neu

KRITIS: Halbzeit für kritische Infrastruktren

Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.

In allen Lebensbereichen begegnen uns kritische Infrastrukturen. Sie bilden das Rückgrat solch bedeutsamer Sektoren wie Ernährung, Wasserwirtschaft, Gesundheit, Energie und Verkehr.
Der gesetzliche Rahmen für ein neues Modell des sicheren Umgangs mit kritischen Informationen und Infrastrukturen wurde mit dem IT-Sicherheitsgesetz im Jahr 2015 gezogen. Da stabile Netze für Kommunikation und Energieversorgung existenziell für das Zusammenspiel in unserer Volkswirtschaft sind, gehörten Telekommunikationsunternehmen und Stadtwerke zu den ersten Adressaten der neuen Vorschriften (sog. Korb 1 der KRITIS-Verordnung, Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz).

Im Juni 2017 wurde die gerade mal ein Jahr zuvor in Kraft getretene KRITIS-Verordnung geändert. Neu festgelegt wurden Mindestgrößen, ab wann ein Unternehmen als kritische Infrastruktur gilt, für Banken, Versicherungen, Krankenhäuser und Verkehr (sog. Korb 2). Dabei hat der Verordnungsgeber auf die Rückmeldungen der Anbieter von Strom- und TK-Dienstleister aufgebaut, die schon seit 2015 Nachweise für die Aufsichtsbehörden (BSI bzw. BNetzA) erbringen müssen.

Die KRITIS-Verordnung definiert das übergeordnete politische Ziel und die Frist: innerhalb von 2 Jahren ab Inkrafttreten, d.h. bis spätestens Juni 2019, müssen Unternehmen nachweisen, dass sie umfassende Schutzmaßnahmen nach Stand der Technik wirksam umgesetzt haben.

Was konkret zu tun, ist, hängt von der Branche ab. Für Betreiber von Netzen der Energieversorgung (Strom und Gas) sowie von Anlagen zur Energieerzeugung hat die Bundesnetzagentur Sicherheitskataloge veröffentlicht, die im Kern auf die Norm ISO 27001 verweisen.

Für die anderen sieben KRITIS-Branchen erstellen die Spitzenverbände der Industrie branchenspezifische Sicherheitsstandards. Diese werden durch das BSI anerkannt und erlangen dadurch quasi normative Wirkung für die betroffenen Firmen.

Aktuell gibt es lediglich einen vom BSI anerkannten Sicherheitsstandard. Er betrifft Abwasserentsorgung und Wasserversorgung. Aufgrund der hohen öffentlichen Sensibilität bei Sicherheitshemen ist davon auszugehen, dass andere Branchenverbände in Kürze ihre eigenen Standards zur Prüfung an das BSI reichen werden. Das betrifft beispielsweise den Lebensmitteleinzelhandel oder den Bankensektor. Dies alles lässt sich gut auf der Website des BSI nachverfolgen.

Im Kern behandeln alle bisher veröffentlichten Sicherheitskataloge und Standards diese Aspekte:

  • Schutzwürdige materielle und immaterielle Güter (Assets)
  • Risikobewertung und -behandlung (entweder bezogen auf Kerngeschäftsprozesse oder wesentliche Assets)
  • Früherkennung von Bedrohungen und Auswahl geeigneter Gegenmaßnahmen
  • Sensibilisierung der Mitarbeiter und Führungskräfte
  • Verringerung der potenziellen Angriffsfläche durch Sicherheitsregeln im Arbeitsalltag

Was heißt das konkret für betroffene Unternehmen und ihre CIOs? Es genügt nicht, Arbeitsanweisungen zu erstellen und diese im Intranet zu veröffentlichen. Vielmehr müssen die Mitarbeiter erkennen, dass sichere IT vor allem mit einer Änderung ihres Verhaltens zu erreichen sein wird. Und das ist nun mal am Schwierigsten. Obwohl alle Beteiligten guten Willens sind, reicht die Zeit der Umsetzung im Unternehmen selten aus. Die Festlegung der Bundesnetzagentur, allen 1.300 deutschen Strom- und Gasnetzbetreibern denselben Stichtag für die Zertifizierung vorzuschreiben, war sicherlich angemessen und rechtmäßig, da sich keiner diskriminiert fühlen kann. Auf der anderen Seite hat dies jedoch zu einer Anhäufung von Beratungs- und Prüfungsaufträgen in der zweiten Jahreshälfte 2017 und damit zu großen Mehrbelastungen bei beteiligten Zertifizierungsgesellschaften, Dienstleistern und den Unternehmen selbst geführt.

Informationssicherheit ist mehr als IT-Sicherheit. Das ist zunächst nur eine Binsenweisheit. Informationen liegen auch nicht-digital vor - in den Köpfen der Mitarbeiter, auf Notizzetteln, Handbüchern und bei Telefongesprächen. Sie können deswegen nicht oder nur zum Teil mit technischen Vorkehrungen abgesichert werden. Daraus folgt, dass die Verantwortlichen immer den ganzen Lebenszyklus einer Information im Blick haben müssen, auch die Aktenordner im Archiv und die Papierentsorgung. Technologie ist immer nur ein Teil des Informationsschutzes. Einzelmaßnahmen, die seit Jahren erfolgreich zur Gefahrenabwehr im Geschäftsalltag beitragen (Virenscanner, Passwortrichtlinien, VPN, Verschlüsselungsalgorithmen), müssen mit einer Methodik für Risikobewertung und Risikoplanung verbunden werden. Rechner und Handys werden von Menschen genutzt. Spätestens hier müssen Führungskräfte organisatorische Maßnahmen umsetzen, die alle Mitarbeiter betreffen. Hier sind Geduld und Augenmaß gefragt. Haben Sie bisher die private Nutzung des Internets am Arbeitsplatz geduldet, ist das Verbot von heute auf morgen schwer vermittelbar. Studien zufolge wurden 90 % aller Cyberattacken weltweit mit gestohlenen Zugangsdaten verübt.

Gute Planung macht ein Viertel des Projektaufwands aus. Beschäftigen Sie sich zu Beginn Ihres Sicherheitsprojekts mit diesen Fragen:

  • Kann ich den Schutzbedarf für die wichtigsten Systeme und Daten, auf denen mein Geschäftsmodell beruht, beschreiben?
  • Habe ich mich nicht nur mit dem seltenen "worst case", sondern vor allem mit den wahrscheinlichen Bedrohungen befasst?
  • Begegne ich diesen Bedrohungen angemessen, wirtschaftlich vertretbar und mit Sachverstand?
  • Habe ich meine Stammdaten so gesichert, dass ein Datenabfluss sofort bemerkt wird?

Wenn die Antwort jedes Mal "ja" war, dann sind Sie auf dem richtigen Weg. Jetzt bleiben noch vier weitere Schritte zu gehen:

  • Überlegen Sie, welche wertschöpfenden Prozesse besonders anfällig für Manipulation, Verlust oder Kompromittierung von Daten sind.
  • Bilden Sie Gruppen der Kritikalität. Sortieren Sie Anwender, Kunden, Geschäftspartner, Datenbanken, Endgeräte und IKT-Infrastrukturen so, dass der Lebenszyklus der schützenswerten Information vollständig abgedeckt wird, von der Projektskizze bis zum Archiv.
  • Handeln Sie nach den dabei gewonnenen Erkenntnissen. Beginnen Sie im Kleinen. Komplexer werden die Aufgaben von selbst, denn die Technologie entwickelt sich rasant weiter.
  • Machen Sie nicht alles selbst. Großkonzerne können sich eigene CERTs aufbauen. Die meisten Mittelständler werden damit überfordert sein. Suchen Sie sich Kooperationspartner, die in einer ähnlichen Lage sind wie Ihr Unternehmen.

Niemand kann alle Datenflüsse kontrollieren. Das ist auch nicht notwendig. Erst der Kontext macht aus einer Datei eine Information, die einen materiell bezifferbaren Wert darstellt. Betrachten Sie die Datenflüsse zwischen Ihrem Haus und Ihren Lieferanten und Marktpartnern. Dort, wo eine Wertschöpfung stattfindet, kann es durch fehlende Sicherheit auch schnell zu Wertvernichtung kommen.

Zum Schluss eine gute Nachricht: Wer jetzt für die Belange der Informationssicherheit ein vollständiges Inventar der kritischen Systeme, Komponenten und Anwendungen erstellt, hat damit zugleich eine valide Grundlage für die Umsetzung der EU-Datenschutzgrundverordnung geschaffen. Ihre Kunden werden es zu schätzen wissen, dass ihre Daten bei Ihnen sicher aufgehoben sind.