Umsetzung des § 8a BSIG in der Praxis : Typische Fehler bei der Umsetzung von Sicherheitsanforderungen im KRITIS-Umfeld
Für die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) müssen deren Betreiber geeignete organisatorische und technische Vorkehrungen einrichten und nachweisen – viele Unternehmen haben in den vergangenen Jahren auch bereits solche Nachweise gemäß § 8a BSI-Gesetz(BSIG) erbracht. Diese zeigen ein gutes Bild über den wirklichen „Stand der IT-Sicherheit“ in Unternehmen – und dabei auftretende typische Fehler.
Von Daniel Jedecke und Latifa El Morabet Amghar, Bonn
Im Juli 2015 wurde das IT-Sicherheitsgesetz (IT-SiG) als nationale Umsetzung der europäischen Richtlinie zur Verbesserung der IT-Sicherheit (Richtlinie (EU) 2016/1148) verabschiedet und damit einhergehend das BSI-Gesetz erweitert (BSIG, www.gesetze-im-internet.de/bsig_2009/). Durch das BSIG hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichende Rechte und Pflichten erhalten, um den Schutz von kritischen Infrastrukturen in Deutschland zu gewährleisten. § 8a BSIG verpflichtet die Betreiber kritischer Infrastrukturen dazu, ihre IT-gestützten Anlagen abzusichern und dem BSI die Umsetzung der Sicherungsmaßnahmen alle zwei Jahre nachzuweisen.
Darüber hinaus wurde die BSI-Kritisverordnung (BSI-KritisV, www.gesetze-im-internet.de/bsikritisv/) verabschiedet, welche die KRITIS-relevanten Sektoren aus dem BSIG genauer definiert und in zwei Verabschiedungsphasen auf zwei „Körbe“ verteilt hat (Abb. 1) – die BSI-KritisV definiert unter anderem auch die jeweiligen Anlagekategorien und Schwellenwerte der einzelnen Sektoren. Zum ersten Korb gehörten im Mai 2016 die Sektoren Energie, Kommunikation, Wasser und Ernährung. Im Juni 2017 wurde die BSI-KritisV mit dem zweiten Korb um Inhalte für die Sektoren Transport, Gesundheit und Finanzen erweitert.
Gemäß § 8a BSIG wurden mit der Verabschiedung der Körbe automatisch die jeweiligen Fristen für die Nachweiserbringung gegenüber dem BSI gesetzt: So mussten bis Mai 2018 bereits die Betreiber der kritischen Infrastrukturen aus den Sektoren des ersten Korbes Prüfungen nach § 8a BSIG nachweisen – die Betreiber aus Korb zwei hatten hierfür bis Juni 2019 Zeit.
Abbildung 1: Inhalt der zwei Körbe der BSI-Kritisverordnung (BSI-KritisV)
Erfahrungen
Bei der Durchführung der Prüfungen aus dem ersten Korb fiel auf, dass für viele Unternehmen das Thema Informations- und IT Sicherheit neu war oder zuvor nicht mit dem nötigen Fokus betrachtet wurde. Erst mit der Vorbereitung auf die Erbringung der Nachweise wuchs das Bewusstsein, dass es hierbei Nachholbedarf gab.
Als Prüfer und Berater gewannen die Autoren einen guten Einblick in die jeweilige Umsetzung von Sicherheitsmaßnahmen – viele aufgetretene Mängel hätte man mit ein wenig mehr Planung und Motivation verhindern können. Im Folgenden sollen daher die typischen Fehler während einer Prüfung näher erläutert werden – parallel dazu wird erörtert, wie man sie bereits im Vorfeld mit den passenden Maßnahmen des BSI IT-Grundschutzes abstellen kann.
Beispiel ISMS
Als Umsetzungsbeispiel dient hierbei ein Informationssicherheits-Managementsystem (ISMS) gemäß BSI IT-Grundschutz, dem ein PDCA-Zyklus (Plan–Do–Check–Act) als laufender Prozess zugrunde liegt. So können Missstände erkannt und zeitnah behoben beziehungsweise Prozesse optimiert werden, wodurch standardisierte Prozesse entstehen, die eine gleichmäßige Qualität sicherstellen.
Planungsphase
Um nun das ISMS gemäß PDCA-Zyklus zu implementieren, beginnt man in der Planungsphase IT-Grundschutz KRITIS mit der Bestimmung und Analyse aller relevanten Rahmenbedingungen für die Umsetzung der ISMS. Hierbei wird unter anderem der Geltungsbereich bestimmt, in dem alle Unternehmensbereiche/-prozesse, die für das ISMS relevant sind, genau beschrieben werden. Oft treten es hier schon die ersten Fehler auf, welche die Umsetzung weiterer Maßnahmen erschweren oder sogar in die falsche Richtung lenken.
Im Folgenden sind die von den Autoren als Prüfer typischerweise gefundenen Punkte mitsamt der zugehörigen Risiken und nötigen Maßnahmen aufgeführt. Dabei soll jedoch nicht einzelne Maßnahmen innerhalb der Grundschutz-Bausteine eingegangen werden, da diese je nach Unternehmen und Vorgehensweise variieren können. Vielmehr soll die nachfolgende Aufstellung dazu anregen, sich offene Punkte gezielt genauer anzusehen und ein Verständnis hierfür zu erarbeiten.
Abbildung 2: PDCA-Zyklus für ein Informationssicherheits-Managementsystem (ISMS)
Fehlerhafte Erfassung von Prozessen, Anwendungen und IT-Systemen
In einem ersten Schritt werden Prozesse, Anwendungen und IT-Systeme definiert, die als Basis für die weiteren Arbeiten gemäß BSI-Standard 200-2 „IT-Grundschutz Methodik“ [1] dienen. Gerade wo IT-Sicherheit noch von der IT-Abteilung betreut und gesteuert wird, fehlen oft wichtige Prozesse und Anwendungen.
So beschreibt das BSI, dass auch sekundäre Abhängigkeiten, wie beispielsweise die kritischen Unterstützungsprozesse/-systeme (wie Gebäudetechnik, Logistik usw.), in der Betrachtung mitberücksichtigt werden sollen – dies passiert jedoch häufig nicht. Für KRITIS heißt dies, dass nicht sichergestellt werden kann, dass man alle nötigen Maßnahmen getroffen hat, und es somit zu einem möglichen hohen Ausfallrisiko kommen kann. Daher wird dies oft mit einem schwerwiegenden Mangel während der Prüfung dokumentiert.
Man sollte somit immer sicherstellen, dass alle notwendigen IT- wie auch OT-Systeme (Operational Technology) betrachtet werden (siehe BSI-Standard 200-2, Kapitel 3.2.4).
KRITIS Projekte werden aufgesetzt, aber immer gibt es etwas mit „höherer Priorität“
Eine weitere Beobachtung während der Prüfungen war das typische Denken, „KRITIS“ als Projekt anzusehen, das man in 2–3 Monaten umsetzen kann und das dann abgeschlossen ist. Ein solches Vorgehen wiegt jedoch nur in einer falschen Sicherheit und es besteht das Risiko, dass nach diesem Projekt die Ausfallsicherheit der Systeme keine hohe Priorität mehr hat.
Betreiber kritischer Infrastrukturen sollten präventiven Maßnahmen einen hohen Stellenwert einräumen! Damit bleibt die Priorität hoch und auf diese Weise kann man möglichen Schwachstellen in der IT-Infrastruktur vorbeugen. Schwachstellen können hier auch frühzeitig identifiziert und behoben werden (siehe BSI IT-Grundschutz-Kompendium [2]: ISMS.1 Sicherheitsmanagement).
Geltungsbereich ist nicht oder nur unzureichend dokumentiert
Das BSI hat angefangen, Nachweisdokumente nicht mehr zu akzeptieren, wenn dort essenzielle Informationen fehlen. Hierzu zählt auch ein aussagekräftiger textueller und grafischer Geltungsbereich. Ohne diesen besteht das Risiko, dass die Prüfung auf der falschen Grundlage beruht und somit wichtige Systeme und Prozesse vergessen werden.
Der Geltungsbereich muss daher vor der Prüfung sorgfältig geprüft und beschrieben werden. Damit lässt sich sicherstellen, dass besonders kritische Geschäftsprozesse identifiziert sowie entsprechende Maßnahmen zum Schutz bestimmt und umgesetzt werden.
Nach der Beschreibung des Geltungsbereiches sollte er in einem zweiten Schritt in eine grafische Netzübersicht überführt werden. Dabei geht es nicht um die Vollständigkeit aller Systeme, sondern um die Schaffung eines Überblicks (siehe BSI-Standard 200-2, Kapitel 3.2.4).
Verantwortung der Informationssicherheit nicht geklärt
In der Planungsphase sollten alle Verantwortlichen (interne Bereiche sowie externe Stakeholder) bestimmt und ihre Aufgaben, Leistungen und Verantwortungsbereich klar beschrieben werden. Oft wird das jedoch nicht getan – und KRITIS bleibt somit ein reines „IT-Thema“. KRITIS zieht sich jedoch durch das gesamte Unternehmen! Ohne diesen Blick entstehen Lücken in der Verantwortung, die im schlimmsten Fall zu einem Ausfall der Umgebung führen können. Die Verantwortung für Informationssicherheit verbleibt weiterhin bei der Leitungsebene. Allerdings können die operativen Aufgaben der Informationssicherheit beispielsweise an einen Informationssicherheitsbeauftragten (ISB) delegiert werden (siehe BSI-Standard 200-2, Kapitel 3.1 und BSI IT-Grundschutz-Kompendium: ORP.1 Organisation).
Einkauf von Produkten und Dienstleistungen ohne Einbindung der Fachbereiche
Die Autoren haben oft festgestellt, dass Produkte und Dienstleistungen alleine durch den zentralen Einkauf angeschafft werden – in diesen Fällen war IT-Sicherheit oft nur ein Nebenthema. Die Fachbereiche müssen daher zwingend bei der Auswahl von Produkten und Dienstleistern eingebunden werden. Alle Geschäftsprozesse sollten bei der Prozessanalyse und -beschreibung die jeweiligen Schnittstellen zu den abhängigen Fachbereichen berücksichtigen, um das Zusammenspiel zwischen den Bereichen zu gewährleisten und einen optimalen Ablauf aller Geschäftsprozesse zu sichern. Der ISB muss sich hierzu einen Überblick über die wesentlichen Geschäftsprozesse und Fachaufgaben verschaffen, um die Bedeutung der Informationssicherheits- und IT-Risiken für diese Geschäftsprozesse zu identifizieren und darzustellen (siehe BSI-Standard 200-2, Kapitel 8.1.2).
KRITIS ist ein Thema der Unternehmensleitung, nicht der Administratoren
Im Bereich der IT-Administration kommt es häufig vor, dass Maßnahmen nicht umgesetzt werden können, da Fachbereiche ein Veto einlegen. Die IT hat hier oft keine Möglichkeit, die Umsetzung zu erzwingen. Obwohl diverse technische und organisatorische Maßnahmen unter anderem durch die IT-Abteilung umgesetzt werden, obliegt die Verantwortung dennoch der Unternehmensleitung. Daher sollte der Prozesseigner die Unternehmensleitung sein! Denn sie hat die notwendigen Mittel, um eine Umsetzung auch durchzusetzen. Dies kann aber dennoch durch entsprechende Zuständigkeiten, etwa durch den ISB oder die IT-Abteilung, geregelt und umgesetzt werden (siehe BSI-Standard 200-2, Kapitel 2.3).
Umsetzungsphase
Anschließend werden alle geplanten Maßnahmen umgesetzt – dazu gehören die Prozessanalyse und -beschreibung (zum Beispiel mit einem Turtle-Modell), Risikoanalyse (z. B. Failure Mode and Effects Analysis – FMEA), Asset-Management, IT-Strukturanalyse, Schutzbedarfsfeststellung, Awarenessmaßnahmen und Schulungen der Mitarbeiter et cetera. Auch hier zeigen sich typische Fehler:
Keine Verträge mit Dienstleistern
Obwohl bekannt ist, dass Verträge für eine Zusammenarbeit notwendig sind, werden doch einige Dienstleistungen ohne Verträge in Anspruch genommen bzw. geleistet. Dies sollten Sie jedoch vermeiden und mit jedem Dienstleister entsprechende Verträge abschließen. Im Problemfall kann es sonst dazu kommen, dass eine dringend nötige Dienstleistung oder ein Ersatzteil nicht geliefert wird. Oft erhöht sich dadurch das Risiko für einen Ausfall signifikant. Es muss dabei geklärt sein, welche sicherheitsrelevanten Aufgaben durch den externen Dienstleister und welche durch die eigenen Fachabteilungen bzw. Geschäftsprozesse abgedeckt werden (siehe BSI-Standard 200-2, Kapitel 8.3.7 und BSI IT-Grundschutz-Kompendium: OPS.3.1 Outsourcing für Dienstleister).
KRITIS ist keine Prüfung auf Papier – auch Anlagen müssen geprüft werden
Neben der Dokumentation des ISMS müssen auch die Anlagen regelmäßig überprüft werden, um gegebenenfalls Veränderungen zu erkennen und Optimierungen oder Nachbesserungen vorzunehmen. Es ist ein häufiger Irrglaube, dass sich Prüfungen nur auf die Dokumente beziehen – die technischen Prüfungen der Anlagen sollen sogar explizit die IT-Systeme umfassen. „Technische Prüfung“ bedeutet dabei eine Inaugenscheinnahme und Prüfung der Einstellungen oder der umgesetzten Prozesse. Nur durch die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und des Informationssicherheitsprozesses sowie die Prüfung der Anlagen können Aussagen über deren wirksame Umsetzung, Aktualität, Vollständigkeit und Angemessenheit getroffen werden. Das BSI hat mit dem „Leitfaden für die IS-Revision auf Basis von IT-Grundschutz“ [3] ein Verfahren entwickelt, um den Status der Informationssicherheit festzustellen und Schwachstellen identifizieren zu können (siehe BSI-Standard 200-2, Kapitel 10.1.3 und Leitfaden IS-Revision [3]).
Unzureichende physische Sicherheit
Im Bereich von KRITIS werden oft die Anforderungen an die physische Sicherheit der Systeme vernachlässigt – hierzu zählen beispielsweise die Stromversorgung sowie weitere Maßnahmen zum Schutz der Anlage selbst. Dies kann gerade bei geografisch verteilten Anlagen eine Herausforderung sein. Auch hier müssen diese Maßnahmen regelmäßig geprüft und bei Erforderlichkeit angepasst werden. Als ersten Schritt kann man die Analyse beispielsweise auf die baulich-physische Infrastruktur beschränken, das heißt auf den Schutz vor Brand, Wasser und unbefugtem Zutritt – sowie auf die ordnungsgemäße Strom- und Klimaversorgung (siehe BSI IT-Grundschutz Kompendium: INF.1 Allgemeines Gebäude).
Prozesse oft vorhanden, aber nicht dokumentiert
In der Praxis werden erforderliche Maßnahmen häufig zwar umgesetzt, aber die Dokumentation bleibt auf der Strecke. Eine angemessene Dokumentation ist jedoch für die Nachweisführung und beispielsweise auch für die Einarbeitung neuer Mitarbeiter von Vorteil und sichert das Wissen des Unternehmens dauerhaft. Die Dokumentation eines Sicherheitsprozesses sollte so aussagekräftig sein, dass auch später noch nachvollziehbar ist, was zu früheren Zeitpunkten entschieden und umgesetzt wurde. Im regelmäßigen PDCA-Zyklus sollte man in der Prüfungsphase auch die Dokumentationen prüfen und gegebenenfalls anpassen (siehe BSI-Standard 200-2, Kapitel 5).
Unzureichend gesicherte Remote-Zugänge
Remote-Zugänge sind für kritische Anlagen immer ein Risiko. Viele bekannte Angriffe nutzten die Möglichkeit von Remote-Zugängen aus, um sich unbemerkt Zugriff zu verschaffen. Oft sind Remote-Zugänge auch nicht dokumentiert oder allen relevanten Personen bekannt. So konnten sich die Autoren bei Tests per WLAN in Trafo-Häuschen einloggen und bis zum Leitstand vordringen. Remote-Zugänge sollten immer abgesichert sein! Im besten Fall sind die Zugänge abgeschaltet und werden nur bei Bedarf aktiviert. Mit einem ungesicherten Remote-Zugang können sich Unbefugte Zugang oder sensible Informationen beschaffen, was einen großen Sicherheitsvorfall hervorrufen kann (siehe BSI IT-Grundschutz Kompendium OPS.1.2.5 Fernwartung).
Kontrollphase
Die Prüfung der umgesetzten Maßnahmen auf ihren Wirkungsgrad hin kann etwas anhand von Kennzahlen erfolgen, die für jeden Prozess bestimmt werden. Auf dieser Grundlage sind alle Prozesse zu überprüfen und gegebenenfalls zu optimieren, was eine erneute Prüfung erfordert, ob die Optimierungen auch gegriffen haben. Typische Fehler in dieser Phase sind:
Notfallübungen wurden nicht durchgeführt
Business-Continuity-Management (BCM) ist ein essenzielles Thema bei KRITIS – umso wichtiger ist die regelmäßige Prüfung der Notfallmaßnahmen. Leider werden diese oft nur auf dem Papier definiert und überhaupt nicht geprüft. Ein solches Vorgehen lässt jedoch keinen Rückschluss auf die Funktionsfähigkeit der getroffenen Maßnahmen zu. Während eines Audits wird daher der Bereich BCM genauer betrachtet: Hierbei liegt ein Fokus auf Notfallübungen und wie diese durchgeführt und dokumentiert worden sind. Die regelmäßige Prüfung hilft dabei, im Ernstfall das Szenario durchgespielt zu haben und Vertrautheit mit den Abläufen herzustellen. Hierbei können sich zudem weitere Problematiken offenbaren, die bei der Planung nicht identifiziert wurden (siehe BSI-Standard 100-4 [4], Kapitel 8).
Verbesserungsphase
Alle Missstände, die in der Kontrollphase ermittelt wurden, sind in dieser Phase zu optimieren. Danach startet der Kreis wieder von vorn – die Planung wird überprüft und gegebenenfalls angepasst. Als wesentlicher Fehler zeigt sich hier:
Mängel werden nach den Prüfungen nicht abgestellt
Mängel, die man während der Prüfung entdeckt, werden anschließend gern ignoriert, da Zeit, Ressourcen, Wissen et cetera „im Moment nicht vorhanden“ sind. Gerade geringfügige Mängel werden oft erst nach 1–2 Jahren wieder angegangen. Das kann aber ein großer Fehler sein! Im Ernstfall können Sie eventuell den Ablauf Ihrer Geschäftsprozesse nicht mehr gewährleisten. Sehr gut sieht man das in der aktuellen Covid-19 Situation, in der viele Unternehmen im Notbetrieb laufen und aufgeschobene Mängel nun aus Zeit- und Gelddruck erst recht nicht angehen können. Man sollte daher eine Prioritätenübersicht der zu behebenden Mängel aufsetzen, damit entsprechende Maßnahmen sich anschließend gemäß Zeitplan umsetzen lassen (siehe BSI-Standard 200-1, Kapitel 8.3). Dies ist übrigens auch eine Anforderung – sie muss bei der Einreichung der Nachweise beigefügt werden!
Fazit
Die hier aufgeführten typischen Fehler können durch ein wirkungsvolles Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 oder IT-Grundschutz des BSI (der auch an der ISO/IEC 27001 angelehnt ist) weitestgehend minimiert werden. Dabei ist es jedoch wichtig, dass IT-Sicherheit nicht nur als Pflicht angesehen, sondern vor allem der damit verbundene Mehrwert hervorgehoben wird. Ein gut umgesetztes ISMS dient vor allem in Krisenzeiten dazu, nicht noch zusätzliche Baustellen bearbeiten zu müssen. KRITIS legt den Fokus auf bereits umgesetzte Maßnahmen – daher ist eine zügige Umsetzung ratsam. Die Maßnahmen des BSI-IT-Grundschutz-Kompendiums sind ein guter Weg, um effizient und sicher kritische Infrastrukturen abzusichern.
Daniel Jedecke ist Senior Expert mit den Schwerpunkten kritische Infrastrukturen und Informationssicherheit, Latifa El Morabet Amghar ist Senior Consultant mit den Schwerpunkten Informationssicherheit nach ISO 27001 und externe Datenschutzbeauftragte bei der HiSolutions AG.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Methodik, BSI-Standard 200-2, November 2017, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard202/ITGStandard202_node.html
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit, Edition 2020, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Leitfaden IS-Revision, Version 3.0, 2018, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v3.pdf?__blob=publicationFile&v=2
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Notfallmanagement, BSI-Standard 100-4, Version
1.0, 2008, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Orientierungshilfe branchenspezifische Sicherheitsstandards (B3S), Januar 2018, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/b3s_Orientierungshilfe_1_0.pdf