Um einen Nachweis nach § 8a Absatz 1 BSIG zu erbringen, muss ein Betreiber sicherstellen, dass dessen Geltungsbereich mindestens alle KRITIS-Anlagen und alle Systeme, Prozesse und Komponenten, die für deren Funktionieren notwendig sind, umfasst. Die Erfahrungen der Nachweisprüfungen haben gezeigt, dass dies nicht immer der Fall ist. Ursächlich hierfür kann ein unvollständiger oder vager Geltungsbereich des ISMS des Betreibers sein. Eine Lösung des Problems bieten branchenspezifische Sicherheitsstandards (B3S), in welchen eine branchenspezifische Referenzarchitektur modelliert wird.

Geltungsbereich

Im Kontext der Informationssicherheit Kritischer Infrastrukturen nimmt der Geltungsbereich des Informationssicherheits-Management-Systems (ISMS) eine herausgehobene Rolle ein. Darüber wird festgelegt, welche Systeme, Prozesse und Komponenten betrachtet und abgesichert werden und welche Bereiche nicht mit betrachtet werden. Der Geltungsbereich sollte aussagekräftig, detailliert beschrieben und klar zu anderen Informationsverbünden abgegrenzt sein. Insbesondere müssen technische und organisatorische Schnittstellen zu Externen wie Dienstleistern, Kunden oder Lieferanten ersichtlich sein. Der Geltungsbereich des ISMS dient ebenfalls als Grundlage, um den Umfang der Nachweisprüfungen nach § 8a Absatz 3 BSIG zu definieren. Daher ist es unbedingt erforderlich, dass der ISMS-Geltungsbereich alle KRITIS-Anlagen umfasst, die im Nachweis betrachtet werden. Dazu gehören auch alle Systeme, Prozesse und Komponenten, die für den Betrieb der Anlage notwendig sind.

Die folgend beschriebene Methodik zur Herleitung eines Geltungsbereichs anhand des BSI-IT-Grundschutzes eignet sich sowohl für eine individuelle Herleitung eines Geltungsbereichs für die Nachweis-Erstellung eines Betreibers als auch für die abstrakte Herleitung eines Geltungsbereichs im Rahmen der Erarbeitung eines branchenspezifischen Sicherheitsstandards (B3S). Dies wird auch als Referenzarchitektur bezeichnet.

Das BSI empfiehlt, bei der Festlegung des Geltungsbereichs, analog zur im IT-Grundschutz verwendeten Methodik, einen Top-Down-Ansatz zu verfolgen, der von einer übergreifenden, generischen Prozessbetrachtung ausgeht. Durch diese Vorgehensweise wird sichergestellt, dass bei der Anwendung durch KRITIS-Betreiber alle erforderlichen Systeme, Prozesse und Komponenten der kritischen Dienstleistung vollständig einbezogen werden.

Kritische Dienstleistung (kDL) als Ausgangspunkt

Betreiber Kritischer Infrastrukturen haben die Aufgabe, die Versorgung der Bevölkerung mit der entsprechenden kritischen Dienstleistung zu gewährleisten. In der BSI-Kritisverordnung (BSI-KritisV) wurden die jeweiligen kritischen Dienstleistungen (kDL) für die Sektoren und Branchen definiert. Beispielsweise ist im Sektor Ernährung aufgrund der Bedeutung für das Funktionieren des Gemeinwesens die "Versorgung der Allgemeinheit mit Lebensmitteln (Lebensmittelversorgung)" ausschlaggebend. Für eine vollumfängliche Betrachtung der Gewährleistung der Versorgungssicherheit ist es daher sinnvoll, die kritische Dienstleistung als Ausgangspunkt für die Erarbeitung des Geltungsbereichs heranzuziehen. Bei der Erstellung der Referenzarchitektur für Kritische Infrastrukturen sollte die kDL als der zentrale Prozess verstanden werden, aus welchem sich alle anderen Objekte ableiten lassen.

Modellierung einer branchenspezifischen Referenzarchitektur

Die Definition des Geltungsbereichs mit einer generischen Abbildung der Referenzarchitektur bildet eine zentrale Grundlage für branchenweite Standards. Auf Basis der Referenzarchitektur können Referenzmodelle und Methoden zu den Themenbereichen KRITIS- und IT-Schutzziele sowie Schutzbedarfsfeststellung und die Risikoanalyse erarbeitet werden.

Eine branchenspezifische Referenzarchitektur dient als Blaupause und Hilfestellung für die individuelle Umsetzung des Geltungsbereichs des ISMS eines Betreibers. Die generische Referenzarchitektur ist weniger detailliert als die Architektur eines einzelnen Betreibers, dennoch sollte ein hoher Detaillierungsgrad angestrebt werden, damit diese möglichst viele Betreiber effektiv unterstützen kann.

Ausgehend von der kritischen Dienstleistung sollten die folgenden (branchentypischen) Objekte strukturiert und schrittweise identifiziert werden:

1. Alle Geschäfts-, Unterstützungs- und Teilprozesse, die zur Erbringung der kDL notwendig sind
2. Alle für die Prozesse benötigten Anwendungen und Dienste
3. Alle für die Anwendungen und Dienste benötigten IT-Systeme und Komponenten
4. Alle Gebäude und Räume, in denen die IT-Systeme und Komponenten installiert sind
5. Alle Schnittstellen zu weiteren Informationsverbünden und Dritten

Um die Komplexität zu reduzieren, sollten ähnliche Zielobjekte/Assets zu Gruppen zusammengefasst werden. Zusätzlich sollten Vorgehensweisen zu Erweiterungen/Abweichungen von der Referenzarchitektur erläutert werden. Dies wird insbesondere dann wichtig, wenn die vorhandenen IT-Systeme, Komponenten und Anwendungen oder die Prozesse eines Betreibers sich von der Referenzarchitektur unterscheiden.

Für die Darstellungen der Teilergebnisse sollten ergänzend Visualisierungen wie Netzstrukturpläne (vereinfacht) oder Prozessmodellierungen genutzt werden. Diese Ergebnisse sollten anschließend in die Erstellung oder Weiterentwicklung von branchenspezifischen Sicherheitsstandards einfließen.

Workshops zur Referenzarchitektur als Erfolgsmodell

Damit eine Referenzarchitektur eine möglichst große Relevanz und Akzeptanz für eine ganze Branche besitzt, sollten diese von mehreren Branchenvertretern gemeinsam erstellt werden. Es ist zu empfehlen, dass die entsprechende Gruppe möglichst heterogen aus Vertretern von Unternehmen mit unterschiedlichen Größen und Formen zusammengesetzt ist.

Bereits in mehreren Fällen konnten Branchenvertreter Referenzarchitekturen ihrer Branchen in Workshops (z. B. in den entsprechenden Branchenarbeitskreisen des UP KRITIS) erfolgreich konkretisieren und in die ersten B3S integrieren. Je nach Vorkenntnissen und gewünschtem Detaillierungsgrad sollten für diese Workshops ein bis drei Tage anberaumt werden.

Im Fokus steht hierbei, die Gemeinsamkeiten einer Branche und deren Betreiber zu spezifizieren, aber dabei nicht die individuellen Besonderheiten zu beschneiden. Im Workshop soll das geeignete Maß an gemeinsamen Strukturen und übergreifenden spezifischen Merkmalen für die Branche gefunden werden.

Fazit

Die Erstellung von branchenspezifischen Referenzarchitekturen auf Basis der BSI-Grundschutz-Methodik in Verbindung mit branchenspezifischen Sicherheitsstandards ermöglicht es, dass Betreiber auf diesen aufbauend effizient den Geltungsbereich ihres ISMS konform zu den Anforderungen an Kritische Infrastrukturen erstellen können.

Mit dieser Herangehensweise hat das BSI in den vergangenen Jahren sehr positive Erfahrungen gemacht. Der Vorteil besteht insbesondere in einer generischen Abbildung des KRITIS-Geltungsbereichs in einer Referenzarchitektur für die Branche. Diese ermöglicht es einzelnen Betreibern, die Referenzarchitektur in ihren ISMS auf ihre individuelle Organisations- und IT-Struktur zu adaptieren.

Erste Erfahrungswerte des BSI zeigen zudem, dass in Branchen, in denen ein B3S mit aussagekräftigem Geltungsbereich vorliegt, die Qualität der Nachweiserbringung gesteigert werden konnte und somit Nachforderungen des BSI im Rahmen der Nachweis-Prüfung an die Betreiber minimiert wurden.