Jeder Fehler kann schwerwiegende Folgen haben und jede gegnerische Attacke kann das Aus bedeuten, während jede Komponente auf modernen, ständig weiterentwickelten Systemen basiert und unter Extrembedingungen zu jeder Zeit zuverlässig funktionieren muss – das alles zeichnet Motorsport auf höchstem Niveau aus.

Und genauso steht es auch um die Informationstechnik in Kritischen Infrastrukturen angesichts der massiv voranschreitenden Digitalisierung. Kritische Infrastrukturen (KRITIS) sind Einrichtungen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, da durch ihre Beeinträchtigung erhebliche Versorgungsengpässe eintreten würden. Ein Cyber-Angriff auf ein Krankenhaus könnte zum Ausfall der medizinischen Versorgung von Patienten führen und somit deren Leben direkt gefährden. Ein gravierender IT-Sicherheitsvorfall bei einem Telekommunikationsdienstleister würde sich auf die Verfügbarkeit oder die Steuerungsfähigkeit zahlreicher Infrastrukturen auswirken und so zum einen indirekt zum Ausfall anderer Infrastrukturen führen, zum anderen fiele die Möglichkeit weg, Notrufe abzusetzen. Weitreichende Auswirkungen mit Beeinträchtigungen aller Lebensbereiche hätte auch ein (durch einen Cyber-Angriff verursachter) Stromausfall, da alle anderen Infrastrukturen Strom benötigen, um zu funktionieren.

Wie die Motoren im Rennsport, müssen auch die hochkomplexen und von IT durchzogenen Informationsinfrastrukturen in Kritischen Infrastrukturen jederzeit zuverlässig verfügbar sein. Insbesondere müssen angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu ihrem Schutz getroffen werden. Diese Vorkehrungen müssen regelmäßig überprüft und bewertet werden – sei es durch einen planmäßigen Boxenstopp oder durch die mit § 8a Absatz 3 des BSI-Gesetzes (BSIG) für KRITIS-Betreiber eingeführte Nachweispflicht, die mindestens alle zwei Jahre zu erfüllen ist. Daher bewertet der KRITIS-Fachbereich des BSI die eingereichten Nachweise und behält die Beseitigung festgestellter Mängel im Auge. Betreiber und Prüfer werden zudem vom BSI mit Beratungen, Workshops und Orientierungshilfen unterstützt.

Mittlerweile ist der erste Zyklus der Nachweisprüfungen abgeschlossen. Grundlegende Rahmenbedingungen und Prozesse im BSI sind etabliert und bereits evaluiert worden. Es hat sich gezeigt, dass die Qualität der Prüfungen und Nachweise deutlich variiert. Diese Unterschiede erschweren es dem BSI teilweise, die Sachlage bei einem KRITIS-Betreiber ohne Rückfragen korrekt einzuschätzen. Dies wiederum kann zu höheren Kosten und zeitlichem Aufwand für alle beteiligten Parteien führen.

Drei Initiativen zur Verbesserung der Qualität der Nachweise

Der KRITIS-Fachbereich des BSI plant drei Initiativen, um die Qualität der Nachweise auf ein einheitlich hohes Niveau zu bringen und die Nachweiserbringung für die KRITIS-Betreiber strukturierter und effizienter zu gestalten:

1. Die Formulierung übergreifender Anforderungen im Nachweisprozess,
2. die Konkretisierung des Stands der Technik für ausgewählte KRITIS-Branchen und
3. Förderung der KRITIS-spezifischen Qualifikation der Prüfer.

Die übergeordneten Ziele dieser drei Initiativen sind, divergierenden Entwicklungen bei der Nachweiserbringung gegenzusteuern, die Vergleichbarkeit zwischen den Betreibern zu verbessern und die Nachweiserbringung für die KRITIS-Betreiber strukturierter und effizienter zu gestalten.

Initiative 1: „Formulierung übergreifender Anforderungen im Nachweisprozess“

Im ersten Schritt des Vorhabens sollen die Hinweise aus der Orientierungshilfe für Nachweise sowie weitere für die Erhöhung der Qualität der Nachweise förderliche Anforderungen zur Ausgestaltung des Nachweisprozesses aller KRITIS-Sektoren definiert und anwendergerecht ausgearbeitet werden. Ergänzend sollen unterstützende Dokumente veröffentlicht werden, um Betreibern und Prüfern die Umsetzung dieser Anforderungen zu erleichtern. KRITIS-Betreiber und ihre Gremien werden eingebunden, um Anforderungen zu identifizieren und den Nachweisprozess für alle beteiligten Parteien zu optimieren.

Initiative 2: „Konkretisierung des Stands der Technik für ausgewählte KRITIS-Branchen“

Gemäß § 8a Absatz 1 BSIG sind KRITIS-Betreiber verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen. Sowohl für die Betreiber als auch für das BSI ergibt sich ein grundlegender Bedarf nach der Konkretisierung der abstrakten Anforderung „Stand der Technik“. Ziel der zweiten Initiative ist es, den Betreibern eine klare Orientierung in Bezug auf die Erfüllung der gesetzlichen Anforderungen zu liefern. Durch strukturell homogenere Nachweise soll auch die BSI-interne Bearbeitung effizienter werden.

Während einige Branchen seit Jahren Branchenspezifische Sicherheitsstandards (B3S) etabliert haben und ihre Branchenstandards kontinuierlich weiterentwickeln, liegt für andere Branchen noch kein B3S vor. Ziel des BSI ist daher die Konkretisierung der abstrakten Anforderungen insbesondere für Branchen ohne B3S. Dies soll mittels einer Anleitung zur Erstellung von KRITIS-Grundschutzprofilen (IT-Grundschutzprofile, die auf die Erbringung einer kritischen Dienstleistung fokussiert sind) erreicht werden. Es ist darüber hinaus geplant, für ausgewählte Branchen die Anwendung dieser Anleitung zu betreuen, um Betreibern bzw. Branchenverbänden beispielhaft die Erstellung eines solchen KRITIS-Grundschutzprofils zu vermitteln.

Initiative 3: „Förderung der KRITIS-spezifischen Qualifikation der Prüfer“

Eine weitere Erkenntnis aus der Evaluation der Nachweise ist, dass die Qualifikation der Prüfer signifikanten Einfluss auf die Qualität der Prüfung und damit auf die erbrachten Nachweise hat. Deshalb plant das BSI, ein einheitliches (Mindest-) Qualifikationsniveau für KRITIS-Prüfer zu identifizieren, in dem KRITIS-spezifische Kenntnisse im Zusammenhang mit Prüfungen für Nachweise gemäß § 8a Absatz 3 BSIG, die über andere Audits oder Prüfungen hinausgehen, berücksichtigt werden. Hierdurch möchte das BSI auf eine höhere Qualität der Prüfungen und eine höhere Standardisierung der eingehenden Nachweise hinwirken.

Diese Initiative soll Ende des Jahres 2021 starten und Betreiber, Prüfer und Schulungsanbieter sollen hierbei einbezogen werden, um Erfahrungen und Best Practices einzubringen.

Die Verbesserung der Qualität der Nachweise hilft Betreibern, Prüfern und dem BSI

Mit den vorgestellten drei Initiativen des KRITIS-Fachbereichs tragen wir mit der Verbesserung der IT-Sicherheit in Kritischen Infrastrukturen dazu bei, dass die Motoren des Gemeinwesens intakt bleiben und die Gesellschaft zuverlässig mit Strom, Wasser, Lebensmitteln und weiteren essenziellen Gütern und Dienstleistungen versorgen.