Hinweise auf die Prüfungen nach IT-SiG

Die Ausbildung der Prüfer gibt Hinweise darauf, wie die Umsetzung der Sicherheitsmaßnahmen geprüft werden soll

Datum
6. März 2017
Autor

Das IT-Sicherheitsgesetz (IT-SiG) vom 25. Juli 2015 schreibt vor, dass die Betreiber kritischer Infrastrukturen alle Sicherheitsmaßnahmen nach dem „Stand der Technik“ umsetzen und ihre Umsetzung prüfen lassen müssen. Die ersten Sektoren, die ihre Prüfnachweise bis zum 3. Mai 2018 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen müssen, sind Energie, Informationstechnologie und Telekommunikation, Ernährung sowie Wasser.

Im Februar 2017 hat das BSI die Schulungsinhalte und -konzepte für die Ausbildung der Prüfer festgelegt. Daraus lässt sich ableiten, was die Prüfer wie prüfen sollen. Das Ergebnis ist wenig überraschend: Die meisten Sicherheitsmaßnahmen, die geprüft werden sollen, sind nicht neu und werden in der Regel auch in anderen Audits geprüft. Allerdings sind die KRITIS-Prüfungen deutlich strenger, weil beispielsweise Fragen nach der Verfügbarkeit von Leistungen in Notfallsituationen gestellt werden. Schwachstellen, die im schlimmsten Fall zu einem Versorgungsengpass führen können, dürfen nicht mehr in Kauf genommen oder mit einer Versicherung kompensiert werden. Anders als bei anderen Audits wird die Wirtschaftlichkeit nicht als Entschuldigung für nicht umgesetzte Maßnahmen akzeptiert.

Trotzdem setzen das BSI und die Aufsichtsbehörden auf Dialog statt Konfrontation. Obwohl Strafen im Gesetz vorgesehen sind, will das BSI zuerst mit dem Betreiber reden und eine Lösung finden, wie mit den nicht erfüllten Sicherheitsmaßnahmen und Umsetzungsplänen verfahren werden soll.

Einschätzung

Wahrscheinlich werden nicht alle Firmen und Organisationen aus dem sogenannten ersten Korb – Energie, Informationstechnologie, Telekommunikation, Ernährung und Wasser – ihre Prüfberichte fristgerecht einreichen. Es soll sogar noch betroffene Betreiber kritischer Infrastrukturen geben, die nicht einmal mit der Umsetzung nach dem „Stand der Technik“ angefangen haben. Bis zum Ablauf der Frist bleiben noch 14 Monate. Höchste Zeit, die Sicherheitsmaßnahmen umzusetzen – und ein Managementsystem für Informationssicherheit als Basis für den umfassenden und strukturierten Schutz von Infrastrukturen, Prozessen sowie Informationen einzuführen.

Zielgruppen

  • IS- und IT-Sicherheitsverantwortliche
  • Management