KRITIS – Herausforderungen und Chancen

17 Nov

  • in Archiv
  • von
  • 0

KRITIS-Experte Alexander Burgis im Interview

 

Welche Unternehmen sind von der KRITIS-Verordnung betroffen?

Betroffen sind alle Unternehmen die Anlagen betreiben, welche unter die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung (BSI-KritisV)) fallen und dort festgelegte Schwellenwerte erreichen oder überschreiten. Als Betreiber wird im Sinne der BSI-KritisV jede natürliche oder juristische Person verstanden, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt.

Worauf müssen Unternehmen besonders achten?

Die Geflechte aus Eigentümern, Betreibern, Herstellern und Dienstleistern, die z.B. über technische Betriebsführungsverträge, Instandhaltungsverträge oder SaaS-Dienstleistungen aufgebaut wurden, sind oft komplex. Unternehmen sind daher gut beraten, im Vorfeld Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aufzunehmen und zu klären, ob man selbst oder ggf. ein vorgelagerter Auftraggeber verantwortlich ist für die Erbringung von Prüfnachweisen gegenüber dem BSI. Zu klären ist auch die Frage, ob es sich bei der Anlage um eine „gemeinsame Anlage“ handelt oder aber um getrennte Anlagen, die jede für sich betrachtet unter dem Schwellenwert liegen.
Die Frage, wer in der Prozesskette beim Betrieb einer Anlage in der Pflicht steht, Informationssicherheit angemessen umzusetzen, ist für Unternehmen oft schwer zu bewerten. Anlagen sollen die Versorgungssicherheit gewährleisten. Aus Sicht des BSI spielt es keine Rolle, wie kleinteilig der Betrieb der Anlage untergliedert ist. Ein solches Geflecht entbindet den Betreiber nicht von der Pflicht, Informationssicherheit auch in ausgelagerten Betriebs- und Serviceprozessen einzufordern. Auditoren werden in den Prüfungen darauf achten, welches Niveau an Sicherheit der Betreiber von Dritten fordert und ggf. durch Lieferantenaudits nachweist. So wird ein Betreiber, der einen SaaS-Anbieter einsetzt, sich nicht darauf berufen können, dass er keinen Einfluss oder Kenntnis über die IT-Systeme des Anbieters hat, wenn dies für den sicheren Betrieb der Anlage ein kritisches System ist. Die Erfahrung hat gezeigt, dass solche Anbieter nicht zuletzt unter dem Konkurrenzdruck oftmals von sich aus ISO/IEC 27001-Zertifikate nachweisen. Und selbst dies kann manchem Auditor nicht ausreichen, der bei besonders kritischen Services Lieferantenaudits sehen möchte.

Welche Branchen/Sektoren sind betroffen?

Insgesamt hat das BSI sieben kritische Sektoren definiert. Die Sektoren wurden in zwei Körbe unterteilt: Korb 1 (Energieversorgung, Informationstechnik und Telekommunikation, Wasser, Ernährung), Korb 2 (Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit).

Was ist der Unterschied zwischen Korb 1 und Korb 2?

Die Körbe beinhalten unterschiedliche Sektoren. Jeder Korb ist als eigene Rechtverordnung zu sehen, die zu unterschiedlichen Zeitpunkten in Kraft getreten ist. Hieraus ergeben sich für die Körbe jeweils unterschiedliche Stichtage für die Erfüllung der Nachweispflicht aus §8a BSI-Gesetz. Anlagenbetreiber aus Korb 1 müssen bis spätestens 03. Mai 2018 ihre Prüfnachweise beim BSI einreichen. Korb 2 hat noch Zeit bis zum 30. Juni 2019.

Welche Standards müssen beachtet werden?

Die Frage, welche Standards beachtet werden müssen ist im Rahmen von KRITIS-Prüfungen nicht konkret zu beantworten, da jedes Unternehmen seine Prüfgrundlage selbst aus verschiedenen Bausteinen zusammenstellen kann. §8a BSI-Gesetz fordert: „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“ Hinsichtlich der Frage, wie dies erreicht werden kann lässt das BSI große Freiräume. Dies ist Segen und Fluch gleichermaßen, da die Unternehmen mehr als jemals zuvor auf eine gute externe Beratung angewiesen sind, da nur ein sehr geringer Anteil an Unternehmen die Fachkompetenz im eigenen Haus verfügbar haben dürfte.

Sofern es für einen Sektor einen sog. Branchenspezifischen Sicherheitsstandard (B3S) gibt, sollte dieser für den Aufbau eines Informationssicherheits-Managementsystems herangezogen werden. Allerdings besteht keine Pflicht diesen „as is“ umzusetzen, auch wenn dieser Trugschluss naheliegt. Es können in einer Branche sogar mehrere B3Se parallel existieren. In Audits besteht die Gefahr, dass klassische Auditoren B3Se als „Normen“ verstehen, wo einzelne Wörter zum „Zankapfel“ werden können. Es ist daher unerlässlich, dass Unternehmen die Prüfgrundlage ausführlich beschreiben, auf welche Weise Normen wie z.B. ISO/IEC 27001, der BSI-Grundschutz bzw. sonstige Regelwerke der Branche herangezogen werden. Ich empfehle Unternehmen den Besuch einer Schulung zur Prüfkompetenz gem. §8a BSI-G bei einem beim BSI gelisteten Anbieter. Einer der Anbieter ist die qSkills! GmbH in Nürnberg. So können Verantwortliche in der Informationssicherheit, aber auch Auditoren sich die notwendige Kompetenz verschaffen, die Komplexität von KRITIS-Prüfungen sachkundig vorbereiten bzw. durchführen zu können.

Inwieweit ist es sinnvoll im Rahmen einer KRITIS-Prüfung ein natives ISO/IEC 27001-Zertifikat zu erwirken?

Ich empfehle den Aufbau eines Managementsystems nach ISO/IEC 27001, obgleich es nicht notwendig ist, um den Anforderungen zur Erbringung von Nachweisen gem. §8a BSI-Gesetz gerecht zu werden. Bei den zu erbringenden Nachweisen für das BSI handelt es sich faktisch nicht um ein Zertifikat, sondern einen Sachstandsbericht, der jedoch nicht werbewirksam nach außen kommunizierbar ist. Zudem hat ein natives Managementsystem nach ISO/IEC 27001 den Vorteil, dass andere Managementsysteme, wie z.B. Qualitätsmanagement, Energiemanagement und zukünftig auch der Bereich des Datenschutzes als integriertes Managementsystem effizient im Unternehmen einheitlich strukturierbar sind. Ein reines ISO/IEC 27001-Zertifikat ist oftmals nicht ausreichend. Sie deckt Besonderheiten, wie den All-Gefahren-Ansatz, das Paradigma einer stark eingeschränkten Risikoakzeptanz oder die Nachweisführung vom „Stand der Technik“-Maßnahmen nicht ab.

Alexander Burgis ist Senior Berater bei der RUCON Gruppe. Er betreute bereits zahlreiche Zertifizierungsprojekte in der Energieversorgungsbranche, u.a. Verteilnetzbetreiber Strom/Gas gem. IT-SiK §11(1a) EnWG sowie Smart Meter Gateway Administration nach TR-03109-6. Aktuell arbeitet er an KRITIS-Projekten im Bereich virtueller Kraftwerke, Wasserverteilnetzen und Energieanlagen-Steuerungssystemen. Er ist IRCA-Lead-Auditor ISO/IEC 27001, ISO 22301. Weiterhin verfügt Alexander Burgis über Kompetenznachweise für Auditoren gem. Konformitätsbewertungsprogramm §11(1a) EnWG und gem. §8a BSI-G. Er ist Seminarleiter für Schulungen zur Prüfkompetenz §8a BSI-G sowie Trainer für Krisenstabsübungen.

Urheberrecht Bild: Fotolia.com – © scada

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.