Die meisten branchenspezifischen Sicherheitsstandards (B3S) orientieren sich ebenfalls an einem dieser existierenden Modelle. Der Vorteil der B3S liegt in der Tatsache, dass sie die individuellen Sicherheitsanforderungen einzelner Industrien (z.B. die Absicherung von industriellen Steueranlagen oder Krankenhausinformationssystemen) viel genauer abdecken und dabei explizit durch das BSI abgesegnet werden. Jedoch müssen B3S dazu alle zwei Jahre aktualisiert und neu geprüft werden. Betreiber sollten also genau beobachten, welche Änderungen vorgenommen werden und wann aktualisierte Versionen veröffentlicht werden.
Als Nachweis des geforderten Sicherheitsniveaus dient eine externe Prüfung, die Betreiber jedoch selbst in Auftrag geben müssen. Organisationen, die erstmals einen der KRITIS-Schwellenwerte überschreiten, sind zwar ab dem 1. April zur Einhaltung des Schutzniveaus verpflichtet, haben für den Nachweis jedoch zwei Jahre Zeit.
Informationssicherheit umsetzen: Technik & Logistik
Die bestehenden Anforderungen an den Schutz kritischer Infrastrukturen decken ein breites Spektrum an Sicherheitsmaßnahmen ab: Daten-Backups, Virenschutz, Firewalls, Netzwerküberwachung, sichere Authentisierung & Berechtigungsvergabe, etc. Neu hinzu gekommen ist die explizite Verpflichtung, Systeme zur Angriffserkennung einzusetzen. Dazu braucht es einerseits die automatische Erfassung von Sicherheitsdaten durch ein Security Information & Event Management (SIEM) und andererseits ein Team, das diese Vorfälle laufend auswertet. Nur ein solches Security Operation Center (SOC) erlaubt es, meldepflichtige Störungen von kleinen Problemen und Fehlalarmen zu unterscheiden.
Generell bringt die KRITIS-Verordnung neben technischen Vorgaben auch organisatorische Herausforderungen mit sich. Eine der Kernaufgaben für Betreiber ist es, ein Informationssicherheitsmanagementsystem (ISMS) zu etablieren, dass die Schutzziele und notwendigen Prozesse in der Organisation verankert. Zu den damit verknüpften Aufgaben zählen etwa Risiko- und Abweichungsanalysen, interne Erfolgskontrollen und das Festlegen von Aufgaben wie Sicherheitsleiter und Incident Response Team (unter Einhaltung der Funktionstrennung).
Auch die neue Pflicht zur Registrierung von kritischen Komponenten sorgt hier für zusätzlichen Aufwand: Hardware- und Softwareprodukte, deren Ausfall den Betrieb einer KRITIS-Anlage erheblich stören würde, müssen in Zukunft beim BSI angemeldet werden. Für die Registrierung ist zudem eine Garantieerklärung des Herstellers notwendig, der sich dadurch verpflichtet, Schwachstellen umgehend zu melden und mit dem BSI zu kooperieren. Bei Sicherheitsmängeln kann das BSI den Einsatz von kritischen Komponenten aber auch rückwirkend untersagen.
Werkzeuge für Compliance
Um Sicherheit nach dem aktuellen Stand der Technik zu gewährleisten, brauchen KRITIS-Betreiber modernste Tools und Software. Das gilt aber nicht nur für Bereiche wie Virenschutz und Angriffserkennung: Viele Aspekte von KRITIS – vom Einspielen von Software-Updates über das Anlegen von Sicherheitskopien bis hin zur Vergabe von Berechtigungen – lassen sich durch automatisierte Lösungen schneller, effizienter und sicherer abdecken als bei manueller Wartung und Pflege.
Der Einsatz von automatisierten Systemen hat für Betreiber viele Vorteile. Durch standardisierte Software-Lösungen entfällt etwa das Risiko von Flüchtigkeitsfehlern bei häufig wiederholten Tätigkeiten, die zu fatalen Sicherheitslücken führen können. Das Wegfallen derartiger Routine-Aufgaben entlastet gleichzeitig das IT-Team, wodurch Fachkräfte wertvolle Zeit für zusätzliche Pflichten wie die Auswertung von Sicherheitsprotokollen und den Kontakt mit dem BSI gewinnen. Zu guter Letzt erleichtern passende Tools auch den Nachweis des geforderten Schutzniveaus und helfen so bei der Vorbereitung auf die zweijährliche KRITIS-Prüfung.
Nehmen wir etwa den Bereich Identitäts- und Rechtemanagement: Zu den Anforderungen von KRITIS zählt auch ein Berechtigungskonzept nach dem Least-Privilege-Prinzip, welches den Missbrauch von Zugriffsrechten verhindert. Doch wie beweise ich, dass User nur auf Daten zugreifen können, die sie auch wirklich brauchen, wenn ich diese Informationen für jeden Benutzer und jedes System einzeln zusammentragen muss? Mit einer geeigneten Software-Lösung lassen sich nicht nur Berechtigungen automatisch verwalten, sondern auch übersichtliche Berichte generieren. So sind Sie bestens auf den nächsten Compliance-Audit vorbereitet.