Kritische Infrastrukturen (KRITIS) und B3S
Die Bundesregierung definiert kritische Infrastrukturen wie folgt:
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“1
Betreiber von kritischen Infrastrukturen (KRITIS) sind seit Inkrafttreten des IT-Sicherheitsgesetztes 2015 mit hohen Mindestanforderungen an die IT-Sicherheit konfrontiert. Mit Inkrafttreten des IT-Sicherheitsgesetztes 2.0 steigen diese noch weiter an.
KRITIS-Betreiber: Anforderungen steigen
Neben der Pflicht, alle zwei Jahre die angemessene Umsetzung der KRITIS Regulierung (IT-Sicherheitsgesetz) beim BSI nachzuweisen, müssen fortlaufend Meldungen zu KRITIS-relevanten Sicherheitsvorfällen oder Änderungen/Anpassungen des KRITIS Geltungsbereiches dem BSI angezeigt werden. Zusätzlich entstehen KRITIS-Betreibern Aufwände durch die Identifikation von Sicherheitsvorfällen. Diese sind vom Betreiber eigenverantwortlich durchzuführen. Ein eventuell vorhandenes ISO 27001 Zertifikat (nativ oder nach IT-Grundschutz) wird als Bestandteil eines Nachweises anerkannt. Allerdings sind dabei insbesondere im Umgang mit der Risikoakzeptanz und Versicherbarkeit von Risiken Anforderungen zu erfüllen, die über die Normanforderungen der ISO 27001 hinausgehen.
Die mit Abstand größte Herausforderung ist allerdings die Umsetzung wirksamer IT-Sicherheitsmaßnahmen in ihren KRITIS- relevanten Anlagen. Demnach müssen angemessene technische und organisatorische Maßnahmen nach „Stand der Technik“ umgesetzt werden. Insbesondere die IT unterliegt dabei einer hohen Kurzlebigkeit und Dynamik. Des Weiteren wird zukünftig ein „System zur Angriffserkennung“ in Kombination mit einer „unverzüglichen Meldung“ gefordert.
ISMS und BCMS als Mittel der Wahl
Management-Systeme wie ein ISMS und Business Continuity Management System (BCMS) sind das Mittel der Wahl, um die Informationssicherheit in KRITIS-Anlagen zu gewährleisten und die organisatorischen Maßnahmen abzubilden. Der technische Aspekt der Anforderungen kann durch Schutzmaßnahmen (nach Stand der Technik!) für die IT-, OT-Betriebsinfrastruktur in der KRITIS Anlage erreicht werden.
Ein Security Operation Center (SOC) oder ein Computer Security Incident Response Team (CSIRT), wo „Systeme und Prozesse zur Detektion“ wie ein Security Incident Event Management (SIEM) oder Intrusion Detection System (IDS) eingesetzt werden, decken die geforderte Angriffserkennung ab.
Eine große Hürde für KRITIS-Betreiber ist also die hohe interdisziplinäre Komplexität und die daraus entstehenden Abhängigkeiten.
Wie wir Sie unterstützen können
Unsere KRITIS-Experten unterstützen mit maßgeschneiderten Konzepten und Vorgehensweisen bei der Vorbereitung, Konzeption, Planung und Umsetzung von Sicherheitsmaßnahmen entsprechend den gültigen KRITIS-Anforderungen. Sie arbeiten mit der nötigen Detailtiefe und behalten zugleich den Überblick. Dabei greifen sie auf erprobte Lösungen und bewährte Methoden zurück, die individuell angepasst werden.
1 Quelle: KRITIS - Einführung (bund.de)
B3S – Branchenspezifische Sicherheitsstandards
Betreiber von kritischen Infrastrukturen können in Branchen und ihren Fachverbänden branchenspezifische Sicherheitsstandards (B3S) erarbeiten und deren Eignung zur branchenspezifischen Festlegung des „Stand der Technik“ vom BSI anerkennen lassen. Eine regulatorische Pflicht dafür existiert nicht. Allerdings gibt dies den Branchen die Möglichkeit aufgrund der eigenen Expertise selbst Vorgaben zum Stand der Technik zu machen. Die Umsetzung der recht abstrakten und vor allem dynamischen Anforderung „Stand der Technik“ wird dadurch wesentlich greifbarer und konkreter.
Quelle: BSI - Übersicht der B3S (bund.de)
Die security advisors unterstützen KRITIS-Betreiber auch bei der Umsetzung von B3S.
