Sektorspezifische Fragen und Antworten
-
Bei dieser Definition der gemeinsamen Anlage, die unabhängig von der räumlichen Distanz der jeweiligen Anlagen ist, handelt es sich um eine Sonderregelung der BSI-KritisV, von der ausschließlich der Sektor Informationstechnik und Telekommunikation betroffen ist.
Verbindungen zwischen Anlagen im Sinne von Anhang 4 Teil 1 Nummer 6 Satz 1 Buchstabe a BSI-KritisV sind beispielsweise:
- betreibereigene TK-Verbindungen,
- VPN-Verbindungen,
- gemeinsame Lastverteilungen,
- gemeinsame Leitstellen,
- Zugriff auf einen gemeinsamen Speicher,
- Kundenadministrationsschnittstellen,
- Wartungs- bzw. Administrationsschnittstellen des Betreibers und/oder
- ähnliche technische oder administrative Schnittstellen.
Anlagen sind auch dann untereinander verbunden, wenn diese ohne die Verbindung autark weiter operieren könnten.
-
Bei dieser Definition der gemeinsamen Anlage, die unabhängig von der räumlichen Distanz der jeweiligen Anlagen ist, handelt es sich um eine Sonderregelung der BSI-KritisV, von der ausschließlich der Sektor Informationstechnik und Telekommunikation betroffen ist.
Gemeinsame Betriebseinrichtungen im Sinne von Anhang 4 Teil 1 Nummer 6 Satz 1 Buchstabe a BSI-KritisV sind beispielsweise:
- gemeinsame Steuerung der Betriebstechnik (z.B. Zutrittssteuerung, Klimatisierung, Orchestrierung),
- gemeinsames Monitoring,
- gemeinsame Einrichtung zur Störungs-/Vorfallsbewältigung und/oder
- gemeinsame genutzter Speicher/Rechenleistung.
Dabei ist es unerheblich, ob die gemeinsame Betriebseinrichtung durch andere Redundanzmaßnahmen substituiert werden könnte und in welchem Ausmaß die verbundenen Anlagen betroffen wären, wenn die gemeinsame Betriebseinrichtung ausfällt oder beeinträchtigt wird. Anlagen sind auch dann über eine gemeinsame Betriebseinrichtung verbunden, wenn diese nur bedarfsweise oder unregelmäßig genutzt wird. Beispielsweise genügt es, wenn
- die Steuerung der Betriebstechnik mehrerer Anlagen abends an eine gemeinsame Betriebseinrichtung zur nächtlichen Steuerung übergeben wird,
- mehrere Anlagen durch eine gemeinsame Betriebseinrichtung verbunden sind, die nur bei Vorfällen auf den Betrieb einwirkt und zur Unterstützung der Rechenzentren dient, und/oder
- mehrere Anlagen durch verschiedene redundante Betriebseinrichtungen verbunden sind, die abwechselnd den Betrieb der Rechenzentren steuern (z.B. Abdeckung verschiedener Zeitzonen).
-
Der besondere Teil der amtlichen Begründung der BSI-Kritisverordnung enthält folgende Erläuterung zu § 5 Absatz 3 der Verordnung: "Die kritische Dienstleistung Datenspeicherung und -verarbeitung wird in den Bereichen Housing, IT-Hosting und Vertrauensdienste unterteilt. Im Bereich Housing werden Räume, Elektrizität, Kommunikationsverbindungen und Kühlung bereitgestellt. Im Bereich IT-Hosting werden dem Endkunden unterschiedliche Dienste angeboten, die sich in 'Infrastructure as a Service' (IaaS – z. B. ((virtuelle)) Server), 'Plattform as a Service' (PaaS – z. B. Webhosting, LAMP-Systeme) und 'Software as a Service' (SaaS) unterteilen lassen."
Quelle: Begründung der BSI-KritisV (Seite 22 im Dokument, Seite 43 im PDF)
Zur Kritischen Infrastruktur zählen damit die physischen Server, die betriebsrelevanten Systeme (z. B. Virtualisierungsplattform, Monitoring, Betriebssystem) sowie die virtualisierten Server.
Darüber hinaus ist der Betreiber der Kritischen Infrastruktur verantwortlich für die Nutzbarkeit des angebotenen Hosting-Produkts im Sinne der mit den Kunden vereinbarten Service Level Agreements (SLAs). Hierzu zählen beispielsweise vom Betreiber der Kritischen Infrastruktur angebotenen Kundenschnittstellen, durch die die Produkte konfiguriert, gesteuert und überwacht werden oder durch die auf sie zugegriffen werden kann. Dies gilt ebenfalls für die im Bereich SaaS angebotenen Dienste/Produkte.
Grafische Darstellung des typischen Geltungsbereichs im Software-as-a-Service-Umfeld Quelle: BSI