Beitrag

Chronic Care Application - CCA - der AstraZeneca GmbH erhält Datenschutzgütesiegel Mo 27.04.2015

KRITIS, IT-SiG und Sicherheitskatalog

Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz Kritischer Infrastrukturen werden deshalb von staatlicher Stelle verschiedene Strategien verfolgt.

Zwei Elemente dieser Strategie:

  • das IT-Sicherheitsgesetz „zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG);
  • der „Sicherheitskatalog gem. § 11 Abs. 1 a EnWG“ der Bundesnetzagentur (BNetzA) für die Energieversorgung.

IT-SiG und Sicherheitskatalog gemein ist die Forderung nach einem Prozess zur Informationssicherheit und regelmäßigen Prüfungen. Die konkrete Ausgestaltung variiert jedoch:

  • Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“  (§ 8a Abs. 1 BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG). Konkrete Sicherheitsstandards sind mit dem Bundesamt für Sicherheit in der Informationssicherheit (BSI) „auf Antrag“ genauso abzustimmen wie die qualifizierten Prüfer und Auditoren. 
  • Der Sicherheitskatalog fordert ein Informationssicherheits-Managementsystem (ISMS), das durch ein Zertifikat gem. ISO/IEC 27001 nachgewiesen ist.

Auch wenn im Falle des IT-SiG ein ISMS nicht explizit genannt ist, ist doch dieser Ansatz eines Managementsystems zur Aufrechterhaltung von Informationssicherheit  aktuell der Stand der Technik. Von daher wird es aus unserer Sicht letztlich auf 

  • die Einführung eines Informationssicherheits-Managementsystems (ISMS)  und
  • die unabhängige Überprüfung 

hinauslaufen. Ob dazu dann der internationale Ansatz von ISO/IEC 27001 oder  ISO 27001 auf der Basis von IT-Grundschutz vom BSI herangezogen wird, ist noch offen. Wobei  ISO/IEC 27001 zu bevorzugen ist, falls neben IT-SiG auch der Sicherheitskatalog der BNetzA erfüllt werden muss, der eben ein international gültiges Zertifikat gem. ISO/IEC 27001 verlangt.

Welchen Standard Sie auch anstreben: Die datenschutz cert GmbH kann die unabhängigen Prüfungen und ggf. Zertifizierungen Ihrer Informationssicherheit durchführen.

  • Audits gem. ISO 27001 auf der Basis von IT-Grundschutz: Unsere IT-Experten sind beim BSI als ISO 27001-Auditteamleiter lizenziert.
  • Zertifizierungen gem. ISO /IEC 27001: Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle. Danach dürfen wir ein weltweit anerkanntes ISO 27001-Zertifikat für Ihr ISMS ausstellen, wenn durch ein Audit festgestellt wurde, dass Sie die Anforderungen der ISO 27001 erfüllen.

Wer ist KRITIS?

„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle: www.bsi.bund.de)

Die Bundesregierung hat eine Einteilung in KRITIS-Sektoren und Branchen vorgenommen: 

  • Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze
  • Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
  • Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
  • Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
  • Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
  • Medien und Kultur:  Zeitungen, Rundfunk, Fernsehen, Medien
  • Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
  • Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
  •  Wasser:  Wasserversorgung, Wasserwerke, Wassernetze

Was fordert das IT-Sicherheitgesetz (IT-SiG)?

Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“, wobei „der Stand der Technik zu berücksichtigen“ ist (§ 8a Abs. 1 IT-SiG).

Ein konkreter Sicherheitsstandard wird nicht genannt. Es wird jedoch ausgeführt, dass Betreiber Kritischer Infrastrukturen und Branchenverbände „branchenspezifische Sicherheitsstandards“ festlegen können, die dann vom Bundesamt für Sicherheit in der Informationssicherheit (BSI) „auf Antrag“ geprüft werden.

Ferner sieht das IT-SiG vor, dass die Erfüllung der Anforderungen mindestens alle zwei Jahre auf „geeignete Weise nachzuweisen“ ist. Genannt werden explizit: „Sicherheitsaudits, Prüfungen oder Zertifizierungen“.

In der Begründung zum IT-SiG wird dazu ausgeführt, dass die „Sicherheitsaudits, Prüfungen oder Zertifizierungen […] von dazu nachweislich qualifizierten Prüfern bzw. Zertifizierern durchgeführt werden“ sollen. Bei Zertifizierungen kann „auf die bestehenden Zertifizierungsstrukturen zurückgegriffen werden“. Auch hier spielt das BSI eine Rolle: „Ein Auditor gilt als qualifiziert, wenn er seine Qualifikation zur Überprüfung der Einhaltung der Sicherheitsstandards gegenüber dem BSI auf Verlangen formal glaubhaft machen kann.“

Was fordert der Sicherheitskatalog?

Der Sicherheitskatalog geht sehr viel konkreter vor. In Abs. 1 wird gefordert: „Dementsprechend sollen Netzbetreiber ein ISMS [Informationssicherheits-Managementsystem], das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die […] Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die unter Abschnitt F genannten Informationen und Verweise auf die Normen DIN ISO/IEC 27002 und DIN SPEC 27009 zu berücksichtigen.“

Ferner ist „der Netzbetreiber […] verpflichtet, die Konformität seines ISMS mit den Anforderungen der DIN ISO/IEC 27001 durch ein Zertifikat zu belegen. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung nach DIN ISO/IEC 27001 akkreditierte Stelle durchgeführt werden.“ (Abs. G. I Sicherheitskatalog).

Wie können wir Sie unterstützen?

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle. Danach dürfen wir ein weltweit anerkanntes ISO 27001-Zertifikat für Ihr ISMS ausstellen, wenn durch ein Audit festgestellt wurde, dass Sie die Anforderungen der ISO 27001 erfüllen.   

Zudem sind unsere IT-Experten als Auditteamleiter gem. ISO 27001 auf der Basis von IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. 

Sprechen Sie uns gerne an!

Von Dr. Sönke Maseberg in der Rubrik cert News