Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Tiefenprüfungen

Erläuterungen und Hinweise zur anlasslosen Prüfung
gemäß § 8a Absatz 4 BSIG

1. Zielgruppe und Inhalt

  • Diese Webseite richtet sich an registrierte Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) im Sinne von § 2 Absatz 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) i. V. m. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV).
  • Sie umfasst Erläuterungen und Hinweise zur anlasslosen Prüfung nach § 8a Absatz 4 BSIG („Tiefenprüfung“).

nach oben

2. Anlasslose Tiefenprüfung

a. Rechtsgrundlage einer Tiefenprüfung

  • Das BSI kann sich auf Grundlage von § 8a Absatz 4 BSIG bei Betreibern Kritischer Infrastrukturen durch eine Tiefenprüfung vergewissern, ob bzw. inwieweit diese die Anforderungen nach § 8a Absatz 1 BSIG einhalten.
  • Ab Mai 2023 wird das BSI einen weiteren Fokus auf die Systeme zur Angriffserkennung im Sinne des § 8a Absatz 1a BSIG setzen.
  • Die KRITIS-Betreiber sind verpflichtet, die Tiefenprüfung zu unterstützen und an dieser mitzuwirken.
  • Das BSI kann Gebühren nach der BSI-Kostenverordnung für eine Tiefenprüfung erheben, dies jedoch nur, wenn Anhaltspunkte vorliegen, die berechtigte Zweifel daran begründen, dass ein KRITIS-Betreiber seinen Pflichten nach § 8a Absatz 1 BSIG nicht nachkommt. In einer anlasslosen Tiefenprüfung ist dies nicht der Fall, so dass hier grundsätzlich keine Gebühren anfallen.
  • Das BSI kann sich qualifizierter und unabhängiger Dritter bedienen, um eine Tiefenprüfung durchzuführen. Das BSI stellt sicher, dass die beauftragte prüfende Stelle angemessen qualifiziert, unabhängig und zur Verschwiegenheit verpflichtet ist.
  • Das BSI bleibt über den gesamten Verlauf der beauftragten Tiefenprüfung für diese verantwortlich und behält sich vor, einzelne Prüfungshandlungen zu begleiten.
  • Alle Mitwirkungs- und Unterstützungspflichten eines KRITIS-Betreibers gelten gegenüber den beauftragten Dritten genauso, wie gegenüber dem BSI.

b. Abgrenzung zur Nachweisprüfung nach § 8a Absatz 3 BSIG

  • Die Tiefenprüfung ist ein eigenständiger Prüfvorgang, der sich von der Nachweispflicht gemäß § 8a Absatz 3 BSIG unterscheidet. Letztere verpflichtet den KRITIS-Betreiber dazu, dem BSI alle zwei Jahre einen geeigneten Nachweis vorzulegen, der belegt, dass die KRITIS-Betreiber ihren Pflichten aus § 8a Absatz 1 BSIG nachgekommen sind. Eine Tiefenprüfung durch das BSI ersetzt diese Nachweispflicht allerdings NICHT. Auch kann eine Tiefenprüfung eine versäumte Pflicht i. V. m. § 8a Absatz 3 BSIG weder heilen noch ersetzen.
  • Bei anlasslosen Tiefenprüfungen nehmen die Prüfenden vorab grundsätzlich keine Einsicht in die Unterlagen zur letzten Nachweisprüfung. Dies dient der Unvoreingenommenheit der Prüfenden, sowohl im BSI als auch bei den durch das BSI beauftragten Dritten. Davon unbenommen ist die Möglichkeit der Prüfenden, während einer bereits laufenden Tiefenprüfung einzelne Dokumente der letzten Nachweisprüfung ergänzend hinzuziehen (insbesondere die Mängelliste und die vorliegenden Unterlagen zum jeweils aktuellen Stand der Mängelbeseitigung).

c. Zielsetzung einer Tiefenprüfung

  • Die Tiefenprüfung ermöglicht es dem BSI eigenständig bewerten zu können, ob und inwieweit ein KRITIS-Betreiber die Anforderungen nach § 8a Absatz 1 BSIG erfüllt.
  • Bei Tiefenprüfungen, die durch qualifizierte und unabhängige Dritte durchgeführt werden, bewertet das BSI die Prüfungsergebnisse der beauftragten prüfenden Stelle um festzustellen, ob und inwieweit ein KRITIS-Betreiber die Anforderungen nach § 8a Absatz 1 BSIG erfüllt.
  • Die so gewonnenen Erkenntnisse sollen dem KRITIS-Betreiber dabei helfen, die von ihm auf dem Gebiet der Informationssicherheit getroffenen organisatorischen und technischen Vorkehrungen zu evaluieren und weiterzuentwickeln. Auch unterstützen sie das BSI, sich ein Bild über die Lage der Informationssicherheit bei den KRITIS-Betreibern und ihren jeweiligen Sektoren zu verschaffen. Die Tiefenprüfungen wirken insofern direkt und indirekt auf die Stärkung der Resilienz der Kritischen Infrastrukturen in Deutschland hin.

nach oben

3. Unterstützungspflichten des KRITIS-Betreibers

a. Zugang zu Geschäfts- und Betriebsräumen während der üblichen Betriebszeiten

  • Der KRITIS-Betreiber ist gesetzlich verpflichtet, den Prüfenden während der üblichen Betriebszeiten den Zugang zu Geschäfts- und Betriebsräumen zu ermöglichen. Insbesondere Räume, in denen sich Anlagen(-teile) i. S. d. BSI-KritisV befinden, in denen die zum Betrieb notwendige IT verortet ist oder in denen das zugehörende Betriebspersonal arbeitet, müssen zugänglich sein.
  • Auf Anfrage müssen auch Räume für ungestörte Gespräche der Prüfenden zur Verfügung gestellt werden.
  • Zur Überprüfung, ob der Geltungsbereich angemessen ermittelt wurde, kann es ebenfalls erforderlich sein, dass Räume in Augenschein genommen werden müssen, die nicht unmittelbar mit dem Betrieb der Kritischen Infrastruktur in Zusammenhang stehen.
  • Falls es Geschäfts- oder Betriebsräume gibt, für deren Zugang besondere Vorkehrungen erforderlich sind, muss der KRITIS-Betreiber den Prüfenden dies frühzeitig mitteilen (z. B. Räume mit besonderen Hygieneanforderungen).

b. Vorlage von Aufzeichnungen, Unterlagen und Schriftstücken

  • Der KRITIS-Betreiber ist gesetzlich verpflichtet, den Prüfenden auf Verlangen Aufzeichnungen, Unterlagen und Schriftstücke in geeigneter Weise vorzulegen.
  • Das BSI stellt sichere Übertragungswege zur Übermittlung der Dokumentation an die Prüfenden zur Verfügung.
  • Die Aufzeichnungen, Unterlagen und Schriftstücke sollen grundsätzlich in gängigen Digitalformaten übermittelt werden. Ausnahmen hiervon sind nur in Absprache mit den Prüfenden zulässig. Sollten Aufzeichnungen, Unterlagen oder Schriftstücke nicht in Formaten vorliegen, die mit gängiger Bürosoftware gesichtet werden können und nicht einfach elektronisch bearbeitungsfähig (z. B. Scans von Dokumenten) sind, ist der KRITIS-Betreiber verpflichtet, diese in ein geeignetes Format zu überführen.
  • Sofern es sich nicht um technische Aufzeichnungen (z. B. Log-Daten) handelt, sind Dokumente in deutscher Sprache vorzulegen.
  • In Verbindung mit der Pflicht Auskünfte zu erteilen, ist der KRITIS-Betreiber verpflichtet, alle erforderlichen Informationen mitzuliefern, die zum Verständnis des Inhalts, des Kontexts und der Funktion der Aufzeichnung, der Unterlagen oder der Schriftstücke erforderlich sind.

c. Auskunft erteilen

  • Der KRITIS-Betreiber ist gesetzlich verpflichtet Auskunft über den Prüfgegenstand zu erteilen. Er hat Sorge dafür zu tragen, dass den Prüfenden insbesondere für die Interviews sachkundige und sprechfähige Personen als Gesprächspartner zur Verfügung stehen.
  • Die Auskunft ist in deutscher Sprache zu erteilen. Sollte dies nicht oder nur mit unverhältnismäßigem Aufwand möglich sein, ist dies den Prüfenden frühzeitig mitzuteilen und zu belegen. Das Übersetzen von Dokumenten und Simultanübersetzung in einem Gespräch sind grundsätzlich keine unverhältnismäßigen Aufwände. Sollte das Prüfteam des BSI oder der beauftragten Dritten im konkreten Fall über ausreichende Fremdsprachenkenntnisse für einzelne bzw. sämtliche Prüfhandlungen verfügen, kann im gegenseitigen Einvernehmen von dieser Anforderung abgewichen werden.

d. Erforderliche Unterstützung

  • Der KRITIS-Betreiber ist gesetzlich verpflichtet, an der Organisation von Prüfungsterminen im avisierten Zeitraum mitzuwirken. Sollten erhebliche Gründe vorliegen, die dies dem KRITIS-Betreiber unzumutbar machen, sind diese der prüfenden Stelle unverzüglich schriftlich zu benennen und nachvollziehbar zu belegen. In einer Tiefenprüfung, die durch beauftragte Dritte erfolgt, muss der KRITIS-Betreiber das BSI hierzu ebenfalls in Kenntnis setzen. Da das BSI davon ausgeht, dass der KRITIS-Betreiber angemessene und wirksame Vertretungsregelungen etabliert hat zählen zu diesen Gründen insbesondere nicht:

    • geplante Abwesenheitszeiten (z. B. Urlaube, Fortbildungen, Dienstreisen, Elternzeiten etc.),
    • ungeplante, aber im Tagesgeschäft zu erwartende Abwesenheitszeiten (z. B. Erkrankungen einzelner Personen).
  • Fristen sind einzuhalten. Sollte eine Frist im Einzelfall nicht eingehalten werden können, so ist dies vom KRITIS-Betreiber unverzüglich schriftlich anzuzeigen, die Ursache zu benennen und nachvollziehbar zu belegen.

nach oben

4. Organisatorisches

a. Auswahl der zur prüfenden KRITIS-Betreiber für eine anlasslose Tiefenprüfung

  • Grundsätzlich können alle Betreiber Kritischer Infrastrukturen einer anlasslosen Tiefenprüfung unterzogen werden. Das BSI wählt KRITIS-Betreiber nach dem Zufallsprinzip für eine Tiefenprüfung aus. Damit die ausgewählten KRITIS-Betreiber einer Tiefenprüfung unterzogen werden können, prüft das BSI vorab, ob ihm Gründe bekannt sind, die einer Tiefenprüfung aktuell entgegenstehen oder entgegenstehen könnten.

b. Einleitung der Tiefenprüfung

  • Das BSI informiert den zu überprüfenden KRITIS-Betreiber mittels der im KRITIS-Büro registrierten Kontaktdaten schriftlich über die Einleitung der Tiefenprüfung sowie die weiteren organisatorischen Schritte.

c. Dauer der Tiefenprüfung

  • Von der Eröffnung des Tiefenprüfungsverfahrens bis zu dessen Abschluss rechnet das BSI in der Regel mit drei Kalendermonaten. Betreiber und Kritische Infrastrukturen unterscheiden sich ihrer Aufbau- und Ablauforganisation jedoch teils erheblich, so dass es hier zu größeren zeitlichen Abweichungen kommen kann. Ohne den Einzelfall zu kennen, lässt sich leider keine zuverlässigere Schätzung abgeben.

d. Dokumentenaustausch

  • Der Austausch von Dokumenten muss grundsätzlich auf elektronischem Wege erfolgen. Hierfür stellt das BSI sichere Kommunikationswege auch für größere Datenmengen zur Verfügung.
  • Die Dokumentation, die KRITIS-Betreiber dem BSI übermitteln, müssen in gängigen Dateiformaten übermittelt werden. Als gängige Formate sieht das BSI insbesondere alle Formate an, die sich mit gängiger Bürosoftware öffnen lassen. Wenn ein KRITIS-Betreiber nicht in der Lage ist, ein angefordertes Dokument in einem gängigen Format zu übermitteln, ist er verpflichtet, dies dem BSI so früh wie möglich mitzuteilen, die Gründe zu erläutern und schriftlich zu belegen.

e. Verpflichtung auf Vertraulichkeit

  • Als Behörde sind das BSI nach § 30 VwVfG sowie dessen Mitarbeitende nach § 67 Bundesbeamtengesetz bzw. § 3 Absatz 1 TVöD zur Wahrung der Vertraulichkeit verpflichtet.

nach oben

5. Inhaltliche Ausrichtung einer Tiefenprüfung und Prüfungshandlungen

  • Das BSI legt in seiner Prüfung grundsätzlich einen Schwerpunkt auf die Resilienz der Kritischen Infrastrukturen und damit auch auf die Resilienz der Informationssicherheit beim KRITIS-Betreiber. Bei der Prüfung der Resilienz vergewissert sich das BSI, ob ein KRITIS-Betreiber fähig ist, Informationssicherheit zielgerichtet zu organisieren und umzusetzen. Das Management der Informationssicherheit muss aktiv stattfinden und dazu führen, dass alle Bestandteile der Informationssicherheit sinnvoll ineinandergreifen und zu Einheitlichkeit des Handelns führen. Hierzu prüft das BSI regelmäßig

    • welche Regelungen existieren,
    • ob die Regelungen dokumentiert, nachvollziehbar und zugänglich für die jeweiligen Handelnden sind,
    • ob die Regelungen angemessen im Sinne der Informationssicherheit und der Betriebsorganisation sind,
    • ob die Regelungen tatsächlich im Betrieb technisch und organisatorisch umgesetzt werden und
    • wie der KRITIS-Betreiber sicherstellt, dass die beabsichtigte Wirkung auch tatsächlich erzielt wird.
  • Das BSI vergewissert sich außerdem, dass ein KRITIS-Betreiber in der Lage ist Störungen, auch sehr erhebliche, angemessen zu bewältigen. Hierfür prüft das BSI, ob die dafür notwenigen Strukturen (insbesondere Aufbau, Abläufe, Ausstattung) beim KRITIS-Betreiber vorhanden sind und wie oft diese genutzt oder Abläufe geübt werden.
  • Abhängig von der Branche, den betriebenen Anlagentypen und der aktuellen Bedrohungslage, können sich Schwerpunkte verschieben oder zusätzliche Prüfthemen hinzukommen.

  • Zu den regelmäßigen Prüfungsmethoden zählen:

    • Dokumentenprüfung
    • Interviews
    • Einsicht in IT-Systeme
    • Inaugenscheinnahme/Begehung
    • schriftliche Befragung
  • Abhängig vom Einzelfall kommen unterschiedliche Prüfungshandlungen in unterschiedlichem Gewicht zum Tragen.

nach oben

6. Abschluss einer Tiefenprüfung

a. Formeller Abschluss

  • Als formeller Abschluss der Tiefenprüfung sendet das BSI dem KRITIS-Betreiber einen Abschlussbericht zu. Dieser enthält einen Prüfungsbericht mit einer zusammenfassenden Darstellung der Tiefenprüfung, eine Liste der Empfehlungen und der geringfügigen und schweren Mängel.
  • Im Falle einer Prüfung durch das BSI beauftragte Dritte übersendet das BSI den im Auftrag erstellten Prüfungsbericht an den geprüften KRITIS-Betreiber.
  • Das BSI fordert im Anschluss an die Tiefenprüfung vom KRITIS-Betreiber, dass dieser einen Mängelbeseitigungsplan erstellt und diesen dem für die Mängelbeseitigung zuständigen KRITIS-Sektorreferat übermittelt.

b. Abschlussgespräch

  • Mit dem Abschluss der Tiefenprüfung bietet das BSI dem KRITIS-Betreiber an, ein gemeinsames Abschlussgespräch zu führen. In der Regel wird ein Vertreter des zuständigen KRITIS-Sektorreferats eingeladen, sofern es aus Sicht des KRITIS-Betreibers keine Einwände erhoben werden. In Einzelfällen kann es aus dienstlichen Gründen dazu kommen, dass das BSI kein Angebot für ein Abschlussgespräch machen kann.

Ähnliche Themen

Zurück zu Allgemeine Informationen zu KRITIS

Kurz-URL:
https://www.bsi.bund.de/dok/tiefenpruefungen