverfahren, Datensicherung und Wiederherstellung sowie Systeme zur Angriffserkennung und zum Schutz vor Malware. Auch kritische Komponenten von Zulieferern müssen nachweisbar sicher sein. Der vom Kriterien-Katalog Cloud-Computing (C5) inspirierte BSI-Anforderungskatalog geht zudem auch auf Fragen der baulichen und physischen Sicherheit des Rechenzentrums ein. Außerdem verweist das BSI auf sein IT-Grundschutz-Kompendium. Im Kontext Cloud & Outsourcing sind hier insbesondere die Grundschutzbausteine OPS.2.1 (Outsourcing für Kunden), OPS.2.2 (Cloud-Nutzung) und OPS.3.1 (Outsourcing für Dienstleister) relevant.

    Was ganz konkret für Sie gilt? Wie gut Ihre IT-Sicherheit bisher aufgestellt ist und was Sie noch tun müssen? Gern berate ich Sie persönlich.

    Jetzt beraten lassen »

    EU-Datenschutz-Grundverordnung: Deutlich mehr Aufwand für Unternehmen

    Dec 7, 2017 2:47:28 PM Ab 25. Mai 2018 greift die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union. Sie hilft Menschen, ihre persönlichen Daten besser zu schützen. Unternehmen müssen sich jetzt auf ...

    ISMS-Zertifizierung: Keine unlösbare Aufgabe

    Jul 3, 2018 7:26:00 AM Informationssicherheits-Managementsysteme sind unabdingbar. Ihre Einführung kostet allerdings Kraft und Nerven. Wir zeigen, womit Sie rechnen müssen.

    Kritische Infrastrukturen: Jetzt sind auch Energie-Erzeuger gefordert

    Jul 11, 2019 11:00:00 AM Die KRITIS-Verordnung wird ausgeweitet. Auch kleinere Energie-Erzeugungsanlagen fallen nun unter die Sicherheits-Verordnung für kritische Infrastrukturen. Wer ist betroffen und was ist zu tun?

    Sicherheit ist kein Luxus: Warum IT-Systeme fast immer hochkritisch sind

    May 17, 2017 11:00:00 AM Die Ransomware WannaCry hat uns alle schmerzhaft spüren lassen: Wir sind so sehr von Informationstechnik abhängig, dass fast alle IT-Systeme als kritisch eingestuft werden sollten. Bisher werden zu ...

    Cloud Computing in der Medizin: Nur Mut! Die Cloud kann Leben retten

    Apr 20, 2017 11:00:00 AM Gesundheit ist für viele zuallererst eine Vertrauensfrage: Deswegen wollen die meisten Menschen in Deutschland Ihre Krankenakte nicht in die Wolke laden. Dabei könnte Cloud Computing für ...

    Holacracy: „Eine Inspirationsquelle, jedoch kein Heilsbringer“

    Aug 7, 2018 9:07:41 AM Holacracy – ein Betriebssystem für Unternehmen zur Organisation von Arbeit und Führung – wird entweder verteufelt oder in den Himmel gelobt. Bisher fehlt eine differenzierte Bewertung. Sabri Eryiǧit, ...

    KRITIS: Halbzeit für kritische Infrastruktren

    Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.

    Containertechnologie OpenShift im KRITIS-Umfeld: Maßgeschneiderte Sicherheit

    Sep 4, 2020 12:36:00 PM Die IT von Unternehmen der KRITIS-Branchen muss höchsten Sicherheitsstandards genügen. Container-Technologien eignen sich dafür nahezu ideal – allerdings nicht jede. Warum und worauf es ankommt, ...

    IT-Sicherheitsgesetz 2.0: Was KRITIS-Institutionen jetzt wissen müssen

    Apr 15, 2021 12:04:28 PM IT-Sicherheitsgesetz 2.0: Das müssen Unternehmen & Institutionen jetzt wissen

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des