Im letzten Beitrag über Kritische Infrastrukturen haben wir thematisiert, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis 03.05.2018 die „[…] angemessene[n] organisatorische[n] und technische[n] Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen. In diesem Beitrag gehen wir der Frage nach, nach welchen Standards diese Prüfungen erfolgen sollen.
Zunächst die gute Nachricht: Grundsätzlich stehen einem KRITIS-Betreiber mehrere Möglichkeiten zur Auswahl. Laut „Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG“ vom BSI können die KRITIS-Betreiber zwischen folgenden drei Varianten auswählen:
- Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S);
- Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards;
- Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen.
Damit sind auf jeden Fall relevant:
- einschlägige Standards (z. B. ISO/IEC 27001, ISO 27001 auf der Basis von IT-Grundschutz oder Quality Assessment) oder
- eigene Kriterien, die sich an der Orientierungshilfe zu B3S nach § 8a (2) BSIG richten.
Das grundsätzliche Vorgehen ist vergleichbar zur Einführung eines Informationssicherheits-Managementsystems: Der KRITIS-Betreiber muss zunächst einen geeigneten Scope festlegen, die zugrundeliegenden Prozesse feststellen und entsprechende Sicherheitsmaßnahmen planen, umsetzen und dokumentieren. Es muss insbesondere sichergestellt werden, dass alle wichtigen Schutzziele der kritischen Dienstleistungen entsprechend berücksichtigt sind.
Für die Prüfungsdurchführung und das Nachweisdokument sollten
- die Anlage,
- die vom Betreiber erbrachten Teile der kritischen Dienstleistung,
- die Teile der kritischen Dienstleistung, die von externen Dienstleistern erbracht werden (z. B. Auslagerung),
- das Zusammenspiel mit anderen Systemen sowie
- die Schnittstellen und Abhängigkeiten
beschrieben werden.
In der Orientierungshilfe wird auch die übliche Sicherheitsdokumentation gelistet, die bei der Prüfung bereitgestellt werden soll. Die Dokumente stellen „best practice“ von verschiedenen Standards dar und enthalten insgesamt elf Punkten, die die Themen Sicherheitskonzept, Risikomanagement, ISMS, Notfallmanagement, Asset Management, physische Sicherheit, personelle und organisatorische Sicherheit, Incident Management, interne Audits, externe Informationsversorgung, und Lieferantenbeziehungen beeinflussen. Die Dokumente zu diesen Themen sollen nur bei der Prüfung analysiert werden, müssen dem BSI im Rahmen des Nachweisdokuments jedoch nicht vorgelegt werden. Selbst die Durchführung der Prüfung ist in der Orientierungshilfe sehr detailliert beleuchtet.
Kernthema bei der Durchführung sollen branchenspezifische Eigenschaften des Betreibers sein. Auch in den Fällen, wenn kein branchenspezifischer Sicherheitsstandard vorhanden ist, sollen die Bestimmungen aus der „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ berücksichtigt werden. Die wichtigsten Fragen, die bei der Durchführung der Prüfung beleuchtet werden sollen, sind: die Prüfung des Scopes, mögliche Prüfmethoden, Prüfplan und mögliche Stichprobenauswahl, Dokumentation des Prüfergebnisses und Mängelkategorien.
Und wenn der Bertreiber schon zertifiziert wurde?
In diesem Fall sind die obengenannten Aspekte zu berücksichtigen und ggf. die Erfüllung der „branchenspezifischen“ Anforderungen nachzuweisen.
Von Interesse ist ferner die Abschätzung des Aufwandes, denn hierzu gibt es Vorgaben: Laut BSI dürfte die Prüfung größenordnungsmäßig zwischen 20 und 40 PT (Personentage) liegen, von denen 55 Prozent für Vor-Ort-Prüfung genutzt werden sollen.
Die bei der Prüfung festgestellten Abweichungen sollen ähnlich wie bei ISO 27001-Auditverfahren in drei Kategorien unterteilt (und ähnlich bearbeitet) werden:
- schwerwiegende oder erhebliche Abweichung bzw. Sicherheitsmangel
- geringfügige Abweichung bzw. Sicherheitsmangel
- Empfehlung
Fazit
Als Nachweis eines angemessenen Sicherheitsniveaus gibt es für KRITIS-Betreiber verschiedene Möglichkeiten. Sicherlich zu empfehlen sind anerkannte Standards der Informationssicherheit, wie etwa ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz. Gerade da sich branchenspezifische Erweiterungen gut hierauf aufbauen lassen. So wie etwa bei der ISO/IEC 27019 für Sicherheitsaspekte der Energiewirtschaft. Andere existierende Möglichkeiten (etwa ein externes Quality Assessment gemäß „Internationalen Standards für die berufliche Praxis der Internen Revision“) sind nicht so weit verbreitet und finden nur begrenzt Anwendung. Die Möglichkeit „eines individuellen Nachweises der Eignung einer prüfenden Stelle durch Selbsterklärung gegenüber dem BSI“ kann nur als sehr unwahrscheinlich eingeschätzt werden, da der Aufwand in dem Fall viel höher wird, als in anderen, schon lange Jahre benutzten Verfahren.
Im nächsten Blog-Beitrag zu diesem Themenkomplex wollen wir beleuchten, wer denn diese Prüfungen abnehmen darf.