Großer Fortschritt durch kleine Schritte : Implementierungsleitfaden IT-Sicherheit (nicht nur) für KMUs im KRITIS-Umfeld
Mit der Neufassung des IT-Sicherheitsgesetzes müssen künftig mehr Organisationen als bislang konkretere technische Forderungen als zuvor erfüllen. Gerade kleine und mittlere Unternehmen (KMUs), die als Teil der kritischen Infrastrukturen (KRITIS) essenziell für das Gemeinwohl unserer Gesellschaft sind, haben jedoch nicht selten Probleme, die benötigte IT-Sicherheit in allen Bereichen aufzubauen. Der „richtige erste Schritt“ kann hier vieles erleichtern – und auch anderen Organisationen als Leitfaden dienen.
Von Daniel Jedecke und Marius Wiersch, Bonn
Bereits im Juli 2015 wurde das erste deutsche IT-Sicherheitsgesetz (IT-SiG) verabschiedet und damit einhergehend das BSI-Gesetz (BSIG) erweitert. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichende Rechte und Pflichten erhalten, um den Schutz kritischer Infrastrukturen (KRITIS) in Deutschland zu gewährleisten – zudem verpflichtet § 8a BSIG die Betreiber kritischer Infrastrukturen dazu, ihre IT-gestützten Anlagen abzusichern und dem BSI die Umsetzung der Sicherungsmaßnahmen alle zwei Jahre nachzuweisen.
Darüber hinaus wurde die BSI-Kritisverordnung (BSI-KritisV) verabschiedet, im Rahmen derer die relevanten Sektoren aus dem BSIG genauer definiert und auf zwei „Körbe“ verteilt wurden: Zum ersten gehörten im Mai 2016 die Sektoren Energie, Kommunikation, Wasser und Ernährung – im zweiten Korb wurde die BSI-KritisV im Juni 2017 um die Regelungen für Transport, Gesundheit und Finanzen erweitert. Die Verordnung konkretisiert unter anderem die jeweiligen Anlagenkategorien und Schwellenwerte der betroffenen Branchen.
Mit der Verabschiedung des IT-SiG 2.0 im Mai dieses Jahres ist mit der Abfallwirtschaft ein weiterer Sektor hinzugekommen, zu dem auch einige KMUs zählen. Außerdem werden mit dem Gesetz auch sogenannte Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) in die noch nicht näher definierte Pflicht genommen, ihre IT-gestützten Anlagen abzusichern – hierzu zählen Rüstungsfirmen, Großkonzerne, Industrie wie auch Chemie. Wann genau ein Unternehmen aus diesen Bereichen unter die neuen Regelungen fällt, wurde bis zum Redaktionsschluss dieser Ausgabe noch nicht offiziell festgelegt.
Im Rahmen des IT-SiG 2.0 wurden jedoch auch neue Anforderungen an KRITIS-Betreiber beschlossen, die nun recht konkret einzelne technische Forderungen umfassen. So werden Network-Intrusion-Detection-Systeme (NIDS) gefordert, welche neben teils nicht unerheblichen Kosten auch eine klare organisatorische Einbindung in die interne Sicherheitsorganisation erfordern, um effektiv und effizient eingesetzt werden zu können. Ein klarer Umsetzungsplan ist hier vonnöten.
Fundament im Management
Bei den meisten größeren Unternehmen und vielen KMUs dient als Basis zur Umsetzung der KRITIS-Anforderungen ein Informationssicherheitsmanagementsystem (ISMS), das nach dem IT-Grundschutz oder der ISO 27001 implementiert worden ist. Hilfreich ist auch die Möglichkeit, ein integriertes Managementsystem aufzubauen, wobei man oft auf bereits existierenden Umsetzungen von Standards aufbauen kann – beispielsweise aus Qualitätsmanagement, Umwelt- oder Arbeitsschutz. Durch den bereits existierenden Anker in anderen Standards lassen sich neue Themen „scheibchenweise“ – statt am Stück – kontrolliert einführen. Gerade bei KMUs ist diese Vorgehensweise hilfreich, um nachhaltig zu agieren, da sich „kleine“ Projekte meist leichter durchführen lassen.
Inzwischen sind viele branchenspezifische Sicherheitsstandards (sog. B3S, siehe [1]) erschienen, die das BSI zur Eignung zugelassen hat. Sie geben wesentliche Maßnahmen vor, die speziell auf die Bedürfnisse der jeweiligen KRITIS-Branchen ausgerichtet sind. Dadurch kann sich ein KRITIS-Betreiber an einer Art Punkteplan entlanghangeln, was erfahrungsgemäß gerade vielen KMUs leichter fällt. Dieses Vorgehen setzt aber ein reifes (Informationssicherheits-)Managementsystem und einen etablierten kontinuierlichen Verbesserungsprozess (KVP) voraus, der den meisten Managementsystemen innewohnt. Anders als etwa der Finanz- und Versicherungssektor hatten viele Unternehmen und besonders KMUs in dieser Richtung zuvor keinerlei regulatorische Vorgaben zu beachten. So stellen die KRITIS-Anforderungen an die IT-Sicherheit manche Unternehmen, die sich in der Vergangenheit eher ausschließlich um ihr Kerngeschäft gekümmert haben, vor gänzlich neue Fragestellungen. Beispiele hierfür sind die Lebensmittelindustrie, der öffentliche Personennahverkehr (ÖPNV) oder auch die Wasserversorger (Trink- und Abwasser).
Stolpersteine
Gerade kleinere Organisationen, die entsprechend der BSI-KritisV als Betreiber kritischer Infrastrukturen gelten, stehen vor größeren Herausforderungen, wenn sie das Projekt zur Umsetzung der KRITIS-Anforderungen angehen. Oft werden dabei bereits in einer frühen Phase Fehler begangen, welche die Umsetzung der weiteren Maßnahmen erschweren oder sogar in die falsche Richtung lenken. Im Folgenden gehen die Autoren daher kurz auf die von Prüfern und Beratern typischerweise gefundenen Fehler ein.
Einer der häufigsten und gleichzeitig gravierendsten Punkte ist die klare Verantwortlichkeit für die Informationssicherheit. Gerade KMUs tun sich schwer, einen Informationssicherheitsbeauftragten (ISB) zu benennen. In einem Unternehmen mit 200 Mitarbeitern wird die Benennung einer solchen Stabsstelle, die keinen direkt ersichtlichen Mehrwert für das Unternehmen bringt, häufig als Luxus angesehen. Wird dennoch ein ISB benannt, handelt es sich oft um eine 10%-Stelle eines IT-Mitarbeiters, der zumeist „rechts unten“ im Organigramm versteckt ist – ohne Vortragsrecht bei der Geschäftsführung. Manche technische Maßnahmen kann ein so platzierter ISB bei Zustimmung seines Vorgesetzten zwar durchführen – spätestens bei dem Versuch, organisatorische Änderungen (möglicherweise unternehmensweit) umzusetzen, stößt er aber an seine Grenzen.
Eine weitere Ressourcenfrage betrifft die IT-Abteilung selbst: Denn diese wird häufig ausschließlich als Erfüllungsgehilfe angesehen und findet in den Augen der Geschäftsführung ausschließlich dann Beachtung, wenn etwas nicht funktioniert. Im Zuge der Beratung findet man vereinzelt Fälle, in denen die Frage aufkam, ob die eigentlich eh schon zu klein geratene IT-Abteilung nicht noch weiter „optimiert“, sprich verkleinert, werden könnte.
Eine organisch gewachsene IT geht bei kleineren Unternehmen zudem häufig mit Inselwissen bei den langjährigsten Mitarbeitern einher – bei mangelnder Dokumentation der Prozesse, Anwendungen und IT-Systeme. Bei Prüfungen findet man häufig Ansprechpartner, die zwar die IT-Infrastruktur und ihre Prozesse erklären, aber überhaupt nichts Schriftliches vorweisen können. Im Umkehrschluss bedeutete das ein immanentes Risiko, weil keine zentrale Übersicht existiert, wenn die Ansprechpartner ausfallen. Infolge solcher attestierten Prüfmängel und ihrer anschließenden Bereinigung werden zudem nicht selten eine Vielzahl von Risiken, Fehlkonfigurationen und auch Optimierungsmöglichkeiten identifiziert, die erst durch die dann erstellten Netzpläne, Asset-Inventare und Prozessbeschreibungen möglich wurden.
Eine weitere Quelle, die IT-Abteilungen häufig das Leben schwer macht, ist die ungeregelte Beschaffung von Produkten und Dienstleistungen: Nicht selten kann jede Abteilung für sich im Rahmen ihres Budgets entscheiden, was angeschafft wird. Ein Beschaffungsprozess, der eine Abstimmung im Sinne der Informationssicherheit oder Systemarchitektur vorsieht, fehlt häufig. Als Folge davon wird die IT unregelmäßig beispielsweise mit der Einbindung weiterer IT-Systeme oder Cloud-Lösungen konfrontiert.
Neben diesen beschriebenen Fällen gibt es eine Vielzahl weiterer „Klassiker“, die viele geprüfte Unternehmen gemein haben, die aber den Rahmen dieses Beitrags sprengen würden. Kurz zu nennen wären hier etwa der nicht oder nur unzureichend beschriebene/abgegrenzte Geltungsbereich der kritischen Infrastruktur, fehlende Verträge mit Dienstleistern oder unzureichend gesicherte Remotezugänge. Eine Erstprüfung von Betreibern kann im ungünstigsten Falle schnell eine dreistellige Zahl an Abweichungen von den KRITIS-Anforderungen aufdecken – daher ist das richtige Vorgehen (gerade für KMUs) entscheidend, um die Anforderungen effektiv und vor allem effizient erfüllen zu können.

Abbildung 1: Schrittweises Vorgehen in Richtung KRITIS-Konformität
Startpunkte
Das im Folgenden beschriebene Vorgehen (vgl. Abb. 1) hat sich nach Erfahrung der Autoren bewährt, weil es unabhängig von der Größe des Unternehmens ein schnelles und zielgerichtetes Vorankommen im Bestreben der KRITIS-Konformität ermöglicht. Mithilfe dieser Vorgehensweise lassen sich bereits mit wenigen Ressourcen große Schritte in Richtung KRITIS-Konformität machen.
Als erster Schritt empfiehlt sich die Durchführung einer Gap-Analyse: Ziel ist die Erfassung des prozessualen Ist-Zustands, um herauszufinden, welche Prozesse sich auf Basis der aktuellen Gegebenheiten überhaupt auf die kritische Dienstleistung auswirken. Hierbei werden wichtige Fachaufgaben und Geschäftsprozesse identifiziert und auch der jeweilige Schutzbedarf in Bezug auf die Informationssicherheit festgelegt sowie die Zusammenhänge zwischen Geschäftsabläufen und verarbeiteten Informationen aufgedeckt. Dies wird unter der Berücksichtigung der Geschäftsziele und Organisationsstruktur, der möglichen Zusammenarbeit mit Externen sowie des strategischen Kontexts durchgeführt.
Eine Gap-Analyse kann man beispielsweise anhand der „Konkretisierung der Anforderungen“ des BSI oder – wenn vorhanden – dem entsprechenden B3S durchführen [1]. Hierzu benötigt man meist nur zwischen zwei und drei Tagen Aufwand. Das Ergebnis ist eine Liste der abgedeckten und noch offenen Maßnahmen, welche sich mit geeigneter Priorisierung als „Roadmap“ für das weitere Vorgehen nutzen lässt.
Anschließend folgt der erste Schritt im Sinne der Umsetzung der KRITIS-Anforderungen: Die Leitlinie zur Informationssicherheit und zum Schutz der kritischen Infrastruktur umfasst neben dem klaren Bekenntnis hierzu die Übernahme der Verantwortung durch die Geschäftsführung. Ziel sollte es sein, diese Leitlinie mit den notwendigsten Inhalten zu erstellen, um eine gemeinsame Grundlage für die Kommunikation zwischen Geschäftsführung, Mitarbeitenden und Externen zu schaffen. Dazu gehören neben möglichen Dienstleistern auch die an der Sicherheit der kritischen Infrastruktur „interessierten Parteien“, um gegebenenfalls auch zusätzliche Anforderungen zu identifizieren.
Als letzter Punkt in diesem Schritt ist der Anwendungsbereich festzulegen – alle zur kritischen Infrastruktur gehörigen Anlagen sollten benannt werden. Einer Anlage sind dabei sämtliche vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb erforderlich sind. Darüber hinaus sind zum Betrieb erforderliche Nebeneinrichtungen, die Einfluss auf die kritische Dienstleistung nehmen, ebenfalls zu berücksichtigen. Wurde im Vorfeld eine Gap-Analyse durchgeführt, sollte sich die Definition des Anwendungsbereichs schnell umsetzen lassen.
Das Asset-Management ist meist der aufwendigste Punkt bei der Implementierung eines ISMS beziehungsweise der Umsetzung von KRITIS-Anforderungen und setzt zwei Schritte voraus: Um alle relevanten Maßnahmen zu ermitteln, sollte man im Rahmen einer Strukturanalyse prüfen, welche Zielobjekte, kritischen Dienstleistungen und Anlagen vorhanden sind. Um anschließend zu ermitteln, in welchem Umfang die Maßnahmen umgesetzt werden müssen, sind bei allen Zielobjekten im Rahmen einer Schutzbedarfsfeststellung die Anforderungen an die Sicherheitsziele zu identifizieren. Nach der Strukturanalyse und Schutzbedarfsfeststellung trägt man die Ergebnisse in ein Asset-Verzeichnis ein. Auf Basis dieser Daten müssen nun KRITIS- und Nicht-KRITIS-Assets identifiziert und priorisiert sowie Verantwortliche für sie benannt werden. Für die identifizierten Assets selbst sind entsprechend der Priorisierung die benötigten Dokumentationen zum Umgang zu erstellen und die Asset-Lifecycles zu implementieren.
Für KMUs ist es erfahrungsgemäß aber ebenfalls statthaft, mit einem einfachen Asset-Verzeichnis zu starten – im Zweifel auch in Form einer Excel-Datei. Wichtig ist hierbei, dass daraus Verantwortlichkeiten und gegebenenfalls die Zugehörigkeit zum KRITIS-Anwendungsbereich hervorgehen. Eine solche rudimentäre Dokumentation für die relevanten Bereiche genügt im ersten Anlauf und kann als solider Startpunkt für weitere Verfeinerungen dienen.
Risiko-Assessment sowie Risikobehandlung sind wichtige Schritte zur Identifizierung der tatsächlichen Gefahr und zur Aufdeckung bisher nicht bekannter Risiken. In der Praxis gestaltet sich dies aber als recht aufwendig, besonders bei knapper Ressourcenlage. KRITIS fordert beim Risikomanagement die Berücksichtigung des All-Gefahren-Ansatzes, der üblicherweise in Form einer Risikoanalyse auf Basis des vom BSI bereitgestellten Gefährdungskatalogs der „Elementaren Gefährdungen“ durchgeführt wird.
Im Hinblick auf KMUs und aufgrund der mittlerweile hohen Anzahl entwickelter B3S kann man sich das Leben hier ein wenig einfacher machen: Sowohl die B3S als auch andere Standards (bspw. VdS 10000) bieten feste Kriterien und Risikokataloge für die Informationssicherheit, mit denen man arbeiten kann. Hier, wie auch beim Asset-Management, sollte der Fokus auf der Identifizierung der kritischen Systeme liegen.
Der finale Punkt des Implementierungsleitfadens für KMUs besteht in der Maßnahmenbehandlung: Basierend auf den Ergebnissen des Risikomanagements identifiziert man Maßnahmen zur Verminderung der Risiken. Dieser Punkt stellt KMUs oft vor Herausforderungen, da sich – vor allem nach den ersten Risikoanalysen – oft eine wahre Fülle an erforderlichen Maßnahmen ergibt. Mit Hinblick auf anstehende KRITIS-Prüfungen stellt sich daher oft die Frage nach der geeigneten Priorisierung.
Um möglichst effizient und effektiv vorzugehen, sollte man zuerst „Quick Wins“ identifizieren: Hierzu zählen alle Maßnahmen, die einen schnellen Sicherheitsgewinn erzielen und hierbei keinen allzu großen Aufwand verursachen – und ebenfalls diejenigen Maßnahmen, die zwar ein wenig umfangreicher sind, aber an vielen Stellen in der kompletten kritischen Infrastruktur viele Risiken beheben. Ein klassischer Kandidat wäre etwa das Identitäts- und Berechtigungsmanagement, das durch eine zentrale Umsetzung einer Multi-Faktor-Authentifizierung die Risiken entlang der kompletten Erbringung einer kritischen Dienstleistung senkt.
Sind geforderte Maßnahmen aufgrund äußerer oder innerer Umstände nicht umsetzbar, sollte man prüfen, ob sich das ursprüngliche Risiko nicht anderweitig verringern lässt. Häufig ermöglichen Prozessveränderungen oder organisatorische Anpassungen Raum für eine Risikominimierung oder gar -vermeidung.
Ein häufiger Knackpunkt ist bei KMUs, wie bereits angesprochen, das Fehlen von Ressourcen: Neben technischem Personal fehlen häufig auch organisatorisch geschulte Mitarbeiter, die Richtlinien und Arbeitsanweisungen erarbeiten können. Hier kann der langfristig günstigste Weg in Richtung KRITIS-Konformität der Einsatz externer Dienstleister sein, die eine erste Starthilfe geben und helfen können, den Weg in die richtige Richtung einzuschlagen.
Fazit:
Die Umsetzung der KRITIS-Anforderungen erfordert in der Regel einen sehr großen Zeit- und Ressourcenaufwand, der als Gegenleistung die Erhöhung der Sicherheit und Verfügbarkeit der kritischen Infrastrukturen bietet. Viele kritische Dienstleistungen werden durch KMUs erbracht, die vor dem IT-SiG und vor allem der Verschärfung durch das IT-SiG 2.0 noch kaum oder keine Berührungspunkte mit den Themen der Informationssicherheit hatten und daher bar aller entsprechender Infrastruktur oder geplanter Ressourcen sind. Durch die perspektivische Senkung der Schwellenwerte in der BSI-KritisV werden zukünftig immer mehr – und auch kleinere – KMUs vor dieser Herausforderung stehen.
Gleichzeitig kommen auch aus dem Bereich der Digitalisierung immer mehr Anforderungen auf die Unternehmen zu – und zudem erhöht sich die Anzahl der Angriffe durch immer bessere und automatisierte Attacken. IT-Sicherheit ist daher vergleichbar mit einem Sicherheitsgurt oder einem Airbag: Auch die haben am Anfang viel extra gekostet und keiner wollte sie haben – irgendwann wurden sie jedoch Pflicht und sind heute nicht mehr wegzudenken. In der IT wird dies ebenfalls der Fall sein!
Der hier aufgezeigte Weg eines Implementierungsleitfadens ermöglicht es gerade KMUs, aufwandsarme erste Schritte zu gehen, um in kurzer Zeit möglichst hohe Sicherheitsgewinne zu erziehen und dabei in der Folge bei einer Prüfung nach § 8a BSIG schwerwiegende Mängel zu vermeiden.
Daniel Jedecke ist Senior Expert bei der HiSolutions AG mit den Schwerpunkten kritische Infrastrukturen und Informationssicherheit. Marius Wiersch ist Managing Consultant bei der HiSolutions AG mit den Schwerpunkten Informationssicherheit, Risikomanagement und kritische Infrastrukturen.