Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.
Nach einer allgemeinen Einführung in KRITIS in Teil 1 und der gesetzlichen Grundlage in Teil 2 und einem Überblick über Sektoren, Anlagen und Schwellenwerte in Teil 3 dieser Blogserie geben wir nun einen Einblick in die konkreten Anforderungen an Betreiber Kritischer Infrastrukturen und den typischen Ablauf eines KRITIS-Audits.
1. Anforderungskatalog
2. KRITIS-Audit
2.1 Planung
2.2 Prüfer/Auditoren
2.3 Prüfgrundlage
2.4 Audit-Vorbereitung
2.5 Durchführung
2.6 Bericht
2.7 Maßnahmen
2.8 Tiefenprüfung
Anforderungskatalog
Mit seinem Anforderungskatalog an umzusetzende Maßnahmen ermöglicht das BSI KRITIS-Betreibern und prüfenden Stellen ein besseres Verständnis über seine Sichtweise zu notwendigen Maßnahmen in KRITIS-Anlagen. Die Anforderungen basieren auf dem bekannten „Anforderungskatalog Cloud-Computing (C5)“, sind durch das BSI aber an die spezifischen KRITIS-Aspekte angepasst und um weitere Anforderungen ergänzt oder gekürzt worden. Der Anforderungskatalog dient für KRITIS-Betreiber und prüfende Stellen als Ausgangspunkt, um die Anforderungen gemäß § 8a Absatz 1 BSIG zu konkretisieren. Das BSI überlässt Betreibern und Prüfern jedoch die Entscheidungsgewalt darüber, ob Anforderungen im konkreten Anwendungsfall im Rahmen der Organisation passend sind oder ob zusätzliche, weiterführende Anforderungen notwendig wären.
Auszug aus dem Anforderungskatalog:
| Anforderungskategorie | Auszug aus geforderten Maßnahmen |
|---|---|
Informationssicherheits-managementsystem (ISMS) | • Einführung eines ISMS, beispielsweise nach ISO 27001 |
Asset Management | • Führen eines Asset-Inventars • Zuweisung von Asset-Verantwortlichen • Klassifikation von Informationen |
Risikoanalysemethode | • Richtlinie für die Organisation des Risikomanagements • Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken • Maßnahmenableitung |
Continuity Management | • Verantwortung der gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur • Planung der Betriebskontinuität |
Technische Informationssicherheit | • Notwendige/ausreichende Personal- und IT-Ressourcen (Betrieb und IT-Sicherheit) • Schutz vor Schadprogrammen • Datensicherung und Wiederherstellung • Passwortanforderungen und Validierungsparameter • Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung • Dokumentation der Netztopologie • Richtlinien zur Entwicklung/Beschaffung sowie zur Änderung von Informationssystemen |
Personelle und organisatorische Sicherheit | • Einstellung und Sicherheitsüberprüfung • Rollenzuweisung und Vieraugenprinzip oder Funktionstrennung • Identitäts- und Berechtigungsmanagement • Schulungen und Awareness |
Bauliche/physische Sicherheit | • Rechenzentrumsversorgung • Perimeterschutz • Physischer Zutrittsschutz |
Vorfallserkennung und -bearbeitung | • Verantwortlichkeiten und Vorgehensmodell • Bearbeitung, Dokumentation und Berichterstattung von Sicherheitsvorfällen • Security Incident Event Management |
Überprüfung im laufenden Betrieb | • Anlassbezogene Prüfungen • Umgang mit Schwachstellen, Störungen und Fehlern, Prüfung offener Schwachstellen • Interne Überprüfungen der Compliance von IT-Prozessen mit internen Informationssicherheitsrichtlinien und Standards |
Externe Informationsversorgung und Unterstützung | • Kontakt zu relevanten Behörden und Interessenverbänden |
Lieferanten, Dienstleister und Dritte | • Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers |
Meldewesen | • Einrichtung einer Kontaktstelle |
Auszug aus dem BSI-Anforderungskatalog an KRITIS-Betreiber, eigene Auswahl
Der Anforderungskatalog des BSI (Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen) mit allen Informationssicherheitsanforderungen kann hier abgerufen werden.
KRITIS-Audit
KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen, die sie selbst veranlassen müssen. Die Prüfungen/Audits orientieren sich an BSI-Vorgaben und müssen von Betreibern selbst vorbereitet und organisiert werden.
Die Audits sollten in einem langfristigen Prüfprogramm geplant und in ein Cyber-Security-Programm eingebunden werden, um Sicherheitslücken entdecken und nachhaltig schließen zu können.
Planung
Im Vorfeld der BSIG KRITIS-Nachweisprüfung müssen KRITIS-Betreiber den Scope, also den Prüfumfang, definieren und den Ablauf des Audits in einigen Punkten festlegen:
Termine: Zeitplanung der Prüfungen in registrierten Anlagen mit betroffenem Personal, Interviews, Begehungen, Bereitstellung von Dokumenten, etc.
Anlagen: Festlegung, welche Anlagen im Betrieb als KRITIS-relevant gelten und geprüft werden müssen.
Standorte: Analyse, welche Standorte vom Betreiber und der einzelnen Anlagen in den Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind, beispielsweise IT, Produktion, Sicherheitsorganisation.
Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sein sollen.
Das Ergebnis ist ein konkreter Prüfplan für die KRITIS-Anlagen und BSIG-Nachweisprüfungen, der im eigenen Betrieb und mit den KRITIS-Prüfern abgestimmt werden kann.
Prüfer/Auditoren
Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und dem BSI ihre Eignung nachweisen.
Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Auditorenteam mit den notwendigen Qualifikationen zusammen.
Prüfgrundlage
Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen den den KRITIS-Anlagen demonstrieren können.
Es gibt verschiedene Möglichkeiten an KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.
Audit-Vorbereitung
Ein KRITIS-Audit sollte beim Betreiber umfangreich vorbereitet und zentral koordiniert werden. Dies beinhaltet zum besseren Gelingen optimalerweise auch interne Audits oder in Zusammenarbeit mit einer Prüfstelle durchgeführte Pre-Audits im Vorfeld der eigentlichen Prüfung. So können die zu prüfenden Bereiche und Ansprechpartner effektiv auf das Audit vorbereitet werden.
Durchführung
In der §8a BSIG Nachweisprüfung (KRITIS-Audit) bei KRITIS-Betreibern prüft der ausgewählte Prüfer den angemessenen Schutz der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer geeignete Prüfhandlungen, Stichproben und Auswertungen durch, um die Angemessenheit und Wirksamkeit der IT-Sicherheit in den KRITIS-Anlagen zu bewerten.
Prüfer untersuchen Kritische Infrastrukturen in der Regel in drei Phasen:
Definition und Konzeption: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte betriebliche Funktion und Abgrenzung der KRITIS-Anlage nachvollziehen und die zur Anlage gehörigen Prozesse, Komponenten und IT verstehen können.
Angemessenheit: Prüfung, ob die in den Konzepten genannten Maßnahmen geeignet sind, IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren
Wirksamkeit: Stichproben der Effektivität, ob die vorhandenen Sicherheitsmaßnahmen wirklich wirksam waren.
Bericht
Die Einschätzung des Prüfers dokumentiert dieser in seinen Arbeitspapieren und für den Betreiber pro KRITIS-Anlage im Prüfbericht und den BSI-Formularen. Die BSI-Formulare und Anhänge müssen fristgerecht vom Betreiber an das BSI übermittelt werden, das diese dann sichtet und prüft.
Maßnahmen
Die sich aus der Prüfung ergebenden Feststellungen und Mängel müssen vom Betreiber anschließend durch Verbesserungsmaßnahmen behoben werden.
Tiefenprüfung
Das BSI kann nach §8a Abs. 4 BSIG überprüfen, ob Betreiber die KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.
