§ 8a BSIG in der Praxis: : Hilfreiche Vorgabe oder nur Papiertiger?

Kritische Infrastrukturen (KRITIS) sind essenziell für das Gemeinwohl unserer Gesellschaft, daher sollten alle ihre Sicherheitsaspekte besonders wichtig sein. Für viele Unternehmen in diesen Bereichen ist die IT-Sicherheit allerdings ein neues Spielfeld – und ihre Umsetzung scheitert oft schon am Verständnis für die neuen Anforderungen. Hilft hier bereits ein „compliancehalber“ schnell eingeführtes Informationssicherheits-Managementsystem (ISMS) oder muss das Thema nachhaltiger eingefordert werden? Der vorliegende Beitrag erkundet das Spannungsfeld zwischen dem Erbringen von Nachweisen sowie Zertifizierungen und dem wirklichen Leben.

Schon vor dreieinhalb Jahren, im Juli 2015, wurde das IT-Sicherheitsgesetz (IT-SIG) als nationale Umsetzung der europäischen Richtlinie zur Verbesserung der ITSicherheit (EU-Richtlinie 2016/1148, [1]) verabschiedet und damit einhergehend das BSI-Gesetz (BSIG, [2]) erweitert. Damit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichende Rechte und Pflichten erhalten, um den Schutz von kritischen Infrastrukturen in Deutschland zu gewährleisten. Zudem verpflichtet § 8a BSIG die Betreiber kritischer Infrastrukturen dazu, ihre IT-gestützten Anlagen abzusichern und dem BSI die Umsetzung der Sicherungsmaßnahmen alle zwei Jahre nachzuweisen.

Darüber hinaus wurde die BSI-Kritisverordnung (BSI-KritisV, [3]) verabschiedet, im Rahmen derer die KRITIS-relevanten Sektoren aus dem BSIG genauer definiert und auf zwei sogenannte Körbe verteilt wurden (siehe Abb. 1) – darin enthalten sind unter anderem die jeweiligen Anlagenkategorien und Schwellenwerte der Sektoren ([4,5]). Zum ersten Korb gehörten im Mai 2016 die Sektoren Energie, Kommunikation, Wasser und Ernährung – im zweiten Korb vom Juni 2017 wurde die BSI-KritisV um die Sektoren Transport, Gesundheit und Finanzen erweitert.

Gemäß § 8a BSIG wurden mit der Verabschiedung der jeweiligen Körbe automatisch die jeweiligen Fristen für die Nachweiserbringung gegenüber dem BSI gesetzt. So mussten bis Mai 2018 bereits die Betreiber der kritischen Infrastrukturen aus den Sektoren des ersten Korbes Prüfungen nach § 8a BSIG nachweisen – die Betreiber aus Korb zwei haben hierfür bis Juni 2019 Zeit.

Erste Erfahrungen

Bei der Durchführung der Prüfungen aus dem ersten Korb fiel auf, dass für viele Unternehmen das Thema Informations- und ITSicherheit neu war oder bisher nicht mit dem nötigen Fokus betrachtet wurde. Erst mit der Vorbereitung auf die Erbringung der Nachweise wuchs das Bewusstsein, dass es hierbei Nachholbedarf gibt.

Hinzu kommt, dass vielen Geschäftsleitungen die vom BSIG geforderte Führungs- und Weisungsbefugnis für das Thema IT-Sicherheit nicht bewusst ist oder von ihnen nicht angenommen wird: Vielfach besteht eine implizite Erwartungshaltung, dass IT-Systeme „sicher“ sein sollen – konkrete Vorgaben oder Ziele werden hingegen nicht gemacht. Weiterhin fehlt oft das Verständnis, dass die Sicherheit der IT-Systeme nicht nur ein technisches Thema in der IT ist, sondern ebenfalls organisatorische Maßnahmen erfordert.

Da die IT-Sicherheit nicht im unmittelbar sichtbaren Zusammenhang mit dem jeweiligen Kerngeschäft steht und somit aus der Betrachtung fällt, wurden zumeist auch keine IT-Sicherheitsbeauftragten benannt. Zum Glück wird in diesen Fällen oft die Verantwortung – soweit möglich – von Administratoren angenommen, die im Rahmen ihrer Ressourcen und Befugnisse technische Sicherheitsmaßnahmen ergreifen. Die notwendigen organisatorischen Maßnahmen hingegen liegen außerhalb des originären Einflussbereichs der Administratoren, sodass trotz aller Bemühungen die technischen Sicherheitsmaßnahmen ausgehebelt werden können. Es hat sich gezeigt, dass das Thema IT-Sicherheit für viele Verantwortliche noch zu weit weg und zu abstrakt ist – in diesen Fällen werden pragmatischere Lösungsansätze benötigt. Um diese zu entwickeln ist es notwendig, die Kernforderungen von KRITIS zu verstehen.

KRITIS-Schutzziele

Die zentrale Forderung im Rahmen von KRITIS ist die Versorgungssicherung der Bevölkerung mit der kritischen Dienstleistung zur Vermeidung von Versorgungsengpässen sowie Aufrechterhaltung der öffentlichen Sicherheit. Betreiber kritischer Infrastrukturen müssen daher wissen, welche Mindestqualität der Versorgung durch eine kritische Dienstleistung (kDL) sowohl in Normallage als auch außerhalb von Normallagen sicherzustellen ist.

Dazu muss einem Betreiber klar sein, was unter einer Beeinträchtigung oder einem Versorgungsengpass zu verstehen ist und welche Konsequenzen sich daraus ergeben. Dies ist zum einen stark branchenindividuell, kann darüber hinaus aber auch je nach Situation des Betreibers noch variieren. Basierend auf der Frage, was die Normallage für ein Unternehmen darstellt, können Situationen außerhalb der Normallage, zum Beispiel bei IT-Störungen, gezielten IT-Angriffe oder Krisen und Katastrophenlagen, definiert und bewertet werden.

Die Gewährleistung der Funktionalität der Anlagen, mit denen eine kDL erbracht wird, ist meist schon in den Unternehmenszielen verankert – je nach Unternehmen können die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (VIVA), die auch im Rahmen von KRITIS betrachtet werden, bereits identifiziert und bewertet worden sein. Im Rahmen von KRITIS muss man diese Schutzziele aber einer erneuten Prüfung unterziehen, da nun nicht wirtschaftliche Aspekte, sondern die Versorgungssicherheit bei der Schutzbedarfsfeststellung im Fokus stehen, wodurch es teilweise zu Verschiebungen kommen kann.

Durch die Kernforderung von KRITIS, dass die Versorgung der Bevölkerung gewährleistet sein muss, ist das Schutzziel Verfügbarkeit aller IT-Systeme, Prozesse und Komponenten, die einen direkten oder indirekten Einfluss auf die kDL haben, auf „sehr hoch“ zu setzen. Wie hoch die anderen Schutzziele unter KRITIS-Gesichtspunkten bewertet werden, kann je Branche und auch je nach Anlage unterschiedlich ausfallen. Beachtet werden sollten dabei besonders alle branchen- und anlagenspezifischen Schutzziele.

So ist beispielsweise im Sektor Gesundheit bei der Produktion von verschreibungspflichtigen Medikamenten die Integrität ein sehr wichtiges Schutzziel, um die gleichbleibende und unveränderte Herstellung dieser Medikamente sicherzustellen. Den Ausfall einer Anlage können hingegen unter Umständen andere Betreiber abfangen. Bei der Steuerung von Wasserpumpen hat jedoch die Verfügbarkeit die höchste Priorität, da man hier nicht einfach auf einen anderen Betreiber ausweichen kann.

ISMS und Notfallmanagement

Eine weitere Kernforderung von KRITIS ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) – die Prüfung nach § 8a BSIG erfordert zwar keine Zertifizierung nach ISO 27001 (nativ oder auf Basis von IT-Grundschutz), wohl aber das Vorhandensein eines etablierten ISMS. Kern eines ISMS ist der sogenannte PDCA-Zyklus – bestehend aus den Phasen „Plan“, „Do“, „Check“ und „Act“. Zusammengefasst erfasst das ISMS die vier folgenden Phasen:

• Schutzbedarf feststellen und Sicherheitsvorgaben gestalten („Plan“)
• Vorgaben im Rahmen eines IT-Risikomanagements umsetzen, Sicherheitskonzepte pflegen und Sicherheitslösungen konzipieren („Do“)
• umgesetzte Maßnahmen überwachen und ihren Erfolg überprüfen („Check“)
• basierend auf diesen Ergebnissen Verbesserungsmaßnahmen durchführen – zum Beispiel im Rahmen eines Security-Reportings oder durch Schulungsmaßnahmen („Act“). Dieser Regelkreis beginnt anschließend wieder von vorne.

Im Rahmen der Umsetzung eines ISMS muss auch ein ISMS-Beauftragter benannt werden, der im Idealfall als Stabsstelle eingerichtet und nur der Geschäftsführung weisungsgebunden ist. Durch diese Positionierung erhält der ISMS-Beauftragte die Befugnisse, neben technischen auch organisatorischen Maßnahmen durchzusetzen.

Für das Risikomanagement schreibt das BSI zudem die Anwendung des sogenannten Allgefahrenansatzes vor: Dies bedeutet, dass alle möglichen Schwachstellen und Gefährdungen der Versorgungssicherheit durch die kDL betrachtet werden müssen. Dies umfasst, wie bereits erwähnt, alle IT-Systeme, Komponenten und Prozesse, die einen direkten oder indirekten Einfluss auf die kDL haben. Bei der Behandlung der Risiken dürfen im Rahmen von KRITIS keine Risiken dauerhaft akzeptiert werden, sofern eine Minimierung möglich ist. Zudem ist für KRITIS eine ausschließliche Versicherung des Risikos als Risikobehandlungsmaßnahme nicht legitim, da dies konträr zur Aufrechterhaltung der Versorgungssicherheit stünde.

Neben dem ISMS müssen Betreiber ein für ihre Branche geeignetes Notfall- und Krisenmanagement etablieren: Gerade bei sehr zuverlässig funktionierenden Anlagen besteht in der Bevölkerung ein sehr großes, quasi blindes Vertrauen in die Verlässlichkeit und Verfügbarkeit der kDL. Fällt eine solche Dienstleistung dennoch aus, ist in der Bevölkerung oft das notwendige Wissen für die angemessene Vorgehensweise bei einem solchem „Notfall“ verloren gegangen.

Unsere Großeltern kannten beispielsweise noch aus gutem Grund das Wort „hamstern“. Auch ein Ausfall der Stromnetze war früher viel wahrscheinlicher (vgl. [7]) und man konnte auch viele Stunden ohne Strom leben – heute ist für viele ein solches Szenario undenkbar. So beschreibt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Krisenmanagement Stromausfall, dass bei „einer großflächigen Unterbrechung der Stromversorgung mit verschiedensten schwerwiegenden Auswirkungen zu rechnen und das Funktionieren nahezu aller Gesellschaftsbereiche maßgeblich gestört oder behindert ist“ [8]

Auch die Betreiber verlernen aber teilweise den richtigen Umgang mit Ausfällen: Ohne entsprechende Planung geht im Not- oder Ausnahmefall bestenfalls wichtige Zeit verloren. Im schlimmsten Fall hingegen können die Folgen zum permanenten Ausfall der kDL führen. So ist es essenziell, dass regelmäßige Notfalltests und gegebenenfalls Krisenstabsübungen durchgeführt werden, um notwendige Handlungen im Falle eines Falles zu kennen. Die Vorsorgemaßnahmen, Notfallpläne und -abläufe müssen innerhalb eines Notfall- und Krisenmanagements eingebettet und die Schnittstellen zum ISMS definiert sein. Denn vor allem diese Schnittstellen werden im Rahmen einer KRITIS-Prüfung besonders ins Auge genommen.

KRITIS(che) Realität

Wie aber sieht die Umsetzung in der Realität aus? Viele Betreiber, vor allem aus den stark regulierten Sektoren (z.B. Banken), haben bereits ein voll etabliertes ISMS und Notfall- und Krisenmanagement sowie die Erweiterung ihres ISMS für KRITIS-Anforderungen gut vollzogen. Für die meisten anderen Betreiber sind diese Anforderungen hingegen Neuland – oft auch verbunden mit einer gewissen Unsicherheit oder sogar Unwillen.

Ein häufig auftretendes Problem ist, dass die IT-Sicherheit nur einen kleinen Aspekt im gesamten IT-Budget darstellt, welches bei vielen Betreibern ohnehin meist klein bemessen ist. Um möglichst Ressourcen zu schonen, wird daher teilweise „schnell“ ein ISMS eingeführt, in kurzer Zeit ein kleiner Dokumentenberg produziert und der Administrator zum ISMS-Beauftragen ernannt, da KRITIS ja „eh ein IT-Thema“ ist.

Ein derart eingerichtetes ISMS ist dann jedoch wirklich nur ein „Papiertiger“ und vollkommen wirkungslos. Im Rahmen der KRITISPrüfung sollten sich solche schwarzen Schafe zwar schnell enttarnen lassen, aber für das eigentliche Ziel, die Sicherheit der Versorgung der Bevölkerung, ist dies nur wenig hilfreich.

Die oft gestellte Frage „Was muss ich kaufen, um sicher zu sein?“ hilft in diesem Fall auch nicht weiter: KRITIS ist ein Prozess, der angestoßen und „gelebt“ werden muss – der Kauf eines Produkts kann immer nur einen Teilaspekt abdecken. So hilft die beste Stahltüre nichts, wenn die Wände drum herum in Trockenbauweise gestaltet sind.

Langfristiger Ansatz zahlt sich aus

Für die KRITIS-Prüfung muss man Prüfern keine „heile“ Welt vorgaukeln, die ein nicht (wirklich) implementiertes ISMS simuliert darstellen soll. Dem Gesetzgeber ist bewusst, dass gerade bei in dieser Hinsicht bisher nicht regulierten Branchen Nachholbedarf besteht und das Thema Informationssicherheit bisher oft nicht mit der nötigen Sorgfalt betrachtet wurde. Im Rahmen der Prüfungen werden Abweichungen von den KRITIS-Anforderungen festgestellt und in Mängellisten aufgeführt. Der Prüfbericht wird dem Betreiber gemeinsam mit diesen Mängellisten bereitgestellt und dieser wiederum übergibt die Ergebnisse dem BSI.

Ziel ist es, sich Lagebilder über den aktuellen Sicherheitszustand zu verschaffen und bei Bedarf auch Warnungen daraus abzuleiten. Für die in den Prüfungen gefundenen Abweichungen kann das BSI – gemeinsam mit der zuständigen Aufsichtsbehörde – einen Umsetzungsplan anfordern, der vom Betreiber zu erstellen ist. Somit steht einem langfristigen Aufbau eines „gelebten“ ISMS von dieser Seite nichts im Wege.

Wie reguläre Geschäftsprozesse müssen auch ISMS-Prozesse wachsen. Durch die Etablierung einer für das Unternehmen geeigneten ISMS-Organisation entwickelt sich das Managementsystem durch den PDCA-Zyklus selbstständig weiter. Hauptfokus aus Sicht des BSI sind natürlich alle Prozesse rund um die kDL, aber auch diese sind in das Unternehmen eingebettet. Durch ein gewachsenes ISMS profitiert somit nicht nur die kDL, sondern das ganze Unternehmen. Gerade in Zeiten der zunehmenden Digitalisierung ist dies ein wichtiger Aspekt.

Basis eines gut funktionierenden ISMS ist die Risikoanalyse, die alle Schwachstellen und Gefährdungen identifiziert: Sobald sich ein Unternehmen ein eigenes Lagebild geschaffen hat, kann es mit der Planung und Bewertung von Risikobehandlungsmaßnahmen beginnen. Abhängig von der Effektivität der Maßnahme und dem benötigten Ressourcenverbrauch können auch mehrere kleine Maßnahmen die Informationssicherheit mehr voranbringen als eine große, die vielleicht nur einen Aspekt berücksichtigt.

Teilweise wurden von Betreibern oder Verbänden im Rahmen von KRITIS eigene branchenspezifische Sicherheitsstandards (abgekürzt B3S) veröffentlicht oder befinden sich derzeit noch in Entwicklung (vgl. [6]), die als erster Leitfaden für Betreiber dienen können, da hierin bereits eine branchenspezifische Grundmenge an Bedrohungen und Risiken abgedeckt wurde.

Der Anspruch des BSI ist es nicht, von Anfang an ein voll ausgebautes ISMS vorgelegt zu bekommen, denn so etwas benötigt in der Regel mehrere Jahre. Wichtig ist es aber, die Grundstrukturen eines ISMS etabliert zu haben, sodass sich die Informationssicherheit im Rahmen des PDCA-Zyklus beständig weiterentwickelt. Im Rahmen der regelmäßig erfolgenden KRITIS-Prüfungen ist diese Weiterentwicklung genau das, was das BSI sehen möchte.

Fazit

Daher kann man zusammenfassend sagen, dass KRITIS-Betreiber Zeit brauchen werden, ein ISMS von Grund auf aufzubauen – das BSI aber diesen Raum auch schafft. Denn im Gegensatz zu einer ISO-27001-Zertifizierung muss nicht alles zum Prüfungstag hin geplant oder umgesetzt sein. Ziel von KRITIS ist es, die Informationssicherheit bei den Betreibern kritischer Infrastrukturen nachhaltig zu erhöhen. Schnellschüsse auf Papier bringen daher niemandem etwas und bedeuten unnötig verbrauchte Ressourcen.

Ende 2019 oder Anfang 2020 soll das überarbeitete „IT-Sicherheitsgesetz 2.0“ verabschiedet werden. Es wird erwartet, dass weitere Branchen, beispielsweise die Chemieindustrie, dazukommen werden. Dabei könnten auch die produzierende Großindustrie und Hersteller von Komponenten für kritische Infrastrukturen weiteren Meldepflichten unterworfen werden. Ebenso nimmt man an, dass die definierten Schwellenwerte gesenkt werden und so auch der Mittelstand verstärkt in den Fokus gerät. Unklar ist hierbei noch, ob sich diese Überlegungen auf die reine Meldepflicht oder auch auf die Umsetzung von Sicherheitsmaßnahmen beziehen.

Die Erfahrungen aus den Prüfungen der Betreiber des ersten Korbs haben gezeigt, dass die KRITIS-Anforderungen gut und richtig sind. Auch wenn viele Betreiber bereits auf einem guten Weg sind, muss das Bewusstsein für die Schaffung eines funktionierenden ISMS jedoch bei allen Betreibern noch geschärft werden. Denn man darf man nicht vergessen, dass jede identifizierte kritische Dienstleistung eben genau das ist: kritisch.

Daniel Jedecke ist bei HiSolutions Managing Consultant mit den Schwerpunkten kritische Infrastrukturen und Informationssicherheit. Marius Wiersch ist bei HiSolutions Senior Consultant mit den Schwerpunkten Informationssicherheit nach ISO 27001, BSI IT-Grundschutz und kritische Infrastrukturen.

Literatur

1. Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates
   • Datum: 6. Juli 2016
   • Thema: Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
   • Quelle: Amtsblatt der Europäischen Union L 194/1, Juli 2016
   • Link
2. Bundesministerium der Justiz und für Verbraucherschutz
   • Thema: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
   • Link
3. Bundesministerium der Justiz und für Verbraucherschutz
   • Thema: Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz
   • Link
4. Ingrid Dubois
   • Publikation: <kes> 2016#1, S. 64
   • Thema: Die Umsetzung des IT-Sicherheitsgesetzes, Einblicke in den Entwurf einer Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz
5. Ingrid Dubois
   • Publikation: <kes> 2017#2, S. 60
   • Thema: BSI-KritisV, Version 2.0 ß, Zur Anpassung der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz
6. BSI
   • Publikation: Version 1.0, Januar 2018
   • Thema: Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG
   • Link
7. Bundesnetzagentur (BNetzA)
   • Datum: Stand Oktober 2018
   • Thema: Kennzahlen der Versorgungsunterbrechungen Strom
   • Link
8. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
   • Datum: März 2011
   • Thema: Krisenmanagement Stromausfall (Kurzfassung), Krisenmanagement bei einer großflächigen Unterbrechung der Stromversorgung am Beispiel Baden-Württemberg
   • Link