Wo Schatten ist, ist auch Licht. Die Ereignisse um die Ukraine-Krise, die drohenden Versorgungsengpässe von Gas und Strom sowie die gestiegenen Kosten für Erzeugnisse aus kritischer Infrastruktur lassen uns über die Schattenseiten der aktuellen Situation nachdenken. Doch die Bestrebungen, die das Bundesamt für Informationstechnik, kurz BSI, mit dem BSIG nebst Paragraph §8a schafft, sorgen für einen kontrollierbaren Stand der Informations-Sicherheit und der Resilienz von Systemen der kritischen Infrastrukturen und ist, wie wir finden, ein wichtiger Schritt in die richtige Richtung.
aktuelle Situation
Die Angriffe auf kritische Infrastrukturen häufen sich. Zuletzt wurde mit dem Krankenhauszukunftsfond die Verteidigungseigenschaft von Krankenhäusern adressiert, um der aktuellen Situation Rechnung zu tragen. Mit den Neuerungen im BSIG wird der gesamte Kritis-Korb mit dem Ziel adressiert, Sicherheit in der Informationstechnik auf einem aktuellen, technischen Reifegrad aufzubauen und nachweisbar zu machen. Der Paragraph BSIG § 8a ist dabei besonders entscheidend.
BSIG § 8a
Der § 8a regelt die Anforderungen an die Sicherheit in der Informationstechnik von kritischen Infrastrukturen und gilt damit für alle in BSI-KRITIS V definierten Sektoren.
§ 8a definiert, dass der Betreiber einer kritischen Infrastruktur angemessene organisatorische und technische Maßnahmen (TOMs) […] zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse […] trifft.
Ergänzend dazu wird ab dem Stichtag 01.05.2023 der Einsatz von Systemen zur Angriffserkennung als Teil der TOMs definiert. Als geeignete Angriffserkennung wird dabei festgelegt, dass …
- die Systeme […] geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten […] können müssen,
- Bedrohungen identifizieren und vermeiden können müsse sowie
- bei Störungen geeignete Beseitigungsmaßnahmen vorsehen.
Dem Betreiber wird mit dem Gesetzestext die Möglichkeit gegeben, geeignete Lösungen vorzuschlagen, wobei das BSI bei Antrag feststellt, ob diese Eignung vorliegt.
Der Betreiber hat ab Stichtag und anschließend alle 2 Jahre die Verpflichtung, die Erfüllung der Anforderungen dem BSI nachzuweisen. Für den Nachweis können Sicherheitsaudits, Prüfungen oder Zertifizierungen dienen.
konkrete Ausgestaltung
Begleitend zu der gesetzlichen Anforderung stellt das BSI mehrere Unterlagen zur Verfügung, um bei Erfüllung des geforderten Reifegrads sowie dessen Nachweis zu unterstützen.
Mit dem Dokument § 8a Absatz 1 BSIG – Konkretisierung der KRITIS-Anforderungen werden Hinweise zur Umsetzung der Anforderungen aus dem Paragraphen nebst Beurteilung der Informationssicherheit zur Verfügung gestellt.
Mit dem Dokument Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG stellt das BSI ein umfassendes Dokument zur Verfügung, das den Nachweis zur Erfüllung der Anforderungen definiert.
Fazit
Die konkreten Anforderungen an die Informationssicherheit nimmt weiter zu und das nicht grundlos. Je konkreter die Anforderungen in einem Bereich sind, desto klarer das Zielbild, auf das die Unternehmen hin arbeiten. Dennoch gibt es auch in diesen Anforderungen Spielraum für die eigenen Ausgestaltungen. Die Zielrichtung ist klar definiert, die gewählten Mittel zur Erfüllung der Anforderungen bleiben aber in den Händen derer, die die Infrastrukturen auch verantworten. Die Anforderungen bzgl. TOMs im allgemeinen und Angriffserkennung im besonderen werden konkreter. Die Überprüfung der Sicherheitskonzepte von unparteiischen Dritten mit sich anschließender Vorlage beim BSI zur Reifegradprüfung zeigt, welche Priorität und Wichtigkeit der Schutz unserer kritischen Infrastrukturen zum jetzigen Zeitpunkt erhalten.
Über KRITIS hinaus sind solche Vorgaben auch in anderen Bereichen – adaptiert auf die Besonderheiten – vorstellbar.