Mit <kes>+ lesen

IT-Grundschutz und KRITIS – Erfahrungen mit IT-Grundschutz in KRITIS-Prüfungen

Betreiber kritischer Infrastrukturen können frei wählen, wie und mit welchem Standard sie ihre Systeme absichern, um die gesetzlichen Anforderungen zu erfüllen. Trotzdem müssen sie sich entscheiden: branchenspezifischer Standard, ISO 27001 oder doch ein ganz anderer Weg? Unser Beitrag stellt die Erfahrungen, Vorteile aber auch die Probleme vor, wenn sich Unternehmen ganz oder teilweise für den BSI IT-Grundschutz entscheiden.

Lesezeit 8 Min.

Von Daniel Jedecke und Manuel Atug, Berlin

Das BSI-Gesetz (BSIG) fordert von den Betreibern kritischer Infrastrukturen (KRITIS), ihre informationstechnischen Systeme, Komponenten oder Prozesse nach dem Stand der Technik abzusichern. Die Umsetzung der Sicherungsmaßnahmen müssen sie alle zwei Jahre nachweisen und dafür von externen Dritten das Informationssicherheitsmanagementsystem (ISMS) und das Business-Continuity-Management-System (BCMS) prüfen lassen. Nach welchem Standard dabei vorzugehen ist, gibt das Gesetz nicht vor. Die KRITIS-Betreiber sollen dadurch die Möglichkeit haben, sich die für sie geeigneten Standards, Best Practices und Herstellerempfehlungen herauszusuchen und die Umsetzung der Maßnahmen auf ihre jeweilige Lage anzupassen. Damit will der Gesetzgeber den vielen sehr unterschiedlichen Branchen und den oft individuellen und bereits bestehenden Anforderungen innerhalb der KRITIS-Sektoren Rechnung tragen. So können beispielsweise Banken, die bereits die „Mindestanforderungen an das Risikomanagement“ (MaRisk) umsetzen mussten, diese als Basis nehmen und nur um entsprechende KRITIS-Erweiterungen ergänzen.

Optional kann eine Branche oder ihre Branchenverbände gemäß § 8a Abs. 2 BSIG einen branchenspezifischen Sicherheitsstandard (B3S) entwickeln, den das BSI im Anschluss prüft. Bei einer positiven Eignungsfeststellung können die KRITIS-Betreiber den entwickelten B3S benutzen – allerdings besteht hierzu keine Verpflichtung. Oft werden die B3S mit konkreten Maßnahmen aus dem BSI IT-Grundschutz ergänzt oder basieren sogar vollständig auf dem IT-Grundschutz. In KRITIS-Prüfungen zieht man den B3S einer Branche häufig als Prüfgrundlage (mit) heran, da dieser die Branchenspezifika gezielter adressiert. Sofern ein Betreiber den B3S nicht nutzen möchte, kann beispielsweise auch der BSI IT-Grundschutz und die Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG vom BSI als Prüfgrundlage verwendet werden.

Viele Möglichkeiten, komplexe Entscheidungen

Der Nachteil dieser vielfältigen und offenen Möglichkeiten ist, dass KRITIS-Betreiber häufig nicht genau wissen, was sie am besten als Basis für die Umsetzung der Sicherheitsanforderungen nehmen sollen. Es gibt heute eine breite Auswahl an Standards und Best Practices, die oft verschiedene Aspekte und Risiken adressieren. Zudem kann die Kombination komplex sein, da es bei der kritischen Infrastruktur durch die im BSI-Gesetz vorgegebenen Schutzziele, Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, um die Versorgungssicherheit der Bevölkerung geht. Viele Standards sind aber nur auf die Bereiche Verfügbarkeit und Integrität ausgerichtet. Des Weiteren handelt es sich bei KRITIS-Betreibern oft um jahrzehntealte und komplexe Anlagen, die von Dritten konzipiert und gewartet werden. Die Anforderungen aus dem IT-Grundschutz umzusetzen, ist hier zumeist komplexer als in Büro-IT-Umgebungen, da das gegebenenfalls auch die Arbeitssicherheit der Anlage beeinträchtigen kann. In KRITIS-Umgebungen gibt es keine Checklisten, die man einfach abarbeitet und dann fertig ist – hier liegen viele Einzelfallentscheidungen zugrunde, welche dann eine Nachjustierung von Standards und Best Practices erfordern.

Insgesamt geht es bei kritischen Infrastrukturen um die individuelle Umsetzung der bestmöglichen IT-Sicherheit als gelebter Prozess für sehr unterschiedliche Branchen und Produktionsumgebungen mit unterschiedlichen Komponenten und Abläufen. Nur so lassen sich Versorgungsengpässe oder -ausfälle vermeiden oder die Auswirkungen eines Vorfalls auf ein Mindestmaß reduzieren.

IT-Grundschutz und KRITIS

In den Prüfungen zur Umsetzung des Stands der Technik müssen die Prüfer darauf achten, dass die Unternehmen die spezifischen KRITIS-Belange berücksichtigt haben. Dazu gehören beispielsweise die Anforderungen an die textuelle und grafische Gestaltung des Geltungsbereiches. Zudem prüfen sie, ob die klassischen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung gesetzt worden sind. Auch muss das zusätzliche Schutzziel Authentizität mit bewertet werden.

Der IT-Grundschutz ist für Betreiber grundsätzlich etwas einfacher anzuwenden, da viele Begrifflichkeiten aus den KRITIS-Orientierungshilfen des BSI dem IT-Grundschutz entspringen. Zudem ist der Einsatz des All-Gefahrenansatzes bei allen KRITIS-Betreibern in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu prüfen, unabhängig davon welchen IT-Sicherheitsstandard der Betreiber benutzt. Der All-Gefahrenansatz ist im IT-Grundschutz bereits fest integriert und somit in der Anwendung leichter.

Inzwischen sind viele branchenspezifische Sicherheitsstandards vom BSI zugelassen. Auf dem IT-Grundschutz basieren dabei zum Beispiel die B3S aus den Sektoren Transport und Verkehr (ÖPNV) und Wasser. Die B3S aus dem Sektor Gesundheit (Krankenhaus und Ersatzkassen) verweisen in Teilen auf den IT-Grundschutz. Es gibt darüber hinaus auch Branchen, die vollständig auf die Norm ISO 27001 setzen. Hierzu zählt die Pharma-Branche aus dem Sektor Gesundheit und die Luftverkehrsbranche aus dem Sektor Transport und Verkehr. Grund dafür ist die höhere weltweite Bekanntheit und Anerkennung der ISO-Normenreihe, sodass international aufgestellte KRITIS-Betreiber sie konzernweit umsetzen können. Zudem gibt es für die ISO-Normen mehr Prüfer und Berater als für den IT-Grundschutz.

Probleme mit der ISO 27001

Entscheiden sich Betreiber kritischer Infrastrukturen, die ISO 27001 als Grundlage zur Umsetzung der gesetzlichen Anforderungen zu nutzen, müssen sie mehrere Fallstricke beachten: Bei einer typischen Anwendung der ISO 27001 besteht die Gefahr, dass diese den KRITIS-Anforderungen nicht genügt. Anders als der IT-Grundschutz geht die ISO 27001 mehr auf die dokumentarische Ebene und lässt Raum für Auslegungen. Das passt allerdings nur eingeschränkt zum Ziel der Versorgungssicherheit bei KRITIS-Betreibern. So reicht es beispielsweise bei der ISO 27001 bereits aus, Maßnahmen zu planen, aber noch nicht fertig umzusetzen.

Auch beim Risikomanagement sind wichtige Vorgaben für KRITIS-Betreiber gesondert zu berücksichtigen. Eine Risikoakzeptanz oder ein Risikotransfer sind bei der ISO 27001 bewährte Möglichkeiten neben Risikoreduktion und Risikovermeidung. Das sichert allerdings primär den Betreiber als Unternehmen ab, zum Beispiel durch eine Versicherung als Risikotransfer – es folgt daraus allerdings keine Steigerung der Versorgungssicherheit. Das BSI hat daher eine umfangreiche Stellungnahme zur „Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG“ veröffentlicht [1, 2], die auch zur Abgrenzung und zum Verständnis bei der Umsetzung für KRITIS-Betreiber hilfreich ist.

Erfahrungen aus den Prüfungen

Reine Grundschutzprüfungen finden tendenziell eher selten statt, da die Betreiber fast immer einen Mix aus Standards, Best Practices, Guidelines und Herstellervorgaben nutzen. Der IT-Grundschutz wird daher meist gemeinsam mit einem B3S kombiniert und zusammen geprüft. Durch den IT-Grundschutz gewinnen die KRITIS-Betreiber dabei ein besseres Bild über die Umsetzung und Roadmap, denn durch die strukturierte Vorgehensweise und die definierten Maßnahmen in den Bausteinen wird schnell klar, was noch zu tun ist.

KRITIS-Betreiber, die den IT-Grundschutz nutzen, sind nach unseren Erfahrungen in Prüfungen tendenziell besser vorbereitet, da sie genauer sagen können, welche Maßnahmen sie wieso umgesetzt haben. Die strukturierte Vorgabe hat an dieser Stelle also klare Vorteile, die sich dann auszahlen. Zudem kennen die Betreiber ihre Assets, den Geltungsbereich und ihren Netzplan besser, da sie im Vorfeld bei der Anwendung des IT-Grundschutzes alles detailliert durcharbeiten mussten. Auch die Vorgehensweise mittels Checklisten und Basis-Grundschutz-Check erleichtert es dem KRITIS-Betreiber. Er wird dabei besser an die Hand genommen und durch die Umsetzung sowie den Aufbau eines ISMS geführt.

In der Praxis hat sich auch gezeigt, dass für KRITIS-Betreiber mit Fertigungsanlagen und Produktionsumgebungen die im IT-Grundschutz vorhandene Schicht „IND: Industrielle IT“, die eine gute Integration der Operational-Technology-(OT)-Umgebungen bietet, vorteilhaft ist. Der IT-Grundschutz ist darüber hinaus auch mit anderen BSI-Hilfsmitteln kombinierbar, die Anforderungen für Betreiber konkretisieren, wie zum Beispiel dem „Kriterienkatalog Cloud Computing C5“ [3] für den Sektor Informationstechnik und Telekommunikation.

IT-Grundschutz über alles?

Ob sich ein Unternehmen für den BSI IT-Grundschutz entscheidet oder nicht, dafür muss es – wie immer – den eigenen Bedarf genau definieren und die Vor- und Nachteile abwägen. Zu erwähnen ist noch, dass KRITIS-Prüfungen nach IT-Grundschutz umfassender sind, da sie tiefer in den Bereich der IT-Systemprüfung einsteigen als andere Standards. Allerdings lassen sich aufgrund dessen die Anforderungen der „Orientierungshilfe zu Nachweisen“ [4], die konkret Systemprüfungen verlangt, besser abdecken. Der vermeintliche Mehraufwand ist in der Gesamtrechnung also doch wieder überschaubar.

Trotzdem schreckt der höhere Aufwand durch den umfassenderen Prüfumfang aufgrund der ausführlichen IT-Grundschutz-Maßnahmen [5] einige KRITIS-Unternehmen vom Grundschutz ab. Sie befürchten auch, dass die Prüfungen teurer sind als die der anderen Standards. Generell benötigt ein Betreiber bei Anwendung des IT-Grundschutzes länger, bis sich belastbare Ergebnisse herauskristallisieren, da sowohl Vorbereitung als auch Planung mehr Zeit in Anspruch nehmen als bei einer klassischen ISO-27001-Einführung. Jedoch muss auch bei einer KRITIS-Prüfung auf Basis von ISO 27001 umfangreicher geprüft werden als bei einer normalen Zertifizierung, sodass die Unterschiede nicht mehr so stark ins Gewicht fallen.

Fazit

Der IT-Grundschutz und die KRITIS-Anforderungen aus dem BSI-Gesetz harmonieren in vielen Bereichen. So manche KRITIS-Betreiber setzen ihn allerdings aufgrund der erwarteten höheren Aufwände und dem akuten Fachkräftemangel nicht ein und wollen lieber schnelle Ergebnisse erzielen. Ein abstrakter Ansatz ist dann vermeintlich einfacher anzugehen als ein detaillierter Maßnahmenkatalog. Da ein ISMS und ein BCMS allerdings als dauerhafter Prozess zu etablieren sind, liegt die Kraft des BSI IT-Grundschutzes in der langfristigen Nutzung und guten Unterstützung bei der täglichen Umsetzung. Als Mittel zum Zweck dient er am Ende der strukturierten Aufrechterhaltung der Versorgung der Gesellschaft mit kritischen Dienstleistungen.

Daniel Jedecke ist Senior Expert, Manuel Atug ist Head of Business bei der HiSolutions AG. Beide mit den Schwerpunkten kritische Infrastrukturen und Informationssicherheit.

Literatur

[1] BSI, Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Abs. 3 BSIG,
www.bsi.bund.de/DE/Themen/KRITIS-und-regulierteUnternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-Nutzung-ISO-27001-Zertifikat/faq-nutzung-iso27001-zertifikat_node.html
[2] BSI, KRITIS-FAQ, www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/kritis-faq_node.html
[3] BSI, Kriterienkatalog Cloud Computing C5, 2020, www.bsi.bund.de/DE/Themen/Unternehmen-undOrganisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html
[4] BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG, August 2020,
www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/KritischeInfrastrukturen/Allgemeine-Infos-zu-KRITIS/Nachweiseerbringen/OH_Nachweise/orientierungshilfe_node.html
[5] BSI, IT-Grundschutz-Bausteine, Februar 2021, Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html
[6] BSI, Sektoren und Branchen Kritischer Infrastrukturen, Juli 2021, www.kritis.bund.de/SharedDocs/Downloads/BBK/DE/Downloads/Kritis/kritis_sektoreneinteilung.pdf?__blob=publicationFile

Diesen Beitrag teilen: