Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Was KRITIS-Prüfungen sind und welchen Regeln sie unterliegen
KRITIS-Betreiber müssen viele Anforderungen erfüllen, um die Sicherheit ihrer Anlagen dauerhaft zu gewährleisten. Spätestens alle zwei Jahre ist zudem ein Nachweis in Form einer Prüfung zu erbringen, für die genaue Regelungen gelten.
Kritische Infrastrukturen, die sogenannten KRITIS, sind für das Funktionieren einer modernen Gesellschaft unverzichtbar. Sie umfassen essenzielle Sektoren wie die Versorgung mit Energie, Wasser und Nahrungsmitteln, aber auch das Gesundheitswesen, Finanzdienstleistungen, Transport und Telekommunikation.
Anlagen dieser Bereiche, die mehr als 500.000 Menschen versorgen, gelten für die Bundesrepublik Deutschland als kritisch. Die Betreiber müssen solche Anlagen selbst identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Anschließend müssen sie nachweisen, dass sie dauerhaft für deren Sicherheit sorgen.
Welche Vorgaben sich aus dem BSI-Gesetz für KRITIS ergeben
Nach Paragraph 8a des BSI-Gesetzes sind Betreiber Kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“.
Dazu gehört seit dem 1. Mai 2023 auch der verpflichtende Einsatz von Systemen zur Angriffserkennung. Die dafür eingesetzten Systeme müssen „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“, heißt es in Paragraph 8a. Darüber hinaus sollten sie dazu „in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“.
Betreiber Kritischer Infrastrukturen müssen durch regelmäßige KRITIS-Prüfungen (Audits) nachweisen, dass sie den „Stand der Technik“ einhalten. Die Prüfungen sind spätestens alle zwei Jahre zu wiederholen. Ein KRITIS-Betreiber kann die dafür erforderlichen Audits selbst durchführen oder einen externen Dienstleister damit beauftragen. So kümmert sich beispielsweise der Verband TÜVIT nach eigenen Angaben um die Planung und Vorbereitung einer KRITIS-Prüfung, die Durchführung der Prüfung und das Ausstellen der notwendigen Nachweise.
Der Nachweis kann zum Beispiel auch durch Sicherheitsaudits oder Zertifizierungen erfolgen. Dabei müssen die festgestellten Sicherheitsmängel auch dem BSI gemeldet werden. Dies bedeutet in der Regel, dass das Bundesamt dann auch die Beseitigung der aufgeführten Mängel verlangt.
Welche Steuerungsmaßnahmen der Bund für KRITIS ergreift
Gegebenenfalls kann das BSI die erforderlichen Prüfungen auch selbst durchführen oder durch einen unabhängigen Sachverständigen verrichten lassen. Dazu hat der Betreiber den Prüfern „zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren“. Dafür kann das Amt sogar Gebühren erheben, allerdings nur dann, wenn es „auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen begründeten“.
Das BSI hat einen Katalog mit rund hundert Anforderungen für die Prüfungen zusammengestellt. Als „angemessen“ gelten dabei alle Maßnahmen, deren Aufwand zur Vermeidung eines Ausfalls oder einer Störung „gerechtfertigt“ ist. Auch der TeleTrust-Verband veröffentlichte bereits eine hilfreiche „Handreichung zum Stand der Technik“ (PDF).
Unverzichtbar sind die ebenfalls im Mai 2023 vom Bund veröffentlichten „Anforderungen nach § 8a Absatz 5 BSIG“. Das Dokument enthält Vorgaben für den Prüfprozess (Vier-Augen-Prinzip) sowie zu Fragen der Dokumentation des Prüfergebnisses und des Geltungsbereichs. Außerdem geht es auf den Umgang mit bereits früher erstellten Mängellisten ein.
Wer KRITIS prüfen darf und was es dabei zu beachten gilt
Darüber hinaus müssen die Prüfstelle und ihre Mitglieder gegenüber dem Betreiber der Kritischen Infrastruktur „unternehmensfremd sowie rechtlich und wirtschaftlich unabhängig“ sein. Sie dürfen weder mit dem Unternehmen verbunden noch weisungsgebunden sein. Ausnahmen bestehen für interne Stellen, sofern sie „die Einhaltung der internationalen Standards für die berufliche Praxis des Institute of Internal Auditors (IIA)“ sowie ein „angemessenes und wirksames Revisionssystem“ nachweisen können. Darüber hinaus zählt ein Quality Assessment zum Pflichtprogramm.
Weitere Anforderungen betreffen die Anzahl der beteiligten Personen. So ist die Prüfung von zwei oder mehr Prüfern durchzuführen, die jeweils ausreichend qualifiziert sein müssen, um den Sachverhalt oder auch nur Teilaspekte beurteilen zu können. Unterschiedliche Einschätzungen sind zu berücksichtigen und in die Gesamtbewertung einzubeziehen. Eine Aufteilung auf mehrere Prüfer ist zulässig, sofern deren Ergebnisse einer abschließenden Qualitätskontrolle unterliegen. Es geht jedoch nicht, dass nur ein Prüfer den gesamten Sachverhalt unter die Lupe nimmt. Dies gilt auch dann, wenn anschließend eine Qualitätskontrolle erfolgt.
Die beteiligten Prüfer sind namentlich zu nennen. Darüber hinaus muss dokumentiert werden, welchen zeitlichen Anteil sie an der Prüfung hatten. Kein einzelner Prüfer darf mehr als zwei Drittel des kumulierten Gesamtprüfungsanteils erbringen.
Welche Vorgaben für die Dokumentation der Prüfergebnisse gelten
Ebenso macht das Bundesamt Vorgaben für den Geltungsbereich und die Dokumentation. So muss der Bericht etwa in deutscher oder englischer Sprache vorliegen. Er muss zudem strukturiert sowie frei von Widersprüchen sein und ein nachvollziehbares Ergebnis enthalten. Die geprüfte Anlage einschließlich ihrer wesentlichen Merkmale muss erkennbar und nachvollziehbar beschrieben werden.
Weitere Anforderungen gelten für den Fall, dass es sich nicht um eine Erstprüfung, sondern um eine Folgeprüfung handelt. In diesem Fall ist nämlich die Mängelliste des letzten vom BSI akzeptierten Nachweises vollständig vorzulegen. Die Liste muss ein aktuelles Datum sowie Angaben zur Behebung der genannten Mängel enthalten. Hierfür hat das BSI drei Stufen definiert, die aufeinander aufbauen. Sie lauten:
- In Planung
- In Umsetzung
- Abgeschlossen
Zusätzlich muss eine Plausibilitätsprüfung erfolgen. Nicht vollständig behobene Mängel aus der vorherigen Mängelliste sind erneut in die aktuelle Mängelliste zu übernehmen.
Ein Teil der genannten Anforderungen gilt bereits seit dem 1. Juni 2023 als verbindlich. Für den Rest hat das BSI den 1. Januar 2024 als Stichtag festgelegt. Dann treten unter anderem die Vorgaben zum Vier-Augen-Prinzip und zum Umgang mit alten Mängellisten in Kraft.
Weiterführende Informationen
Das Bundesamt hat auf seiner Internetseite ein Serviceportal mit wichtigen Unterlagen für KRITIS-Betreiber und -Prüfer eingerichtet. Es enthält unter anderem kompakte Hinweise, Links zu wichtigen Gesetzen und Verordnungen, Informationen zur Registrierung und Meldung sowie Daten zu branchenspezifischen Anforderungen und Sicherheitsstandards. Darüber hinaus gibt es zahlreiche Links zu Formularen, Vorlagen, FAQs und Checklisten.
Lesetipp: Welche Cyber-Gefahren KRITIS bedrohen und warum deren Betreiber ihre Business Continuity sicherstellen müssen, erfahren Sie in unserem Blogbeitrag „Der Schutz kritischer Infrastrukturen ist wichtiger denn je“.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.