KRITIS: Anforderungen, Nachweise und Audits

14. Januar 2022

Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.

Nach einer allgemeinen Einführung in KRITIS in Teil 1 und der gesetzlichen Grundlage in Teil 2 und einem Überblick über Sektoren, Anlagen und Schwellenwerte in Teil 3 dieser Blogserie geben wir nun einen Einblick in die konkreten Anforderungen an Betreiber Kritischer Infrastrukturen und den typischen Ablauf eines KRITIS-Audits.

1. Anforderungskatalog
2. KRITIS-Audit
2.1 Planung
2.2 Prüfer/Auditoren
2.3 Prüfgrundlage
2.4 Audit-Vorbereitung
2.5 Durchführung
2.6 Bericht
2.7 Maßnahmen
2.8 Tiefenprüfung

Anforderungskatalog

Mit seinem Anforderungskatalog an umzusetzende Maßnahmen ermöglicht das BSI KRITIS-Betreibern und prüfenden Stellen ein besseres Verständnis über seine Sichtweise zu notwendigen Maßnahmen in KRITIS-Anlagen. Die Anforderungen basieren auf dem bekannten „Anforderungskatalog Cloud-Computing (C5)“, sind durch das BSI aber an die spezifischen KRITIS-Aspekte angepasst und um weitere Anforderungen ergänzt oder gekürzt worden. Der Anforderungskatalog dient für KRITIS-Betreiber und prüfende Stellen als Ausgangspunkt, um die Anforderungen gemäß § 8a Absatz 1 BSIG zu konkretisieren. Das BSI überlässt Betreibern und Prüfern jedoch die Entscheidungsgewalt darüber, ob Anforderungen im konkreten Anwendungsfall im Rahmen der Organisation passend sind oder ob zusätzliche, weiterführende Anforderungen notwendig wären.

KRITIS Anforderungen
Der Anforderungskatalog an KRITIS-Betreiber basiert auf dem C5

Auszug aus dem Anforderungskatalog:

AnforderungskategorieAuszug aus geforderten Maßnahmen

Informationssicherheits-managementsystem (ISMS)

• Einführung eines ISMS, beispielsweise nach ISO 27001

Asset Management

• Führen eines Asset-Inventars
• Zuweisung von Asset-Verantwortlichen
• Klassifikation von Informationen

Risikoanalysemethode

• Richtlinie für die Organisation des Risikomanagements
• Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken
• Maßnahmenableitung

Continuity Management

• Verantwortung der gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur
• Planung der Betriebskontinuität

Technische Informationssicherheit

• Notwendige/ausreichende Personal- und IT-Ressourcen (Betrieb und IT-Sicherheit)
• Schutz vor Schadprogrammen
• Datensicherung und Wiederherstellung
• Passwortanforderungen und Validierungsparameter
• Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung
• Dokumentation der Netztopologie
• Richtlinien zur Entwicklung/Beschaffung sowie zur Änderung von Informationssystemen

Personelle und organisatorische Sicherheit

• Einstellung und Sicherheitsüberprüfung
• Rollenzuweisung und Vieraugenprinzip oder Funktionstrennung
• Identitäts- und Berechtigungsmanagement
• Schulungen und Awareness

Bauliche/physische Sicherheit

• Rechenzentrumsversorgung
• Perimeterschutz
• Physischer Zutrittsschutz

Vorfallserkennung und -bearbeitung

• Verantwortlichkeiten und Vorgehensmodell
• Bearbeitung, Dokumentation und Berichterstattung von Sicherheitsvorfällen
• Security Incident Event Management

Überprüfung im laufenden Betrieb

• Anlassbezogene Prüfungen
• Umgang mit Schwachstellen, Störungen und Fehlern, Prüfung offener Schwachstellen
• Interne Überprüfungen der Compliance von IT-Prozessen mit internen Informationssicherheitsrichtlinien und Standards

Externe Informationsversorgung und Unterstützung

• Kontakt zu relevanten Behörden und Interessenverbänden

Lieferanten, Dienstleister und Dritte

• Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

Meldewesen

• Einrichtung einer Kontaktstelle

Auszug aus dem BSI-Anforderungskatalog an KRITIS-Betreiber, eigene Auswahl

Der Anforderungskatalog des BSI (Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen) mit allen Informationssicherheitsanforderungen kann hier abgerufen werden.

KRITIS-Audit

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen, die sie selbst veranlassen müssen. Die Prüfungen/Audits orientieren sich an BSI-Vorgaben und müssen von Betreibern selbst vorbereitet und organisiert werden.

Die Audits sollten in einem langfristigen Prüfprogramm geplant und in ein Cyber-Security-Programm eingebunden werden, um Sicherheitslücken entdecken und nachhaltig schließen zu können.

KRITIS-Prüfstellen müssen festgelegte Voraussetzungen erfüllen und dies nachweisen

Planung

Im Vorfeld der BSIG KRITIS-Nachweisprüfung müssen KRITIS-Betreiber den Scope, also den Prüfumfang, definieren und den Ablauf des Audits in einigen Punkten festlegen:

Termine: Zeitplanung der Prüfungen in registrierten Anlagen mit betroffenem Personal, Interviews, Begehungen, Bereitstellung von Dokumenten, etc.

Anlagen: Festlegung, welche Anlagen im Betrieb als KRITIS-relevant gelten und geprüft werden müssen.

Standorte: Analyse, welche Standorte vom Betreiber und der einzelnen Anlagen in den Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.

Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind, beispielsweise IT, Produktion, Sicherheitsorganisation.

Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sein sollen.

Das Ergebnis ist ein konkreter Prüfplan für die KRITIS-Anlagen und BSIG-Nachweisprüfungen, der im eigenen Betrieb und mit den KRITIS-Prüfern abgestimmt werden kann.

Prüfer/Auditoren

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und dem BSI ihre Eignung nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Auditorenteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen den den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten an KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Audit-Vorbereitung

Ein KRITIS-Audit sollte beim Betreiber umfangreich vorbereitet und zentral koordiniert werden. Dies beinhaltet zum besseren Gelingen optimaler­weise auch interne Audits oder in Zusammenarbeit mit einer Prüfstelle durchgeführte Pre-Audits im Vorfeld der eigentlichen Prüfung. So können die zu prüfenden Bereiche und Ansprechpartner effektiv auf das Audit vorbereitet werden.

Durchführung

In der §8a BSIG Nachweisprüfung (KRITIS-Audit) bei KRITIS-Betreibern prüft der ausgewählte Prüfer den angemessenen Schutz der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer geeignete Prüfhandlungen, Stichproben und Auswertungen durch, um die Angemessenheit und Wirksamkeit der IT-Sicherheit in den KRITIS-Anlagen zu bewerten.

Prüfer untersuchen Kritische Infrastrukturen in der Regel in drei Phasen:

Definition und Konzeption: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte betriebliche Funktion und Abgrenzung der KRITIS-Anlage nachvollziehen und die zur Anlage gehörigen Prozesse, Komponenten und IT verstehen können.

Angemessenheit: Prüfung, ob die in den Konzepten genannten Maßnahmen geeignet sind, IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren

Wirksamkeit: Stichproben der Effektivität, ob die vorhandenen Sicherheitsmaßnahmen wirklich wirksam waren.

Bericht

Die Einschätzung des Prüfers dokumentiert dieser in seinen Arbeitspapieren und für den Betreiber pro KRITIS-Anlage im Prüfbericht und den BSI-Formularen. Die BSI-Formulare und Anhänge müssen fristgerecht vom Betreiber an das BSI übermittelt werden, das diese dann sichtet und prüft.

Maßnahmen

Die sich aus der Prüfung ergebenden Feststellungen und Mängel müssen vom Betreiber anschließend durch Verbesserungsmaßnahmen behoben werden.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG überprüfen, ob Betreiber die KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien