KRITIS – Nachweisverfahren nach §8a (3) BSIG

Ausgangslage/rechtliche Grundlagen

Am 24.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz „IT-Sicherheitsgesetz“ (IT-SiG) in Kraft getreten. Das Gesetz fordert von Betreibern „Kritischer Infrastrukturen“, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, u.a. folgende Maßnahmen, die im novellierten BSI-Gesetz (BSIG) unter § 8a (1) zu finden sind:

„Betreiber Kritischer Infrastrukturen sind demnach verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

Gemäß § 8a Abs. 3 BSI-Gesetz „haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen“.

Wann muss der Nachweis nach § 8a (3) BSIG erfolgen.

Initial mussten Betreiber Kritischer Infrastrukturen bis zu nachstehenden Fristen Ihre Nachweis ggü. dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln.

  1. Korb: 03. Mai 2018 (abgelaufen)
  2. Korb: 30. Juni 2019 (abgelaufen)

Gemäß § 8a Abs. 3 BSI-Gesetz hat der Nachweis alle zwei Jahre zu erfolgen. Somit in Bezug auf Sektoren des ersten Korbes (- Energie, IT+TK, Ernährung, Wasser) im zweiten Turnus bis Mai 2020 und in Bezug auf Sektoren des zweiten Korbs (Finanz & Versicherungswesen, Transport & Verkehr, Gesundheit) bis Juni 2021.

In der Regel ist es jedoch so, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach abschließender Prüfung der Nachweisdokumente ein Fälligkeitsdatum für die nächste Nachweiserbringung festlegt und dem Betreiber mitteilt. Daher sollten Betreiber kritischer Infrastrukturen genau prüfen, wann der kommende Nachweis fällig ist.

Wie muss der Nachweis nach § 8a (3) BSIG aussehen?

Gemäß § 8a (3) BSIG kann der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Allerdings ist es so, dass vorhandene Prüfungen und Zertifizierungen (sofern sie sich auf den gleichen Geltungsberiech beziehen) nur teilweise anerkannt werden. In der Regel findet ein sog. Kritis-Nachweisverfahren statt. Wie dieses genau auszusehen hat, gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der sog. Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG vor.

Was wird im Rahmen des Kritis-Nachweisverfahrens inhaltlich geprüft?

Gemäß der Orientierungshilfe zu Nachweisen gemäß § 8a (2) BSIG kann der Betreiber der kritischen Infrastruktur die Prüfgrundlage in Abstimmung mit der prüfenden Stelle selbst wählen. Nachstehende Prüfgrundlagen kommen in Betracht:

  • Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S): z.B. B3S medizinische Versorgung der Deutschen Krankenhausgesellschaft (DKG) in der Version 1.1. vom 23.10.2019
  • Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S) und somit Prüfung auf Basis der Themenblöcke/Anforderungen gemäß Kap. 4.4 und 5.3 der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG vom 01.12.2017
  • Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen:
  • Vorhandene Prüfungen: z.B. Auditberichte zu ISO/IEC 27001 oder IT-Grundschutz-Audits durch eine unabhängige Prüfstelle, Berichte zu IT-Prüfungen durch Wirtschaftsprüfungsgesellschaften oder die interne Revision
  • Andere Prüfgrundlagen: Prüfung auf Basis anerkannter Standards und Regelwerken zum Management der Informationssicherheit, wie z.B. ISO/IEC 27000 Normenreihe und/oder IT-Grundschutzkompendium

Der Betreiber hat die Möglichkeit, der prüfenden Stelle bereits vorhandene Prüfgrundlagen zur Verfügung zu stellen. Die prüfende Stelle entscheidet, ob und zu welchem Grad diese in die Prüfung einfließen können.

Die gemäß § 8a (1) BSIG Grundlegenden inhaltlich zu prüfenden organisatorischen und technischen Vorkehrungen finden sich  sind in Kap. 4.4 und 5.3 der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2)  BSIG V1.0 vom 01.12.2017 zu finden.

Diese sind:

  • Informations-Sicherheits-Management-System (ISMS)
  • Asset Management
  • Risikoanalysemethode
  • Continuity Management für die kDL
  • Notfallmanagement und Übungen
  • Branchenspezifische Technik
  • Technische Informationssicherheit (Maßnahmenkategorien)
  • Personelle und organisatorische Sicherheit
  • Bauliche/physische Sicherheit
  • Vorfallserkennung und -bearbeitung
  • Überprüfung im laufenden Betrieb
  • Externe Informations-versorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte
  • Technische Informationssicherheit
    • Absicherung von Netzübergängen
      • Inventarisierung aller Netzzugänge
      • Netztrennung und Segmentierung, besonders im ICS-Umfeld
      • Absicherung der Fernzugriffe, Remote Access
      • Sicheres Sicherheitsgateway, Firewall
      • Härtung und sichere Basiskonfigurationen
      • Schnittstellenkontrolle, Intrusion Detection/Prevention (IDS, IPS)
      • Absicherung mobiler Netz-zugänge, mobile Sicherheit, Telearbeit, ggf. BYOD
      • DDoS-Mitigation
      • Network Access Control (NAC)
      • Router, VPN-Gateway
    • Browser-Virtualisierung, Exploit Protection
      • Web-Filter
      • Virtuelle Schleuse
      • Sichere Dokumentenerstellung
      • Detektionswerkzeuge für gezielte Angriffe auf Webseiten bzw. E-Mails
      • Security Information and Event Management (SIEM) –
    • Sichere Software (insbesondere Vermeidung von offenen Sicherheitslücken)
      • Spam-Abwehr, Content Filtering
      • Toolunterstützte Inventarisierung von Hardware und Software
      • Zentrales Patch- und Änderungsmanagement, Konfigurationsmanagement
      • Schutz vor Schadsoftware
      • Softwaretest und Freigabe
      • Software Development Security (sichere Software-Entwicklung)
      • Sichere Beschaffung und Aussonderung (sicheres Löschen, Überwachung, Datensicherung und -wiederherstellung (Backup), Archivierung)
    • Sichere Authentisierung
      • Identitäts- und Rechtemanagement
      • Multifaktor-Authentisierung (Zweifaktor-Authentisierung)
      • Zugriffskontrolle (Sicheres Logon)
      • Rollentrennung (Getrennte Admin-Konten)
    • Verschlüsselung
      • Kryptografische Absicherung (data in rest, data in motion)
      • Cloud-Daten-Verschlüsselung (Cloud-Encryption)
      • Verschlüsselung der Kommunikationsverbindungen (z.B. Voice Encryption
      • E-Mail-Verschlüsselung
      • Verschlüsselung der Datenträger z. B. Festplattenverschlüsselung
    • Physische Sicherheit
      • Zugangskontrolle
      • Notstromversorgung (USV)
      • Netzersatzanlagen
    • Weitere Maßnahmen
      • Sensibilisierung und Schulungen
      • Übungen
      • Aufrechterhaltung des   aktuellen   Informationsstands   durch   Bezug   von   Warnungen, CERT-Meldungen, Lagebild
      • Verfügbarkeit notwendiger Ressourcen
      • Interne Audits und Penetrationstests
      • Sicherheitsstrategie und Sicherheitsleitlinie

Branchenspezifische Sicherheitsstandrads (sog. B3S) können diese je nach Anwendbarkeit und dem jeweiligen Stand der Technik ergänzen und/oder reduzieren. Grundsätzlich sind das aber erstmal die relevanten Themen, um die sich die Betreiber Kritischer Infrastrukturen im Kontext der Anforderungen nach § 8a (1) BSIG kümmern und die eine prüfende Stelle im Kontext des Nachweisverfahrens nach § 8a (3) BSIG entsprechend zu prüfen hat.

Warum die AuraSec Ihr verlässlicher und branchenkompetenter Partner ist

Die AuraSec GmbH ist als Prüfstelle im Kontext § 8a (3) BSIG tätig und hat im Geschäftsjahr 2019 rd. 40 Kritis-Nachweisverfahren nach § 8a (3) BSIG durchgeführt und steht dabei in ständigen Austausch mit den Betreibern sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG u.a. zwingend einzuhaltende Anforderungen an das Auditteam/ Prüfteam definiert. So muss sich das Prüfteam die jeweiligen Kompetenzbereiche abdecken.

Das Prüfteam der AuraSec GmbH setzt sich aus erfahrenen ISO/IEC 27000 (Informationssicherheits-Management-) Auditoren und KRITIS-Experten zusammen. Unsere Auditoren verfügen über eine fundierte technische und organisatorische IT-Sicherheits-Kompetenz bzw. Informationssicherheits-Kompetenz. Sie sind ferner als Lead-Auditoren für u.a. ISO/IEC 27001 bei einer akkreditierten Zertifizierungsstelle aktiv und besitzen darüber hinaus die Qualifikation der Zusätzlichen Prüfverfahrenskompetenz nach § 8a BSIG, einer Zusatzqualifikation für die Prüfung kritischer Infrastrukturen.

Ferner verfügen wir über diverse erforderliche Fachexperten (BSI-Anforderung), die die entsprechende Eignung aufweisen und ebenfalls über die Qualifikation der Zusätzlichen Prüfverfahrenskompetenz nach § 8a BSIG verfügen.

Die Anforderungen gemäß Kapitel 4 der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG des BSI werden vollumfänglich erfüllt. Ferner wird bei der Vorbereitung und Durchführung und Dokumentation des Audits die ISO 19011 (Leitfaden zur Auditierung von Managementsystemen) berücksichtigt bzw. konform zu dieser gearbeitet.

Die AuraSec GmbH und Ihre Mitarbeiter können eine Vielzahl von Referenzen und Erfahrungen aus erfolgreich umgesetzten Kritis-Nachweisverfahren nach § 8a (3) BSIG aufweisen.

Auszug unserer Referenzen

Senden Sie uns gerne eine unverbindliche Anfrage

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!