KRITIS: Halbzeit für kritische Infrastruktren
Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.
Wer kritische Infrastrukturen betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Aber was genau heißt das?
IT-Sicherheit für KRITIS gewährleisten
Ihr Unternehmen gehört zu einem der acht KRITIS-Sektoren (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen oder – Achtung neu: Siedlungsabfälle)? Gut, dass Sie da sind! Denn Sie müssen etwas tun.
Was genau, hängt zum einen davon ab, ob Sie tatsächlich zum Kreis der KRITIS-Betreiber gehören. Zum anderen gibt es neben allgemeinen Pflichten auch einige branchenspezifische Besonderheiten zu beachten. Aber der Reihe nach.
Die Pflichten von Betreibern kritischer Infrastrukturen sind im „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) geregelt. Betreiber sollen insbesondere „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse [...] treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“ (§ 8a BSIG). Ob solche Vorkehrungen mit Blick auf den dafür erforderlichen Aufwand „angemessen“ sind, macht der Gesetzgeber nicht etwa von den Möglichkeiten und Ressourcen des Betreibers abhängig. Angemessen sind die geforderten Maßnahmen vielmehr dann, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“ (§ 8a Abs. 1 Satz 3).
Was heißt „Stand der Technik“?
Des Weiteren fordert § 8a BSIG, dass dabei „der Stand der Technik eingehalten“ werden soll. Was das bedeutet, findet sich nicht im BSIG. In juristischen Zusammenhängen bezieht sich „Stand der Technik“ üblicherweise auf das, was aktuelle nationale oder internationale Standards und Normen oder Best Practices für einen bestimmten Bereich vorschreiben. Best Practices allein reichen für KRITIS-Betreiber aber nicht aus: Die Umsetzung der geforderten Maßnahmen hat nach standardisierten Verfahren zu erfolgen und ihre Wirksamkeit ist zudem kontinuierlich zu überwachen und zu steuern. Das BSI hat einen Katalog zur Konkretisierung der Anforderungen an die Maßnahmen gemäß § 8a BSIG vorgelegt, der vieles näher erläutert. Außerdem können KRITIS-Betreiber oder ihre Verbände selbst sogenannte „branchenspezifische Sicherheitsstandards“ (B3S) erarbeiten (§ 8a Abs. 2).
Bevor Sie sich aber gleich den gerade erwähnten BSI-Anforderungskatalog oder andere Regelwerke auf den Nachttisch legen, sollten Sie noch schnell einen Blick auf § 8d BSIG werfen – zumindest, wenn Sie der Energie- oder Telekommunikationsbranche angehören. Denn dann gelten die Anforderungen von § 8a ausdrücklich nicht für Sie. Stattdessen finden sich vergleichbare Vorschriften direkt im Energiewirtschaftsgesetz (§ 11 EnWG) bzw. im Telekommunikationsgesetz (§ 165 der seit 1.12.2021 gültigen TKG-Novelle, vorher § 109). Für betroffene Branchenunternehmen hat die Bundesnetzagentur (BNetzA) branchenspezifische IT-Sicherheitskataloge für Energieunternehmen und TK-Anbieter herausgegeben.
Die Anforderungen an KRITIS-Betreiber
Der Gesetzgeber fordert, dass KRITIS-Betreiber
1. ihre kritischen Dienstleistungen, Anlagen und Komponenten gemäß BSI-Kritisverordnung (KritisV) identifizieren und beim BSI registrieren (auf diese erstreckt sich der Geltungsbereich der KRITIS-Anforderungen)
2. die für die Erbringung kritischer Dienstleistungen erforderlichen informationstechnischen Systeme, Komponenten oder Prozesse absichern
3. die Umsetzung der geforderten IT-Sicherheitsmaßnahmen nachweisen
4. IT-Störungen, Angriffe und Vorfälle an das BSI melden.
Der Rest dieses Beitrages befasst sich mit Punkt 2: den von KRITIS-Betreibern geforderten Security-Maßnahmen.
Die allgemeinen Schutzziele dieser Maßnahmen umfassen nach dem CIA-Prinzip (Confidentiality, Integrity, Availability):
- die Verfügbarkeit der kritischen Systeme und Daten,
- ihre Integrität (Korrektheit) und Authentizität (Echtheit und Vertrauenswürdigkeit)
- sowie die Vertraulichkeit der gespeicherten Informationen.
Welche Security-Maßnamen müssen KRITIS-Betreiber umsetzen?
Schaut man auf die genannten Anforderungskataloge, die „Konkretisierung der Anforderungen“ des BSI und die IT-Sicherheitskataloge der BNetzA, kristallisieren sich dabei die folgenden organisatorischen und technischen Maßnahmenbereiche heraus:
Organisatorische Maßnahmen: Management von Sicherheit und Risiken
ISMS: Das Informationssicherheitsmanagement gemäß ISO 27001 (Anforderungen) ist das Kernstück der Absicherungsmaßnahmen. Es umfasst organisatorische Festlegungen (wie z. B.Leit- und Richtlinien, Verfahrensanweisungen oder Formblätter) u. a. zur Sicherheit und zum Umgang mit Risiken (und Chancen), zu Rollen und Verantwortlichkeiten (inkl. Sicherheitsüberprüfungen und Berechtigungsmanagement), Prozesse, Nachweise, Betriebsorganisation sowie Kontrolle und Verbesserung. Hinweise zur Umsetzung entsprechender Maßnahmen gibt ISO 27002.
Die Anforderungen gelten auch für die Dienstleister von KRITIS-Unternehmen, z. B. beim Outsourcing. Die gute Nachricht: Zumindest im Energiesektor sollen KRITIS-Betreiber, die den operativen Betrieb an einen gemäß IT-Sicherheitskatalog zertifizierten Dienstleister auslagern, ihren eigenen Zertifizierungsumfang reduzieren können, verspricht die BNetzA.
Ein umfangreiches Whitepaper, wie Sie ISMS einführen und die ISO 27001 Zertifizierung erhalten, können Sie sich hier kostenlos downloaden.
Business Continuity, Vorfalls- und IT-Notfall-Management: Ein wichtiger Aspekt dabei ist das Kontinuitätsmanagement (Business Continuity Management BCM; vgl. ISO 27001 Kap. A17): KRITIS-Betreiber müssen mit geeigneten Maßnahmen die Ausfallrisiken kritischer Anlagen reduzieren. Das umfasst u. a. die Festlegung von Rollen, Aufgaben und Prozessen und eines verbindlichen Rahmenwerks für das Kontinuitäts- und Notfallmanagement, den Betrieb redundanter Systeme und Dienste, regelmäßige Tests und den Umgang mit IT-Störungen, Angriffen und Systemausfällen einschließlich Notfallplänen und Disaster-Recovery-Maßnahmen. Dabei ist ab 2023 auch der Betrieb von Systemen zur Angriffserkennung Pflicht. Die BCM-Pläne müssen mindestens einmal jährlich überprüft, aktualisiert und getestet werden.
IT-Risikomanagement: Die Informationssicherheit soll auf der Grundlage eines Risikomanagementansatzes umgesetzt werden (ISO 27005). Dazu sind Verfahren zur Identifikation, Analyse, Beurteilung und Behandlung von IT-Risiken umzusetzen und zu dokumentieren, die die Erbringung kritischer Dienstleistungen gefährden können. Wichtig: Anders als in herkömmlichen Risikomanagementansätzen ist hier der Verzicht auf Maßnahmen bei relevanten Risiken auf der Basis eigenständiger Risikoakzeptanz des Betreibers (oder Versicherung dagegen) in der Regel nicht zulässig. Die Anwendung "EWERK GRC-Manager" unterstützt sie hierbei umfangreich.
Asset-Management: Um Risiken zu steuern, müssen KRITIS-Betreiber, die in ihren Anlagen eingesetzten Assets inventarisieren und organisiert verwalten (inkl. definierten Prozessen und Verantwortlichkeiten). Assets mit Relevanz für die Erbringung kritischer Dienstleistungen werden basierend auf einer Risikoanalyse und Folgeabschätzung klassifiziert. Mit dem EWERK-Process House behalten Sie alle Assets immer im Blick.
Organisation der KRITIS-Prozesse: Die bisher genannten, größtenteils organisatorischen Pflichten ebenso wie Registrierung und Meldewesen inkl. Einrichtung einer Kontaktstelle erfordern viel Koordination und Steuerung. OpenKRITIS empfiehlt dafür die Einrichtung einer zentralen KRITIS-Organisation bzw. Stabsstelle, die auch den KRITIS-Geltungsbereich definiert und die Umsetzung der Maßnahmen begleitet und überwacht.
Technische Maßnahmen
Zusätzlich zu den genannten organisatorischen Maßnahmen müssen Betreiber von KRITIS-Anlagen auch angemessene technische Sicherheitsvorkehrungen nach dem Stand der Technik umsetzen, um ihre informationstechnischen und operativen Systeme (IT und OT) vor Bedrohungen zu schützen. Dazu gehören beispielsweise ausreichend IT-Ressourcen, die Härtung kritischer Systemkomponenten, Verschlüsselung, Zugriffskontrolle und sichere Anmeldeverfahren, Datensicherung und Wiederherstellung sowie Systeme zur Angriffserkennung und zum Schutz vor Malware. Auch kritische Komponenten von Zulieferern müssen nachweisbar sicher sein. Der vom Kriterien-Katalog Cloud-Computing (C5) inspirierte BSI-Anforderungskatalog geht zudem auch auf Fragen der baulichen und physischen Sicherheit des Rechenzentrums ein. Außerdem verweist das BSI auf sein IT-Grundschutz-Kompendium. Im Kontext Cloud & Outsourcing sind hier insbesondere die Grundschutzbausteine OPS.2.1 (Outsourcing für Kunden), OPS.2.2 (Cloud-Nutzung) und OPS.3.1 (Outsourcing für Dienstleister) relevant.
Was ganz konkret für Sie gilt? Wie gut Ihre IT-Sicherheit bisher aufgestellt ist und was Sie noch tun müssen? Gern berate ich Sie persönlich.
