Individuelle KRITIS-Prüfgrundlage auf Basis von IT-Grundschutz

In Zeiten der zunehmenden Digitalisierung unserer Gesellschaft eröffnen sich auch immer weitere Angriffsflächen. Cyber-Angriffe auf Unternehmen müssen mittlerweile nicht mehr als die Ausnahme, sondern als die Regel angesehen werden – laut aktuellen Studien sind etwa 45 % der Unternehmen regelmäßig Opfer von Cyber-Angriffen.

Auf die Sicherheit der Infrastruktur sollte man besonders achten. Durch das IT-Sicherheitsgesetz und besonders die Verpflichtung von Betreibern kritischer Infrastrukturen (KRITIS) zum Nachweis ihrer Sicherungsmaßnahmen für IT-gestützte Anlagen gemäß § 8a BSI-Gesetz (BSIG) wurden hierfür die Weichen gestellt. Das IT-Sicherheitsgesetz ist hierbei die nationale Umsetzung der europäischen Richtlinie EU 2016/1148 – durch das BSIG hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichende Rechte sowie Pflichten erhalten, um den Schutz von kritischen Infrastrukturen in Deutschland zu gewährleisten.

Im Rahmen der BSI-Kritisverordnung (KritisV) wurden zwei „Körbe“ definiert, denen die verschiedenen KRITIS-Sektoren angehören. Zu den regulierten Sektoren zählen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Nicht alle Sektoren werden jedoch direkt durch das BSI überwacht: Die Bereiche Energie und Telekommunikation werden durch die Bundesnetzagentur (BNetzA) betreut – die Bereiche Staat und Verwaltung sowie Medien und Kultur fallen nicht direkt unter die KritisV und werden separat betreut.

Die Prüfung, ob ein Betrieb unter die Verordnung fällt, muss der Betreiber selbstständig anhand des Gesetzes durchführen. Beispielsweise definiert die KritisV in Anhang 6, dass ein Autorisierungssystem einer Bank eine kritische Dienstleistung (kDL) darstellt, sofern es mehr als 15 Millionen Transaktionen pro Jahr durchführt.

Anforderungen

Zu prüfen sind IT-gestützte Anlagen, mit denen kritische Dienstleistungen erbracht werden – überschreiten Anlagen die in der BSI-Kritisverordnung aufgeführten Schwellenwerte, handelt es sich um kritische Infrastrukturen gemäß § 8a BSIG (vgl. [1,2]). In diesem Fall hat der Betreiber dafür Sorge zu tragen, dass die Anlagen mit angemessenen Sicherheitsmaßnahmen nach dem „Stand der Technik“ abgesichert werden. Im Rahmen von KRITIS versteht man darunter Normen und Branchenstandards oder auch vergleichbare Verfahren sowie Einrichtungen und Betriebsweisen, die bereits mit Erfolg in der Praxis erprobt wurden.

Im Gegensatz zu etablierten Risikomanagementsystemen gilt für die Absicherung kritischer Infrastrukturen eine Einschränkung bei der Behandlung von Risiken: Der Fokus bei KRITIS liegt auf der Verfügbarkeit der betroffenen Anlagen – die Anforderungen dienen primär dem Schutz der Bevölkerung und nur nachgelagert dem Schutz der Unternehmen. Damit sind Risikostrategien wie Risikotransfer oder Risikoakzeptanz, welche einen Ausfall prinzipiell erlauben würden, nicht zugelassen; eine Versicherung ist schließlich kein angemessenes Werkzeug zur Vermeidung von Versorgungsengpässen.

Hinzu kommt, dass für die Absicherung der IT nicht nur reine IT-Risiken, wie zum Beispiel Cyber-Angriffe, betrachtet werden sollen. Auslöser für informationstechnische Störungen können auch physische Bedrohungen sein, weshalb der sogenannte All-Gefahrenansatz bei der Risikobetrachtung gefordert wird.

Das bedeutet, dass alle relevanten Bedrohungen und Schwachstellen der IT-Systeme, Komponenten und Prozesse, die zur Erbringung einer kritischen Dienstleistung notwendig sind, behandelt werden müssen.

Nachweispflicht

Betreiber kritischer Infrastrukturen sind gemäß § 8a BSIG Absatz 1 verpflichtet, mindestens alle zwei Jahre die Erfüllung der Anforderungen nachzuweisen. Die Nachweise sind basierend auf einer geeigneten Prüfungsgrundlage zu erstellen und können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Ausnahmen für diese Pflicht stellen die Betreiber von öffentlichen Telekommunikationsnetzen dar, welche durch die Bundesnetzagentur alle zwei Jahre geprüft werden. Auch Betreiber von Energieversorgungsnetzen und Energieanlagen unterliegen bereits speziellen Anforderungen nach § 11 EnWG und fallen somit nicht unter die Nachweispflicht für KRITIS-Betreiber.

Prüfungsgrundlage

Zur Vorbereitung der Prüfung gemäß § 8a BSIG ist also eine geeignete Prüfungsgrundlage zu entwickeln, um Art und Umfang zu bestimmen. Die Prüfungsgrundlage wird vorab zwischen dem Betreiber und der prüfenden Stelle abgestimmt und soll den „Stand der Technik“ widerspiegeln und organisatorische sowie technische Vorgaben enthalten. Weiterhin sollte die Prüfungsgrundlage „prüfbar“ sein, zum Beispiel einem etablierten Standard entsprechen. Hierbei lässt sie sich typischerweise in einen „allgemeinen“ Teil zum Informationssicherheitsmanagement (ISMS) und einen branchenspezifischen Teil untergliedern. Für die Prüfung nach § 8a BSIG hat sich dieses Vorgehen auch in der Praxis als zweckmäßig erwiesen.

Prüfungsgrundlagen können individuell zusammengestellt werden. So kann zum Beispiel eine bestehende Umsetzung von ISO 27001 auf der Basis von IT-Grundschutz sowie die Umsetzung von branchenspezifischen und technischen Standards als Grundlage dienen. Da für den branchenspezifischen Teil nicht immer einheitliche Standards vorhanden oder diese aus bestimmten Gründen nicht praktikabel sind, gibt es noch eine weitere Möglichkeit, den branchenspezifischen Teil der Prüfungsgrundlage zu erfüllen: Entsprechend § 8a Absatz 2 BSIG gibt es die Möglichkeit, für die KRITIS-Prüfung branchenspezifische Sicherheitsstandards (B3S) zu nutzen. Diese können von Branchenverbänden erstellt und von den betreffenden Betreibern als Teil einer Prüfungsgrundlage genutzt werden.

Das BSI hat zur Erstellung eines B3S eine „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S)“ bereitgestellt [3]. Das erste Kapitel formuliert die Anforderungen zur Beschreibung des Geltungsbereichs und der Schutzziele. Die Kapitel zwei und drei geben Hinweise zur Beschreibung der branchenspezifischen Gefährdungslage und der entsprechenden Richtlinien zur Risikobehandlung. In Kapitel vier werden die Anforderungen an die Angemessenheit und Eignung von Sicherheitsmaßnahmen erläutert. Im abschließenden Kapitel hat das BSI die durch den B3S abzudeckenden Themen aufgelistet und beschrieben – zum Beispiel ISMS, Continuity-Management für die kritische Dienstleistung, bauliche/ physische Sicherheit und branchenspezifische Technik.

Vergleicht man die Anforderungen der Orientierungshilfe (OH) an einen B3S mit den Anforderungen an die IT-Sicherheit nach IT-Grundschutz-Vorgehensweise, so erkennt man einen sehr hohen Überdeckungsgrad – ein großer Teil der Anforderungen an eine Prüfungsgrundlage lässt sich daher durch das IT-Grundschutz-Vorgehen abhandeln. Eine mögliche Zusammenstellung für eine Prüfungsgrundlage zeigt Abbildung 1.

Nutzung des IT-Grundschutzes

Die neue IT-Grundschutz-Methodik sieht bekanntlich drei verschiedene Herangehensweisen vor:

• die Basisabsicherung, welche die Mindestabsicherung knapp über einem fahrlässigen Vorgehen vorsieht,
• die Standardabsicherung, welche vergleichbar mit dem „alten“ IT-Grundschutz ist,
• sowie die Kernabsicherung, die den Schutz der „Kronjuwelen“ eines Unternehmens zum Ziel hat.

Alles, was sich außerhalb des Geltungsbereichs der „Kronjuwelen“ befindet, ist bei der Kernabsicherung nur interessant, soweit es Einfluss auf den Geltungsbereich hat. Für die Absicherung der kritischen Dienstleistungen bietet sich somit die Kernabsicherung an, die im Folgenden zunächst als Basis für den allgemeinen Teil einer Prüfungsgrundlage vertiefend betrachtet wird.

Die Kernabsicherung der neuen IT-Grundschutz-Methodik ist hierbei entsprechend den Anforderungen der Orientierungshilfe anzupassen: Die kritischen Dienstleistungen sind dabei die Geschäftsprozesse, die als „Kronjuwelen“ betrachtet werden. Die bestehenden Bausteine bilden den größten Teil des allgemeinen Teils der benötigten Prüfungsgrundlage ab. Durch das Erstellen branchenspezifischer Bausteine oder gleichwertiger Risikoanalysen entsprechend der IT-Grundschutz-Methodik kann man die fehlenden Maßnahmen identifizieren und entsprechend der IT-Grundschutz-Methodik anwenden.

Folgende Ergänzungen zur regulären Grundschutz-Vorgehensweise müssen für die Erweiterung zur Prüfungsgrundlage beachtet werden:

• OH 1.3 Beschreibung des gesetzlichen Rahmens: Entsprechend der Orientierungshilfe kann darauf hingewiesen werden, dass die Einhaltung bestimmter gesetzlicher Vorgaben, wie zum Beispiel Aspekte des Datenschutzes, nicht von Bedeutung für die Aufrechterhaltung der kritischen Dienstleistung (kDL) sind und daher nicht betrachtet werden.
• OH 1.4 Definition von KRITIS-Schutzzielen: Diese werden für jede kDL definiert und können auch zusammen mit dem BSI oder der zuständigen Aufsichtsbehörde ausformuliert werden.
• OH 5.2 Business-Continuity-Management (BCM) für kDL: Für den Nachweis eines geeigneten BCM könnte ein Standard wie BSI 100-4 Anwendung finden.
• OH 5.4 Robuste / resiliente Architektur: Die Prinzipien für eine resiliente Architektur der kDL müsste beschrieben werden.
• Darüber hinaus müssen KRITIS-Anforderungen in die bestehenden Bausteine eingebunden werden: Dies betrifft zum Beispiel die Erweiterung der Meldewege, entsprechend der Pflicht zur Meldung von IT-Sicherheitsvorfällen gemäß § 8b BSIG und der gemäß Grundschutz implizit geforderten Beobachtung der Gefährdungslage nach OH 3.4 und OH 3.5.

In den einzelnen Phasen der Kernabsicherung sind gemäß dem IT-Grundschutzvorgehen bei der Anpassung zur allgemeinen Prüfungsgrundlage folgende Punkte zu berücksichtigen:

Definition Informationsverbund

• OH 1.1 Geltungsbereich: Es wird zusätzlich eine abstrakte Beschreibung der grundlegenden Prozesse und der maßgeblichen Infrastrukturen gefordert.
• OH 1.2 Geltungsbereich umfasst auch extern erbrachte Leistungen: Alle Dienstleistungen, die direkt zur Erbringung der kDL gehören oder deren Ausfall, Störung oder Angriff zu einer Beeinträchtigung der kDL führen, müssen berücksichtigt werden.

Strukturanalyse

Bei der Strukturanalyse werden alle Komponenten (beispielsweise die Prozesse, Anwendungen, IT-Systeme, Infrastruktur und Netze) des Informationsverbundes erfasst.

Schutzbedarfsfeststellung

Bei der Ableitung der IT-Schutzziele/ -bedarfe müssen zusätzlich zu den klassischen IT-Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit auch die KRITIS-Schutzziele berücksichtigt werden.

Modellierung

In dieser Phase werden mithilfe der Bausteine aus dem IT-Grundschutz-Kompendium die IT-Systeme, Komponenten und Prozesse der kDL nachgebildet. Bei der Auswahl der Bausteine sind gegebenenfalls zusätzliche Anforderungen an die eingesetzte Technik zu erfüllen – entweder in Form eines zusätzlichen Bausteins oder einer Risikoanalyse.

IT-Grundschutz Check

• OH 2.1 All-Gefahrenansatz: Entsprechend dem All-Gefahrenansatz müssen alle Bedrohungen und Schwachstellen berücksichtigt werden.
• OH 4.1 Angemessenheit der Maßnahmen: Bei der Prüfung des Sicherheitsniveaus entfällt die Wirtschaftlichkeit als Argument für die Angemessenheit der Maßnahmen – anders gesagt wird diese in Verhältnis zum Ausfall oder der Beeinträchtigung der kritischen Infrastruktur gesetzt.

Risikoanalyse und weiterführende Sicherheitsmaßnahme

Wie bereits angemerkt, bewirkt OH 3.2 eine Beschränkung der Behandlungsalternativen für Risiken: Risikoakzeptanz und Risikotransfer (z. B. auf Dienstleister) sind nicht möglich – die volle Verantwortung für eine geeignete Risikobehandlung bleibt beim Betreiber der kDL.

Branchenspezifischer Teil

Um das ISMS auf Basis von IT-Grundschutz auch als branchenspezifischen Teil der Prüfungsgrundlage zu verwenden, kann man verschiedene weitere Standards und Normen heranziehen. Im Bereich von Banken könnten dies etwa die „Bankaufsichtliche Anforderungen an die IT (BAIT)“ [4] sein, bei Versicherungen etwa die aktuell in der Konsultation befindliche „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ [5].

Auch für viele weitere Branchen gibt es bereits Leitfäden, die hier herangezogen werden können und sollten. Darüber hinausgehende Erweiterungen der Prüfungsgrundlage können aus der branchenspezifischen Gesetzgebung oder entsprechend den Hinweisen aus der Orientierungshilfe entnommen werden.

Fazit

Im Rahmen der Prüfung gemäß § 8a BSIG haben sowohl KRITIS-Betreiber als auch Prüfer vielfache Möglichkeiten, die geforderten Nachweise zu erbringen.

Sofern bereits eine Umsetzung nach IT-Grundschutzkatalog oder IT-Grundschutzkompendium vorliegt, ist eine Anpassung an die erweiterten Anforderungen von KRITIS gut integrierbar. Dabei muss nicht zwingend bereits eine Zertifizierung vorliegen – wichtig ist, dass der Geltungsbereich die IT-gestützten Anlagen erfasst, mit denen kritische Dienstleistungen erbracht werden, und der Schutzbedarf entsprechend angepasst worden ist.

Marius Wiersch ist Senior Consultant, Daniel Jedecke Managing Consultant im Security-Consulting der HiSolutions AG

Literatur

[1] Ingrid Dubois, Die Umsetzung des IT-Sicherheitsgesetzes, Einblicke in den Entwurf einer Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz, 2016# 1, S. 64

[2] Ingrid Dubois, BSI-KritisV – Version 2.0 ß, Zur Anpassung der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz, 2017# 1, S. 60 [

3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Version 1.0, Januar2018, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/b3s_Orientierungshilfe_1_0.html

[4] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben10/2017(BA), November2017, www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_171106_BAIT.html

[5] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Versicherungsaufsichtliche Anforderungen an die IT (VAIT), Konsultation 04- 2018, März 2018, www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2018/kon_0418_vait_va.html