kurz notiert
Die neuen Reifegrad-Bewertungen der KRITIS-Nachweisprüfung schaffen mehr Transparenz und helfen, Sicherheitslücken gezielt zu identifizieren. Der neue Leitfaden zur sicheren OT-Beschaffung unterstützt KRITIS-Betreiber bei der Auswahl sicherer Industrie- und Steuerungssysteme.
Konkretisierte Reifegrade für KRITIS-Prüfungen
Das BSI hat das Dokument Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN) veröffentlicht. Es legt fest, wie Reife- und Umsetzungsgrade im Kontext der § 8a-BSIG-Nachweisprüfung bewertet werden. Die neuen Kriterien schaffen mehr Transparenz und vereinheitlichen die Nachweiserbringung gegenüber dem BSI.
Die aktuellen KRITIS-Nachweise beinhalten bereits eine Bewertung der Reifegrade der Managementsysteme zur Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sowie des Umsetzungsgrads der eingesetzten Systeme zur Angriffserkennung, die jeweils durch die prüfende Stelle vorgenommen wird.
Im Zusammenhang mit der neu vorgestellten Methode zur Ermittlung von Reife- und Umsetzungsgraden kommen folgende Themenbereiche hinzu, für die im Rahmen der turnusmäßig zu erbringenden Nachweise künftig ebenfalls der jeweilige Umsetzungsgrad festgestellt werden soll: organisatorische (OrgM), personenbezogene (PerM), physische (PhyM) sowie technische Maßnahmen (TecM). Den neuen Themenbereichen wurden konkrete Maßnahmen zugeordnet, wobei Spielraum für individuelle oder sektorspezifische Anpassungen bleibt.
Mit der Einführung der RUN verfolgt das BSI das Ziel, Betreibern und prüfenden Stellen eine einheitliche Bewertungsgrundlage zu bieten und Handlungsbedarfe gezielt aufzuzeigen. Die neuen Vorgaben gelten für Prüfungen, die nach dem 1. April 2025 enden und sind über www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/run.pdf kostenlos verfügbar.
„Secure by Demand“-Leitfaden für OT-Betreiber
Mitte Januar hat die US-amerikanische Cybersicherheitsbehörde CISA einen Leitfaden zur Beschaffung sicherer Betriebstechnologie (OT) herausgegeben (www.cisa.gov/resources-tools/resources/secure-demand-priority-considerations-operational-technology-owners-and-operators-when-selecting). Mitgewirkt an dieser Publikation haben elf internationale Partnerbehörden, darunter auch das BSI. Der Leitfaden soll Industrieunternehmen und Betreibern kritischer Infrastrukturen (KRITIS) dabei helfen, das Prinzip „Secure by Design“ so früh wie möglich zu berücksichtigen – und zwar bereits in Einkaufs- und Beschaffungsprozessen. Im Fokus steht die Auswahl von industrieller Automatisierungstechnik und Steuerungssystemen (ICS).
Da auch im OT-Bereich viele Produkte nicht nach dem Prinzip „Secure by Design“ entwickelt werden, können diese bereits bei Inbetriebnahme potenziell verwundbar sein. Einfallstore sind beispielsweise unsichere Default-Passwörter oder bekannte Schwachstellen in Software-Komponenten.
Der nun vorgestellte Leitfaden „Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products“ harmoniert mit den Grundsätzen des kürzlich von der EU verabschiedeten Cyber-Resilience-Act (CRA). Die Ausgestaltung des CRA wird einer der Themenschwerpunkte für IT-Sicherheit in den kommenden Monaten und Jahren in Europa und für die Cybernation Deutschland sein, um die Sicherheit von Produkten mit digitalen Elementen zu erhöhen.