Aktueller Handlungsbedarf IT-Sicherheitsgesetz (KRITIS-Verordnung)

Im Rahmen der Digitalisierung von kritischen Infrastrukturen werden hohe Erwartungen an die IT-Systeme gestellt. Ein Zusammenbruch der Versorgungsnetzwerke (z. B. Strom, Wasser) durch einen Hackerangriff oder eine Naturgewalt stellt in der heutigen Zeit durchaus eine reale Bedrohungslage dar.

Da eine gewisse Abhängigkeit in diesen Sektoren vorhanden ist, ist eine störungsfreie Versorgung für das Gemeinwohl notwendig. Die entsprechenden Betreiber kritischer Infrastrukturen müssen daher in besonderem Maße darauf achten, dass das Ausfallrisiko minimiert wird. Im IT-Sicherheitsgesetz sind allgemeine Anforderungen an die vorzuhaltenden Präventiv-, Schadensminimierungs- und Wiederherstellungsmaßnahmen abgebildet.

I. Zielstellung der KRITIS-Verordnung

Das am 25. Juni 2015 in Kraft getretene IT-Sicherheitsgesetz soll zu einer Steigerung des IT-Sicherheitsniveaus in Deutschland führen. Zur Umsetzung wurde am 3. Mai 2016 der erste Teil der KRITIS-Verordnung[1] erlassen. Im Frühjahr 2017 wird bereits der zweite Teil der KRITIS-Verordnung erwartet.

Im Besonderen trifft die Pflicht Betreiber kritischer Infrastrukturen, dass sind gemäß § 2 Abs. 10 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die in den Anwendungsbereich des Gesetzes fallenden Unternehmen sind dazu angehalten worden[2] sich beim BSI[3] zu registrieren. Auf diesem Wege sollte eine Kontaktstelle zur regelmäßigen Zusendung aktueller Sicherheitsinformationen benannt werden. Nach der Verordnung können sich einzelne Unternehmen unter: https://mip.bsi.bund.de/register als Betreiber nach dem IT-Sicherheitsgesetz oder als eine gemeinsame übergeordnete Ansprechstelle (GÜAS) registrieren.

Die Betreiber der kritischen Infrastruktur sind verpflichtet, sofern keine spezialgesetzlichen Regelungen[4] einschlägig sind, die IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens aller zwei Jahre überprüfen zu lassen. Sofern Sicherheitsmängel bekannt werden, kann das BSI in Einvernehmen mit den Aufsichtsbehörden eine Beseitigung anordnen.

Als Hilfestellung hat das BSI bereits vor einigen Jahren ein Muster eines Basisschutzkonzepts[5] aufgestellt, welches Gefährdungen, Schutzbedarfsanalysen und Maßnahmen zur Erreichung des Schutzziels thematisiert.

Die aktuellen sicherheitsrechtlichen Entwicklungen lassen sich im Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen verfolgen.

Des Weiteren wurde zum Informationsaustausch ein Arbeitskreis „UP KRITIS“[6] zum Krisenmanagement in Form einer öffentlich-privatrechtlichen Kooperation gegründet.

II. Handlungsvorgaben und Prozesshilfe

 Aus der Vielzahl an Publikationen in diesem Bereich kristallisiert sich heraus, dass die Beschäftigung mit diesem Thema unabdingbar ist und gehandelt werden sollte. Ansonsten können bei Nichteinhaltung entsprechende Sanktionen verhängt werden. Im Rahmen der weiteren Pflichterfüllung kann folgende allgemeine Vorgehensweise eine effektive Bearbeitung unterstützen:

1. Feststellung Adressat des IT-Sicherheitsgesetzes/ KRITIS-Verordnung und Eruierung der IT-Sicherheitslage einschließlich der entsprechenden Eskalations- und Meldewege

 

2. Analyse des gegenwärtigen Stands der IT-Sicherheit und Abbildung der einzelnen IT-Assets· Auflistung aller Geräte im Netzwerk z. B.: Server, PCs, Noteboos, Tablets, Drucker, Kopierer, Firewall, Switches, VoIP-Geräte (einschließlich der Standorte und IP-Adressen)· Auflistung aller installierter Programme (einschließlich vorhandener Lizenzen)· Dokumentation der Betriebssystemversionen mit Patches inklusive der Servicepackinstallationen· Zusammenfassung der Benutzer und Gruppen in den IT-Systemen

· Rahmenbedingungen der Datensicherung (Backupkonzept)

· Beschreibung der Sicherheitsmaßnahmen und -einstellungen wie Firewall-Konfigurationen, Antivirenprogramme, Verschlüsselungsmaßnahmen, Zugangsschutz (z.B. VPN, Zwei-Faktor-Authentifizierungen)

· Dokumentation der USV

· Übersicht der E-Mail-Einstellungen (z. B. Versand/Empfang, E-Mail-Programme, E-Mail-Archivierung, SPAM-Filterung)

· Überprüfung, sofern bereits vorhanden, der IT-Dokumentation/IT-Notfallplanung

· Durchsicht vorhandener Service- und Fehlermeldungen (z.B. Datensicherung, Datenbanken, Hardware, Firewall

 

3. Erarbeitung von IT-Sicherheitsanforderungen für die jeweiligen IT-Systemkomponenten (Realisierung der Sicherheitskonzepte)· Sicherheitseinstufung und Klassifizierung von Informationen – Ermittlung der kryptografischen Absicherung durch Höhe des Schutzniveaus/Branchenspezifika· Aufstellen von Richtlinien zum Einsatz  neuer IT-Komponenten in bestehende IT-Architektur (Angemessenheit im Verhältnis zum Risiko)

 

4. Überprüfung/Anpassung der technischen und organisatorischen Maßnahmen ·  Einsatz von sorgfältig ausgewählter IT-Sicherheitsdienstleister (bzw. sofern interne Realisierung ggf. Schulungen, Tätigkeitsbeschreibungen)· Regelmäßige Revision der der technischen und organisatorischen Maßnahmen bzw. des IT-Sicherheitskonzepts· Dokumentation und Protokollierung des Vorgangs

 

5. Erschaffung eines IT-Notfall- und Krisenmanagements · sofern noch nicht vorhanden, Anfertigung einer IT-Dokumentation, insbesondere eines IT-Notfallvorsorgekonzepts oder IT-Notfallplans· Einrichtung von Ausweichprozessen oder -infrastruktur für Störungen kritischer Geschäftsprozesse (Verringerung der Wideranlaufzeit)· Notfallübungen und Schaffung von Mechanismen zur Alarmierung bei Notfällen

Bei der Auseinandersetzung mit den Themen der IT-Sicherheit sollte ggf. parallel nach einer Kosten-Nutzen-Abwägung über die Einführung eines Informationssicherheitsmanagementsystems (ISMS) oder einer entsprechenden Zertifizierungsmaßnahme nachgedacht werden, so können die gewonnenen Erkenntnisse längerfristig zur Optimierung genutzt werden.
Neben den Vorgaben für kritische Infrastrukturen werden durch das Gesetz auch allgemeine Anforderungen an die IT-Sicherheit gestellt. So haben geschäftsmäßige Webseitenbetreiber entsprechende Vorgaben zu erfüllen, wie beispielhaft das zeitnahe Einspielen von Sicherheitsupdates, Verhindern von Angriffen (z. B. sog. Drive-by-Downloads) mittels technischer und organisatorische Maßnahmen sowie Verschlüsslungen.

[1]https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/BSI_Kritis_VO.pdf?__blob=publicationFile&v=3

[2]Anmeldung sollte bis zum 03.11.2016 erfolgen

[3]https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Kontaktstelle/kontakt.html;jsessionid=6F607A904C8A0A938D066F24E3D3711C.1_cid369?nn=6776460

[4]Leitfaden für besondere IT-Sicherheitsanforderungen bei Betreibern von Strom- und Gasnetzen vom BITKOM bzw. Verband kommunaler Unternehmen e.V. : http://www.vku.de/index.php?eID=tx_nawsecuredl&u=0&g=0&t=1487383766&hash=c28f73802ec2b95a4cff6948c32c12341574ff00&file=fileadmin/media/Dokumente/Energie/VKU_IT_Sicherheitskatalog_WEB_ES.PDF

[5]http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2005/Basisschutzkonzept_kritische_Infrastrukturen.pdf?__blob=publicationFile

[6]http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/UP_KRITIS_Flyer.pdf;jsessionid=465846EB28593144CAC0DB5AF07734D9.1_cid320?__blob=publicationFile

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in