Kritische Infrastrukturen – immer noch ausbaufähig

Nach mehr als zwei Jahren mit der KRITIS-Verordnung ist das Thema bei vielen Unternehmen mittlerweile angekommen. Weitere kommen jedoch hinzu, die sich, analog zu ihren Quasi-Vorgängern, erst jetzt des Ausmaßes bewusst werden.

Energieversorger mussten nach dem IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG bis zum 31.01.2018 zertifiziert sein. Die Branchen Wasser, Ernährung, Informationstechnik und Telekommunikation folgten dann im Mai 2018. Aktuell sind Unternehmen aus dem Bereich Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen aufgefordert, bis zum Juni 2019 einen Nachweis nach BSIG (BSI-Gesetz) § 8a, Sicherheit in der Informationstechnik Kritischer Infrastrukturen, zu erbringen. Parallel dazu erarbeiten Unternehmen, Branchen- und Betreiberverbände branchenspezifische Sicherheitsstandards, genannt B3S, die nach Anerkennung durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) Unternehmen hinsichtlich der Umsetzung in Zukunft mehr Klarheit und Sicherheit geben sollen.

Diese branchenspezifischen Sicherheitsstandards sind mittlerweile vom BSI freigegeben. Im Sinne des B3S befinden sich in einer praxisbezogenen Vorabeignungsprüfung durch Unternehmen die Standards für die Branchen Ernährung, Energie, Finanz- und Versicherungswesen sowie Transport und Verkehr. Vielen betroffenen Unternehmen ist nämlich nicht klar, was genau auf sie zukommt und wie viel Zeit und Ressourcen erforderlich sein werden. Denn neben der IT sind weitere Abteilungen in diesen Prozess involviert und Prozesse müssen gesamtheitlich abgestimmt werden.

Irgendetwas mit »IT und Sicherheit« oder »die IT will da irgendetwas machen und zertifizieren«. Diese Aussage hören wir sehr häufig. Primär von Fachabteilungen die sich nicht tagtäglich mit dem Thema IT beschäftigen, wie zum Beispiel Geschäftsführung, Facility Management und TGA (Technische Gebäudeausrüstung). Doch diese und weitere Bereiche, die nicht (immer) in der Hand beziehungsweise Verantwortung der IT liegen, werden benötigt, um Sicherheit, Verfügbarkeit und die Qualität zu gewährleisten. Diese sind immerhin die Basis einer funktionierenden IT. Nur gemeinsam kann das im Sicherheitsgesetz (IT-SIG) vorgeschriebene Ziel von einem Unternehmen respektive einer Organisation überhaupt erreicht werden. Zur Erinnerung: Das übergeordnete Ziel des IT-SIG ist die Sicherstellung der Versorgung der Bundesbürger. Unter KRITIS fallen dann alle Unternehmen, die gemäß einer Faustformel circa 500.000 Menschen mit Leistungen aus einem der benannten Sektoren versorgen. Den dafür gewählten Rahmen bilden die B3S sowie oft auch die ISO 27001. Allerdings sind die Normen im Bereich der Gebäudesicherheit/-technik und der Infrastrukturen für den Rechenzentrumsbetrieb zurzeit noch etwas »dünn« aufgestellt. Das Informationssicherheitsmanagementsystem (ISMS), welches nach der ISO 27001 umzusetzen und zertifiziert nachzuweisen ist, reicht allein nicht aus, um die Anforderungen des BSI-Gesetzes zu erfüllen.

Problematisch ist zudem, dass die ISO 27001 oder auch der BSI-Grundschutz primär die Ereignis- und Geschäftsrisikoanalyse in den Fokus stellen. Das erkennen mittlerweile auch immer mehr Unternehmen. Aber: Letzten Endes ist das ISMS ein weiteres Managementsystem, das gelebt werden muss. Genau wie ein Qualitätsmanagement nach ISO 9001 oder ein Energiemanagementsystem nach ISO 50001. Einmalig ein- respektive durchgeführt, zertifiziert und dann vergessen, hilft es niemandem. Spätestens beim Überwachungsaudit folgt dann nämlich das böse Erwachen. Schließlich existieren diese Managementsysteme nicht zum Selbstzweck. Sie werden entwickelt, um Prozesse zu strukturieren, zu leben und vor allem zu verbessern (Stichwort PDCA, plan-do-check-act) und um eine gewisse Qualität und Struktur nachzuweisen – für Kunden, Partner und Gesetzgeber. 

Unternehmen wie öffentliche Einrichtungen legen bei der Wahl ihrer Zulieferer großen Wert auf ein hohes Maß an Qualität und Sicherheit der Ware. Das gilt über alle Branchen hinweg für Hardware, Software oder Dienstleistungen. Bei KRITIS ist die Lage etwas anders: Hier steht die Bevölkerung beziehungswiese deren Versorgung im Fokus. Das heißt, die Risikoanalyse oder das System muss mit einer etwas anderen, angepassten Betrachtungsweise durchgeführt werden. Für ein Unternehmen steht natürlich das Geschäftsrisiko im Fokus. Leider neigt die IT dazu, nur Ihre eigenen Plattformen im Blick zu haben: Mail-, ERP- oder Dokumentmanagementsystem. Im BSIG § 8a steht allerdings: »Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen«. Das bedeutet auch, dass Netzwerkkomponenten oder Komponenten, die sich in nicht gesicherten Räumen befinden, plötzlich ebenfalls in den Fokus rücken. Sofern sie im Außenbereich stehen und den Netzwerkzugriff erlauben, ist die Authentizität oder Integrität nämlich nicht mehr sicherzustellen.

Weniger Normen, mehr Dokumentation. In vielen Organisationen fehlt es an Know-how hinsichtlich der vielen verschiedenen Normen, die im RZ-Betrieb eine Rolle spielen. Durch die Trennung von TGA und IT reden Verantwortliche oftmals aneinander vorbei oder konzentrieren sich zunächst darauf, die eigenen Vorgaben oder Gesetze zu erfüllen. Für unterschiedliche Begrifflichkeiten aus Bau- oder technischen Normen, ITIL oder ISMS fehlt es häufig an Übersetzern, die Zusammenhänge erklären und auf einen Nenner bringen können. Teilweise, wie im RZ-Bau respektive RZ-Betrieb, sind die Normen widersprüchlich beziehungsweise nicht deckungsgleich oder es sind schlichtweg zu viele Normen und Zertifizierungen vorhanden. Die Rechenzentrumsnorm EN 50600 hilft mittlerweile, hier etwas mehr Klarheit zu verschaffen.

Bei der Erstellung von Dokumentationen und Handbüchern müssen Verantwortliche abteilungsübergreifend denken und ihr Wissen zu Papier bringen. Denn: Im Fall eines Notfalls oder gar einer Krise ist der Kollege, der die Besonderheiten eines Systems kennt, nicht zwingend sofort verfügbar. Hier helfen Standards wie zum Beispiel die BSI 100-4 (Notfallmanagement), die auch Vorgaben über die Struktur eines Notfallhandbuches enthält. Im Falle jenes Notfalls sollte beispielsweise die Elektroabteilung wissen, mit wem sie einen Neustart koordinieren muss und in welcher Reihenfolge vorzugehen ist. Hier hilft dann ein komplettes, prozessorientiertes, abteilungsübergreifendes Notfallhandbuch, in dem nicht nur die eigene Abteilung die Schritte abarbeitet, sondern auch mögliche Meilensteine regelt, die mit anderen Abteilungen zu koordinieren sind.

Zwischenstand. Die Umsetzung der BSI KritisV ist im vollen Gange. Es ist noch nicht alles Gold was glänzt, aber langsam, auch durch die Hilfe der B3S, kommen alle dem Ziel etwas näher. Wie in allen Managementsystemen kehrt dann irgendwann Normalität ein.


Seit August 2018 verantwortet Andreas Schürkamp das Consulting der SECUrisk, einen Geschäftsbereich der DATA CENTER GROUP. Zu seinen Aufgaben gehört neben der fachmännischen Beratung auch der weitere Ausbau und die zukunftsorientierte Optimierung des Angebotsportfolios. Vor seiner Tätigkeit bei der DATA CENTER GROUP war er 14 Jahre als Technischer Leiter bei der DTS Systeme tätig und arbeitete an technischen und strategischen IT-Lösungen in den Bereichen Data Center, Technologie und Security.

 

 

Illustration: © Retrorocket /shutterstock.com

 

756 search results for „kritische Infrastruktur“

Ransomware nimmt kritische Infrastrukturen ins Visier – Ausfallzeiten durch Cyberangriffe

Sicherheitsexperten rechnen mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen, was alleine durch die Ausfallzeiten Schäden in Millionenhöhe verursachen kann. Ernst zu nehmende Bedrohung Die Entwicklung von Ransomware-Angriffen in kritischen Infrastrukturen ist demnach recht eindeutig und wird von den Sicherheitsexperten von Palo Alto Networks als ernsthafte Bedrohung gewertet.…

Cybergefahr für kritische Infrastruktur

Eine russische Sicherheitsfirma warnt in einer umfangreichen Untersuchung vor möglichen Schwachstellen industrieller Kontrollsysteme (Industrial Control Systems, ICS) weltweit [1]. Die Gefahr ist real: Während in der Vergangenheit industrielle Systeme und kritische Infrastruktur in physisch isolierten Umgebungen betrieben wurden, ist dies in Zeiten der Industrie 4.0 nicht immer der Fall. Weltweit sind 188.019 ICS-Rechner (Hosts) über…

Kritische Infrastrukturen im Fokus: IT-Verantwortliche wollen mehr Staat

In einer Security-Studie [1] sprachen sich 86 Prozent aller IT-Verantwortlichen aus Organisationen mit kritischer Infrastruktur für eine bessere öffentlich-private Kooperation aus. 59 Prozent berichteten, dass Cyber-Attacken bei ihnen bereits zu physischen Schäden geführt haben. 86 Prozent der IT-Entscheider in Organisationen, die kritische Infrastrukturen betreiben, sehen in einer intensiveren Zusammenarbeit mit öffentlichen Stellen den Schlüssel zu…

Mehr Aufmerksamkeit für den Endpunktschutz bei kritischen Infrastrukturen

Da Cyberangriffe auf ICS- und SCADA-Systeme immer häufiger gemeldet werden, steigt der Bedarf an robustem Endpunktschutz. Das rasante Wachstum des Internets mit seiner zunehmenden Datenflut sorgt dafür, dass permanent Informationen und Daten ausgetauscht werden, in denen auch Malware versteckt werden kann. Diese »Datenvöllerei« führt dazu, dass Unternehmen Verbindungen zu Geräten in ihren Prozesskontrollnetzwerken bereitstellen müssen,…

Weitere Artikel zu