Branchenspezifische Sicherheitsstandards

Konkrete Maßnahmen helfen allen, nicht nur KRITIS-Betreibern

Datum
28. März 2017
Autor

Das IT-Sicherheitsgesetz (IT-SiG) fordert von Betreibern Kritischer Infrastrukturen, ihre Systeme zu sichern. Sie müssen dem Stand der Technik entsprechende Sicherungsmaßnahmen umsetzen. Doch was dies konkret heißt, bleibt offen. Branchenspezifische Sicherheitsstandards sollen diese Maßnahmen spezifisch beschreiben.

Mit Standards die Anforderungen umsetzen

Das IT-SiG erlaubt den Betreibern Kritischer Infrastrukturen, selber konkrete und branchenbezogene Anforderungen als Branchenspezifische Sicherheitsstandards, kurz B3S, vorzuschlagen. Ein B3S kann durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und bestätigt werden.

Die Umsetzung der Branchenstandards ist nicht ausdrücklich erforderlich. Betreiber Kritischer Infrastrukturen müssen lediglich alle zwei Jahre nachweisen, dass sie die Anforderungen aus § 8a des IT-SiG erfüllen, also alle Maßnahmen dem Stand der Technik entsprechend umgesetzt haben.

Ein BSI-anerkannter B3S gibt Gewissheit. Erfüllen die Betreiber Kritischer Infrastrukturen die im B3S festgelegten Anforderungen, haben Sie auch den im IT-SiG geforderten Stand der Technik umgesetzt.

BAKs im UP KRITIS

Das BSI nennt die im UP-KRITIS organisierten Branchen Arbeitskreise (BAKs) als geeignete Plattform, um B3S zu entwickeln. Besonders die Betreiber der im ersten Korb definierten KRITIS-Sektoren nutzen diese Möglichkeit zur Zusammenarbeit mit dem Staat. Doch auch Branchen des zweiten Korbes haben bereits Arbeitskreise im UP KRITIS angemeldet. Im März 2017 sind folgende BAKs etabliert beziehungsweise in Gründung:

Sektor Energie

  • Strom
  • Gas
  • Mineralöl

Sektor Wasser

  • Wasser/Abwasser

Sektor Ernährung

  • Ernährungsindustrie
  • Lebensmittelhandel

Sektor IT und TK

  • Telekommunikation
  • Internetinfrastruktur
  • Datacenter & Hosting

Sektor Finanz- und Versicherungswesen

  • Kreditwirtschaft
  • Versicherungswirtschaft

Sektor Transport und Verkehr

  • Transport und Verkehr

Sektor Gesundheit

  • Medizinische Versorgung

Gültigkeit der B3S

Die Bedrohungslage ändert sich. Und der im Sicherheitsstandard dargestellte Stand der Technik entwickelt sich weiter. Deshalb sollen B3S alle zwei Jahre überprüft, allenfalls angepasst und erneut vom BSI anerkannt werden.

Vorgaben für den Energiesektor

Die Bundesnetzagentur (BNetzA) hat für die Energienetzbetreiber bereits verbindliche Maßnahmen formuliert. Der IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG fasst diese zusammen. Einige der wichtigsten Forderungen:

  • Ein Managementsystem für Informationssicherheit (ISMS) nach ISO/IEC 27001 muss eingeführt und zertifiziert (!) werden.
  • Ein Ansprechpartner für IT-Sicherheit muss benannt werden.
  • Ein Netzstrukturplan muss die relevanten Anwendungen, Systeme und Komponenten abbilden.

Weitere Forderungen werden zwar explizit aufgeführt, sind aber bereits in einem ISMS nach ISO/IEC 27001 enthalten. Der ordnungsgemäße Betrieb der für den Netzbetrieb relevanten ITK-Anlagen muss sichergestellt, ein Prozess zur Einschätzung und Behandlung der Risiken etabliert werden.

Was fordern die B3S?

Auch andere Branchen aus Sektoren des ersten Korbes arbeiten bereits an B3S. Beispielsweise Wasser, Lebensmittelhandel, Internetinfrastruktur sowie Datacenter & Hosting. Diese bauen auf etablierten Normen auf. So gehört ein ISMS nach ISO/IEC 27001 für viele Branchen dazu.

Der Branchenstandard IT-Sicherheit Wasser/Abwasser will sich zudem der BSI IT-Grundschutz-Kataloge und des BSI-ICS-Security- Kompendiums bedienen. Vielleicht ein zusätzlicher Anwendungsfall für die in der Modernisierung des IT-Grundschutzes vorgesehenen Profile.

Branchenstandard Datacenter & Hosting und Branchenspezifischer Sicherheitsstandard (B3S) – UP KRITIS BAK Internetinfrastruktur wollen, um den besonderen Verfügbarkeitsanforderungen der kritischen Dienstleistungen gerecht zu werden, ein Business Continuity Management System nach ISO 22301 vorsehen.

Vorreiter des zweiten Korbes: Banken

Die Bankenbranche arbeitet an einem Standard für die Kreditwirtschaft. Die Branche unterliegt bereits vielen Regularien. Der branchenspezifische Sicherheitsstandard soll diese berücksichtigen.

Ausblick

B3S nutzen den Betreibern Kritischer Infrastrukturen. Deutlich konkreter als Stand der Technik beschreiben sie Maßnahmen. Setzen die Betreiber diese Maßnahmen wirksam um, so genügen sie den Anforderungen des IT-SiG.

Unternehmen in KRITIS-Branchen unterliegen oft weiteren regulatorischen Anforderungen. Diese im B3S zu berücksichtigen sorgt für Klarheit. Die resultierenden Multinorm-Managementsysteme können sich an einem Branchenstandard orientieren, der verschiedene Normen und Regularien verträglich verbindet.

Perspektivenwechsel

Der Sektor Gesundheit zeigt beispielhaft, dass die Festschreibung des Stands der Technik auch Klarheit für andere Regulatorien schafft. Die im Bundesdatenschutzgesetz geforderten angemessenen technischen und organisatorische Maßnahmen sind nichts anderes als Maßnahmen, die dem Stand der Technik entsprechen. Möglicherweise verlangt ein künftiger Branchenstandard Medizinische Versorgung ein ISO/IEC 27001-konformes ISMS und konkrete technische Maßnahmen. Die Umsetzung muss dem Gesetz nach nicht zwingend erfolgen. So stellt § 9 des BDSG die Verpflichtung zur Umsetzung von Maßnahmen im Rahmen einer Auftragsdatenverarbeitung unter den Vorbehalt, dass die Umsetzung angemessen möglich ist, also wirtschaftlich sinnvoll.

Ausweitung des Anwendungsbereichs

Wieso sollte sich der so definierte Stand der Technik auf KRITIS-Betreiber beschränken? Spätestens, wenn ein Schaden eintritt, müssen geschädigte Unternehmen nachweisen, dass sie alle angemessenen Schutzmaßnahmen ergriffen hatten. Das gilt schon heute. Welche Maßnahmen dies konkret sein werden, lässt sich künftig aus den B3S ableiten.

Die am Branchenstandard Wasser beteiligten Parteien sehen ausdrücklich vor, dass der Standard auch für Unternehmen angewandt werden kann, die selbst keine kritische Infrastruktur betreiben. Eine entsprechende Ausweitung der B3s wäre in vielen anderen Branchen möglich. Das IT-SiG würde über kritische Infrastrukturen hinaus Wirkung entfalten.