Merkmale und regulatorische Grundlagen kritischer Infrastrukturen (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwohl, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das IT-Sicherheitsgesetz verpflichtet deren Betreiber, Sicherheitsstandards zum Schutz der IT-Systeme, IT-Komponenten und IT-Prozesse einzuführen, um durch angemessene Vorkehrungen unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu sein.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) nach dem BSI-Gesetz hat insgesamt neun unterschiedliche Bereiche definiert, welche besonders schützenswert sind:

  • Energie
  • Wasser
  • Ernährung
  • Informations- und Kommunikationstechnik
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Staat und Verwaltung
  • Medien und Kultur

Nach §8a BSIG sind Betreiber Kritischer Infrastrukturen dazu verpflichtet mindestens alle zwei Jahre die Erfüllung der Anforderungen (bspw. die Kernforderung des IT-Sicherheitskatalogs: Betrieb eines ISMS nach ISO/IEC 27001) nachzuweisen. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich neben dem Sektor zusätzlich nach diversen Schwellenwerten.

Schwellenwerte der einzelnen Sektoren

Für nachfolgende Sektoren sind seit Mai 2016 in Korb I der BSI-KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Energie: Stromversorgung, Gasversorgung, Versorgung mit Kraftstoff und Heizöl und Fernwärme (Schwellenwerte)
  • Wasser: Öffentliche Wasserversorgung, Abwasserbeseitigung (Schwellenwerte)
  • Ernährung: Ernährungswirtschaft, Lebensmittelhandel (Schwellenwerte)
  • Informations- und Kommunikationstechnik: Sprach- und Datenübertragung, Datenspeicherung und Datenverarbeitung (Schwellenwerte)

Für folgende Sektoren sind seit Mai 2017 im Korb II der BSI- KritisV folgende Schwellenwerte und deren dazugehörige Branchen definiert:

  • Finanz- und Versicherungswesen: Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen (Schwellenwerte)
  • Gesundheit: Medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten (Schwellenwerte)
  • Transport und Verkehr: Transport von Gütern, Transport von Personen im Nah- und Fernbereich (Schwellenwerte)

Der Sektor Staat und Verwaltung ist nicht im BSIG geregelt und verfügt daher über keine definierten Schwellenwerte. Nichtsdestotrotz ist die Handlungsfähigkeit staatlicher Einrichtungen Voraussetzung für das Vertrauen in die Handlungsfähigkeit des Staates und damit auch Garant für die Innere Sicherheit der Bundesrepublik Deutschland. Die Störung einzelner Institutionen würde sich negativ auf das Gemeinwohl auswirken, weshalb das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) 2005 in einem ersten Schritt ein Konzept zur Planung und zum Aufbau einer zuverlässigen Notstromversorgung erarbeitet hat. Folgende Branchen zählen zum Sektor Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschl. Katastrophenschutz

Ebenso verfügt der Sektor Medien und Kultur über keine Regelung im BSIG. Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion sind für die Meinungsbildung, sowie Warnung und Information der Bevölkerung in Krisen- und Notlagen von entscheidender Bedeutung. Sie haben damit eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes.  Weiterhin ist der Schutz und Erhalt von symbolträchtigen Bauwerken und Kulturgut von hoher psychologischer Bedeutung für die Gesellschaft. Gemäß des Haager Abkommens von 1954 müssen Kulturgüter geschützt und respektiert werden. Der Sektor Medien und Kultur beinhaltet folgende Branchen: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut und symbolträchtige Bauwerke.

Nachhaltige Verbesserung der IT-Sicherheit durch ibi systems iris

Mit ibi systems iris implementieren und betreiben Sie ein Informationssicherheitsmanagementsystem (ISMS) nach gängigen Standards wie ISO/IEC 27001. Insbesondere bei einer angestrebten Zertifizierung unterstützt Sie die ISMS- und GRC-Software „ibi systems iris“ vollumfänglich und umfassend.

Beginnend mit der Erfassung der IT-Infrastruktur (Assets, Prozesse) über die Durchführung von IT-Sicherheitsprüfungen bis hin zum Betrieb des Risiko-Managements haben Sie mit ibi systems iris ein effektives Tool zur Hand, das Ihnen bei Ihrer täglichen Arbeit eine enorme Aufwandsersparnis verspricht. Natürlich sind die Dokumentation, Steuerung und Planung von umfassenden Follow-up-actions ebenso wie ein individualisierbares und übersichtliches Reporting möglich.

Zurück zur Übersicht

____________________

Quellen:

  • Verordnung des Bundesministeriums des Innern (2016): Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-Kritisverordnung- BSI-KritisV), Online im Internet: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/BSI_Kritisverordnung_Final.pdf?__blob=publicationFile , Abfrage: 29.10.2018, 12:38 Uhr.

Inhalte der Studie

Steigende Bedeutung von Informationssicherheit und neue gesetzliche Anforderungen motivieren Unternehmen nahezu aller Branchen zur Einführung eines nativen Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der DIN ISO/IEC 27001. Zur IT-seitigen Unterstützung des ISMS stehen am Markt zahlreiche Werkzeuge zur Verfügung, deren Leistungsspektrum jedoch häufig intransparent ist und die i.d.R. nur einzelne, weitläufig bekannte ISMS-Aufgaben unterstützen. Im Rahmen des Forschungsvorhabens „CISO27“ wurden daher in früheren Forschungsiterationen funktionale Anforderungen an ISMS-Tools und ein Referenzprozess zur Umsetzung eines nativen ISMS-Vorgehens erarbeitet. Im Rahmen dieser Studie wurden dazu ergänzend eine strukturierte Marktstudie zu verfügbaren ISMS-Tools erstellt und deren Funktionalitäten entlang des Anforderungskataloges bewertet.

Die Tool-Analyse wurde in einem 2-stufigen Evaluationsverfahren durchgeführt. Für eine initiale Bewertung der Tools wurden öffentlich zugängliche Informationen herangezogen. Danach erfolgte eine vertiefte Analyse mit Hilfe von geführten Produktdemonstrationen und/oder Testversionen der Tools (herstellerseitiges Freiwilligenprinzip).

Ergebnisse der Studie

Die Ergebnisse der Studie sind in der Tabelle aufgeführt. Dabei wurden auf der X-Achse die erzielten Punkte im Bereich der Standard-Anforderungen an ein ISMS-Tool kumuliert. Auf der Y-Achse wurden Zusatzpunkte für ergänzende Funktionalitäten und Module zur Unterstützung der Do-, Check- und Act-Phase aufsummiert.

Das ISMS-Tool ibi systems iris überzeugte in der Studie und rangiert in der absoluten Spitzengruppe. In Bezug auf die Erfüllung der Standard-Anforderungen landete die Software unter den TOP 2 und konnte auch hinsichtlich zusätzlicher Funktionalitäten und Module punkten. Damit ist ibi systems iris bestens geeignet die Umsetzung eines ISMS nach ISO 27001 zu unterstützen.

Die komplette Studie finden Sie unter folgendem Link: https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y

Zurück zur Übersicht

____________________

Quellen:

  • Hofmann, Marlen, Hofmann, Andreas (2017): ISMS-Tools zur Unterstützung eines nativen ISMS gemäß ISO 27001, Online im Internet: https://dl.gi.de/bitstream/handle/20.500.12116/3928/B21-2.pdf?sequence=1&isAllowed=y, Abfrage: 10.09.2018, 10:49 Uhr.

Ausgangslage

Die Unternehmen in Deutschland wurden in den letzten zwei Jahren vor allem im Zusammenhang mit der Digitalisierung mit Themen wie Cyberkriminalität, Datenklau und Spionage zunehmend konfrontiert. Im Fokus stehen die zentralen Werte unserer Wissensgesellschaft: Informationen, Kommunikation und geistiges Eigentum. Aus den fiktiven Risikoszenarien von einst sind echte Fälle mit echten Schäden geworden. Betroffen sind dabei alle Unternehmen, vom Mittelständler bis zum Großkonzern.

Im Rahmen einer Studie von Ernst & Young wurden 450 Führungskräfte deutscher Unternehmen bzgl. ihrer Erfahrungen mit Cyberkriminalität und ihrer zukünftigen Einschätzung zu Themen wie Datendiebstahl und Cyberattacken befragt. Diese Studie wird alle zwei Jahre durchgeführt, wodurch Entwicklungen und Trends erkennbar sind. Die Ergebnisse der Studie 2017 werden im Folgenden vorgestellt.

„Die Gefährdung durch Datenklau und Cyberkriminalität war niemals größer. Gleichzeitig gehen aber noch viele Unternehmen viel zu sorglos mit dem Thema Datensicherheit um.“

Bodo Meseke, Partner, Ernst & Young GmbH

Ergebnisse der Studie

Fast jedes zweite Unternehmen wurde in den vergangenen drei Jahren ausspioniert. Dieser Wert hat sich im Vergleich zur zuletzt durchgeführten Studie mehr als verdreifacht. Des Weiteren schätzen drei von fünf befragten Managern das Risiko für ihr Unternehmen hoch ein, ein Opfer von Cyberangriffen bzw. Datenklau zu werden. Das ist eine Zunahme um fast 80% und verdeutlicht das deutlich gestiegene Gefahrenbewusstsein für diese Thematik. Fast alle Befragten (97%) erwarten eine in Zukunft steigende Bedeutung von Cyberkriminalität. Vor allem Großunternehmen und Unternehmen aus der Energie- und Finanzbranche zeigten sich besonders alarmiert. Insbesondere gefürchtet sind dabei organisiertes Verbrechen, Hacktivisten (z.B. Anonymous) und ausländische Geheimdienste.

Demgegenüber schätzen über 80% der befragten Unternehmen ihre Präventionsmaßnahmen als ausreichend ein. Während sich Firewall, Passwörter und Antivirenschutz als Standardmaßnahmen gefestigt zu haben scheinen, stagniert etwa die Durchführung einer Zertifizierung nach BSI-Standard mit einer Nennung von rund einem Viertel der befragten Unternehmen. Bei der Aufdeckung von Spionageangriffen war in rund vier von fünf Fällen ein internes Kontrollsystem behilflich.

IT-Sicherheit durch Einsatz geeigneter Tools verbessern

Nicht zuletzt aktuelle Beispiele zeigen, wie wichtig es für Unternehmen ist, auftretende Schwachstellen rechtzeitig zu erkennen und durch geeignete Maßnahmen zu schließen. So wurden vor kurzem gravierende Sicherheitslücken in Intel-Chips entdeckt, wodurch mit einem Schlag Millionen PCs rund um den Globus betroffen waren. Diese Schwachstelle erlaubt es Angreifern, geschützte Daten wie etwa Passwörter auszulesen. Da die Schwachstelle schon seit mehr als einem halben Jahr bekannt ist, konnten die Unternehmen bereits Updates entwickeln, welche zeitnah für die betroffenen Geräte zur Verfügung gestellt werden.

Unternehmen können unabhängig von ihrer Größe die IT-Sicherheit insgesamt durch den Einsatz von geeigneten Tools verbessern. Mit ibi systems iris als Tool zur effektiven und effizienten Unterstützung des IT-Sicherheitsmanagements können u.a. Risiken und Schwachstellen erfasst sowie geeignete Maßnahmen zu deren Behandlung bzw. Schließung definiert und dokumentiert werden. Auch das interne Kontrollsystem kann durch die Durchführung von regelmäßigen Prüfungen unterstützt werden. Die Prüfungen und weitere Elemente wie Risiken, Schwachstellen, Maßnahmen, Assets, Prozesse, Regelwerke, Kennzahlen und Dokumente werden alle in ibi systems iris abgebildet, wodurch ein gesamtheitlicher Überblick etwa über den Status der IT-Sicherheit jederzeit eingesehen und in Form von Berichten ausgegeben werden kann.

Haben wir Ihr Interesse geweckt? Bitte kommen Sie gerne auf uns zu (info@ibi-systems.de; +49 (0)941-462939-0)!

Zurück zur Übersicht

____________________

Quellen:

  • Meseke, Bodo, Bandemer, Matthias (2017): Datenklau: Virtuelle Gefahr, echte Schäden, Online im Internet: http://www.ey.com/Publication/vwLUAssets/ey-datenklau-virtuelle-gefahr-echte-schaeden-2/$FILE/ey-datenklau-virtuelle-gefahr-echte-schaeden-2.pdf, Abfrage: 04.01.2018, 13:45 Uhr.
  • n-tv (2018): Nahezu alle Intel-Chips unsicher: Gravierende Lücke bedroht Millionen PCs, Online im Internet: https://www.n-tv.de/technik/Gravierende-Luecke-bedroht-Millionen-PCs-article20212186.html, Abfrage: 04.01.2018, 15:15 Uhr.
  • n-tv (2018): Chips im Kern angreifbar: Das muss man zur Monster-Lücke wissen, https://www.n-tv.de/technik/Das-muss-man-zur-Monster-Luecke-wissen-article20213867.html, Abfrage: 04.01.2018, 15:15 Uhr.

Zielsetzung und Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (EU-DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Vor allem der verfolgte risikobasierte Ansatz hinsichtlich technisch-organisatorischer Maßnahmen ist hervorzuheben. Die Umsetzung des Datenschutzes war den Mitgliedsstaaten der EU bisher selbst überlassen. Dies führte innerhalb der EU zu einem ungleichen Datenschutzniveau und vielen unterschiedlichen nationalen Regelungen. Die EU-DSGVO soll nun einen gemeinsamen Rechtsrahmen schaffen, um das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich zu vereinheitlichen.

Inhalte der EU-DSGVO

Die wichtigsten Inhalte und Änderungen nach der neuen EU-DSGVO sind nachfolgend aufgelistet und erläutert:

  • Recht auf „Vergessen werden“: Falls es keine legitimen Gründe für eine weitere Speicherung der Daten gibt, werden die Daten der Nutzer auf deren Wunsch hin gelöscht.
  • „Opt-in“: Nutzer müssen aktiv zustimmen (nicht wie bisher: aktiv widersprechen), wenn persönliche Daten verarbeitet werden.
  • Recht auf Transparenz: Nutzer dürfen erfahren, welche Daten zu ihnen gesammelt und wie diese verarbeitet werden.
  • Zugang und Datenportabilität: Der Zugang zu den bei Dritten über einen Nutzer verarbeitete Daten soll für diesen vereinfacht werden. Zudem ist sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zum anderen übertragen werden können.
  • Schnelle Meldung: Bei Datenverlust von personenbezogenen Daten müssen Unternehmen so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen (im Regelfall binnen 24 Stunden).
  • Erweiterter Geltungsbereich: Die EU-DSGVO gilt auch für Unternehmen, die keinen Sitz in der EU haben. Der Geltungsbereich wurde auf alle Unternehmen ausgeweitet, deren Angebot sich an EU-Bürger richtet und die daher personenbezogene Daten von EU-Bürgern verarbeiten.
  • Widerspruchsrecht: Die betroffenen Personen können insbesondere einer Datenverarbeitung im Zusammenhang mit Direkt-Marketing widersprechen.
  • Hohe Bußgelder: Bei Verstößen drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde.
  • Jugendliche erst ab 16: Die rechtswirksame Anmeldung bei Online-Services wie Facebook soll Jugendlichen erst ab 16 ermöglicht werden. Nationale Gesetze sollen hierbei jedoch Ausnahmen ermöglichen.
  • Stärkung nationaler Aufsichtsbehörden: Nationale Datenschutzbehörden dürfen einzelnen Unternehmen verbieten, Daten zu verarbeiten. Außerdem dürfen sie gewisse Datenflüsse stoppen sowie Bußgelder gegen Unternehmen aussprechen. Diese Geldstrafen können bis zu zwei Prozent des jährlichen weltweiten Jahresumsatzes entsprechen.
  • One-Stop-Shop-Prinzip: Privatpersonen können sich bei Datenmissbrauch an ihre jeweilige nationale Datenschutzbehörde wenden. Ebenso müssen sich Unternehmen nur noch mit der Datenschutzbehörde in Verbindung setzen, in deren Land sie ihren Hauptsitz haben.
  • Pflicht zur Bestellung eines Datenschutzbeauftragten: Nach der EU-DSGVO besteht grundsätzlich die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. In jedem Fall muss dieser bestellt werden, wenn die Verarbeitung von personenbezogenen Daten den Kern des Geschäftsmodells darstellt.
  • Risikomanagement: Die EU-DSGVO hat bzgl. technisch-organisatorischer Maßnahmen einen stärkeren risikobasierten Ansatz und erfordert eine Dokumentation der Risikoeinschätzung.
  • Datenschutzfolgenabschätzung: Die Durchführung einer Datenschutzfolgenabschätzung wird für besonders risikobehaftete Datenverarbeitungen vorgeschrieben. Der Datenschutzfolgenabschätzung sollte daher ein adäquates Risikomanagement vorausgehen.

Herausforderungen für Unternehmen

Die Unternehmen sollten sich bereits frühzeitig um die Umsetzung der neuen EU-DSGVO kümmern – auch wenn diese erst im Mai 2018 verpflichtend wird. Die Übergangsfrist bis dahin sollte von den Unternehmen genutzt werden, um Anpassungen in ihren Prozessen durchzuführen, da ansonsten mit Sanktionen zu rechnen ist. Im Folgenden sind einige Herausforderungen aufgeführt, die sich für die Unternehmen ergeben. Dies gilt vor allem bzgl. der Prozesse und Dokumente, welche auf Konformität zur EU-DSGVO zu prüfen sind:

  • Risikobewertungen zur Festlegung geeigneter Maßnahmen
  • Einführung/Durchführung der Datenschutzfolgenabschätzung
  • Dokumentation der Datenverarbeitungsprozesse
  • Anpassung der Datenschutzerklärung
  • Einwilligungserklärung (Prozess für Widerruf der Einwilligung)
  • Betriebsvereinbarungen
  • Vereinbarungen zur Auftragsverarbeitung
  • Prozess bei Datenpannen
  • Verfahren für Übertragung von Daten in gängigem elektronischem Format
  • Durchführung von Schulungen zu den Neuerungen der EU-DSGVO für Mitarbeiter
  • Monitoring nationaler Gesetzgebung

„Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten.“

Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswich Inc.

Einsatzmöglichkeiten von ibi systems iris

Mit ibi systems iris haben Sie das perfekte Werkzeug zur Hand, um die relevanten Bereiche Ihres Unternehmens auf die Anforderungen der EU-DSGVO vorzubereiten. Es besteht die Möglichkeit, die Einhaltung der EU-DSGVO durch Audits zu überprüfen und Schwachstellen festzustellen. Außerdem ermöglicht iris ein umfangreiches Risikomanagement inklusive Dokumentation der Risikobewertung und Festlegung von Maßnahmen.

Zurück zur Übersicht

____________________

Quellen:

  • Ackermann, Astrid (2016): EU-Datenschutz-Grundverordnung: Das sind die Neuerungen, Online im Internet: https://www.datenschutzbeauftragter-info.de/eu-datenschutzgrundverordnung-das-sind-die-neuerungen/, Abfrage: 23.01.2016, 10:27 Uhr.
  • bitkom (2016): Was muss ich wissen zur EU-Datenschutz Grundverordnung: FAQ, Online im Internet: https://www.privacy-conference.com/sites/default/files/160909_EU-DS-GVO_FAQ_03.pdf, Abfrage: 24.01.2017, 11:01 Uhr.
  • Dr. Datenschutz* (2016): 10 Vorteile der EU-Datenschutz-Grundverordnung, Online im Internet: https://www.datenschutzbeauftragter-info.de/10-vorteile-der-eu-datenschutz-grundverordnung/, Abfrage: 23.01.2017, 15:34 Uhr.
  • Hülsbömer, Simon (2016): Ab 2018: Das ist der neue EU-Datenschutz, Online im Internet: http://www.computerwoche.de/a/der-neue-eu-datenschutz-ab-2018-alles-wichtige,3226704, Abfrage: 23.01.2017, 17:05 Uhr.

*Dr. Datenschutz ist ein Pseudonym für Mitarbeiter der intersoft consulting services AG