Beitrag

datenschutz cert GmbH entwickelt Datenschutzgütesiegel für E-Commerce-Unternehmen Fr 21.08.2015

IT-Sicherheitsgesetz und IT-Sicherheitskatalog

Kritische Infrastrukturen (KRITIS) – und dabei insbesondere die Energieversorgung – sind auf eine funktionierende IT angewiesen. Zum ihrem Schutz werden deshalb von staatlicher Stelle verschiedene Strategien verfolgt.

Zwei Elemente dieser Strategie sind durch zwei neue Regelungen jetzt final veröffentlicht worden:

  • IT-Sicherheitsgesetz: „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG)
  • IT-Sicherheitskatalog: „IT-Sicherheitskatalog gemäß § 11 Abs. 1 a Energiewirtschaftsgesetz“ der Bundesnetzagentur (BNetzA)

Damit verbunden sind Umsetzungsfristen: zwei Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes bzw. bis zum 31.01.2018 beim IT-Sicherheitskatalog.

IT-SiG und IT-Sicherheitskatalog gemein ist die Forderung nach einem Prozess zur Informationssicherheit und regelmäßigen Prüfungen. Die konkrete Ausgestaltung variiert jedoch:

  • Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. 1 BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG). Konkrete Sicherheitsstandards sind mit dem Bundesamt für Sicherheit in der Informationssicherheit (BSI) „auf Antrag“ genauso abzustimmen wie die qualifizierten Prüfer und Auditoren. 
  • Der IT-Sicherheitskatalog fordert für Netzbetreiber ein Informationssicherheits-Managementsystem (ISMS), das durch ein Zertifikat gem. ISO/IEC 27001 nachgewiesen ist.

Auch wenn im Falle des IT-SiG ein ISMS nicht explizit genannt ist, ist doch dieser Ansatz eines Managementsystems zur Aufrechterhaltung von Informationssicherheit aktuell der Stand der Technik. Von daher wird es aus unserer Sicht letztlich auf 

  • die Einführung eines Informationssicherheits-Managementsystems (ISMS) und
  • die unabhängige Überprüfung 

hinauslaufen. Ob dazu dann der internationale Ansatz von ISO/IEC 27001 oder die nationale Ausprägung „ISO 27001 auf der Basis von IT-Grundschutz“ vom BSI herangezogen wird, ist noch offen. Wobei ISO/IEC 27001 zu bevorzugen ist, falls neben IT-SiG auch der IT-Sicherheitskatalog der BNetzA erfüllt werden muss, der ebenfalls ein international gültiges Zertifikat gem. ISO/IEC 27001 verlangt. 

Welchen Standard Sie auch anstreben: Die datenschutz cert GmbH kann die unabhängigen Prüfungen und ggf. Zertifizierungen Ihrer Informationssicherheit durchführen:

  • Audits gem. ISO 27001 auf der Basis von IT-Grundschutz: Unsere IT-Experten sind beim BSI als ISO 27001-Auditteamleiter lizenziert.
  • Zertifizierungen gem. ISO /IEC 27001: Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle.

Welche Bereiche sind KRITIS zuzuordnen?

„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle: www.bsi.bund.de) 

Die Bundesregierung hat eine Einteilung in KRITIS-Sektoren und Branchen vorgenommen:

  • Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze
  • Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
  • Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
  • Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
  • Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
  • Medien und Kultur: Zeitungen, Rundfunk, Fernsehen, Medien
  • Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
  • Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
  • Wasser: Wasserversorgung, Wasserwerke, Wassernetze

Welche Bereiche regelt der IT-Sicherheitskatalog?

Der IT-Sicherheitskatalog fokussiert auf Netzbetreiber, genauer: „Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind“ (Abs. C IT-Sicherheitskatalog).

Was fordert das IT-Sicherheitgesetz (IT-SiG)?

Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“, wobei „der Stand der Technik zu berücksichtigen“ ist (§ 8a Abs. 1 IT-SiG). 

Ein konkreter Sicherheitsstandard wird nicht genannt. Es wird jedoch ausgeführt, dass Betreiber Kritischer Infrastrukturen und Branchenverbände „branchenspezifische Sicherheitsstandards“ festlegen können, die dann vom Bundesamt für Sicherheit in der Informationssicherheit (BSI) „auf Antrag“ geprüft werden. 

Ferner sieht das IT-SiG vor, dass die Erfüllung der Anforderungen mindestens alle zwei Jahre auf „geeignete Weise nachzuweisen“ ist. Genannt werden explizit: „Sicherheitsaudits, Prüfungen oder Zertifizierungen“.

Was fordert der IT-Sicherheitskatalog?

Der IT-Sicherheitskatalog geht sehr viel konkreter vor. In Abs. 1 wird gefordert: Dementsprechend haben Netzbetreiber ein ISMS zu implementieren, das den Anforderungen der DIN ISO/IEC 27001 in der jeweils geltenden Fassung genügt und mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, umfasst.“ 

Ferner ist „der Netzbetreiber […] verpflichtet, die Konformität seines ISMS mit den Anforderungen der DIN ISO/IEC 27001 durch ein Zertifikat zu belegen. Die Bundesnetzagentur erarbeitet hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) ein entsprechendes Zertifikat auf der Basis von DIN ISO/IEC 27001. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung des IT-Sicherheitskatalogs kann auf der Internetseite der DAkkS abgerufen werden, sobald entsprechende Akkreditierungsverfahren abgeschlossen sind“ (Abs. F. I IT-Sicherheitskatalog). 

Was muss im Scope des Zertifikates stehen?

Zertifikat ist nicht gleich Zertifikat! Nicht nur der angewendete Standard ist entscheidend, sondern auch der Scope eines Zertifikates – also der Geltungsbereich oder Untersuchungsgegenstand, der angibt, worauf sich die Übereinstimmung mit einer Norm bezieht.

Welcher Geltungsbereich ist sinnvoll? Selbstverständlich kann ein gesamtes Unternehmen gemäß ISO 27001 zertifiziert werden. Aufgrund der Komplexität der umzusetzenden Prozesse kann es sich allerdings als zielführender erweisen, sich zunächst auf die Bereiche zu konzentrieren, die als besonders relevant erachtet werden. Relevant für den eigenen Betrieb oder zur Erfüllung gewisser Erwartungshaltungen bei Kunden und Behörden. Zu klein darf ein ISMS übrigens auch nicht sein.

Was beim Scoping bei ISO 27001 zu beachten ist, erfahren Sie hier: Klick.

Was ist bis wann zu tun?

Es werden die folgenden Umsetzungsfristen genannt:

  • § 8a Abs. 3 IT-SiG: „Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung […]“ und sodann regelmäßig alle zwei Jahre.
  • Abs. F II IT-Sicherheitskatalog: „Zum Nachweis darüber, dass die Anforderungen des vorliegenden IT-Sicherheitskatalogs umgesetzt wurden, hat der Netzbetreiber der Bundesnetzagentur bis zum 31.01.2018 den Abschluss des Zertifizierungsverfahrens durch Vorlage einer Kopie des Zertifikats mitzuteilen.“

Wie können wir Sie unterstützen?

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditierte Zertifizierungsstelle für ISO/IEC 27001. Danach dürfen wir ein weltweit anerkanntes ISO 27001-Zertifikat für Ihr ISMS ausstellen, wenn durch ein Audit festgestellt wurde, dass die Anforderungen der ISO 27001 erfüllt werden.

Zudem sind unsere IT-Experten als Auditteamleiter gem. ISO 27001 auf der Basis von IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. 

Sprechen Sie uns gerne an!

Von Dr. Sönke Maseberg in der Rubrik cert News, Smart Meter