Kritis(ch)

Drei Grundlagen für den Erfolg von KRITIS

| Autor / Redakteur: Robert Hellwig* | Advertorial / Susanne Ehneß

(Bild: SecuRisk GmbH)

Was Verwaltungen und Unternehmen bei der Umsetzung zum Schutz kritischer Infrastrukturen beachten sollten.

Nationale Strategie zum Schutz kritischer Infrastrukturen: Das klingt nach einer erforderlichen Maßnahme, nach Schutz des unbestritten bedeutsamen Wirtschaftsstandortes Deutschland, nach mehr Fragen als Antworten. So wissen einige Unternehmen gar nicht, ob oder dass sie Betreiber kritischer Infrastrukturen (KRITIS)­ sind und somit vom IT-Sicherheitsgesetz (IT-SiG) betroffen sind. Andere wissen nicht, wie sie Informationssicherheitsmanagementsysteme (ISMS) einrichten müssen. Ein Konvolut an Definitionen und Einstufungen tut sein Übriges. Trotz Bußgeldern von bis zu 100.000 Euro ist zudem nicht klar, wer für was verantwortlich ist. Dabei gibt es drei wichtige Aspekte, die Unternehmen bei der Umsetzung zum Schutz kritischer Infrastrukturen beachten sollten.

Der Kriterienkatalog steht fest. Bis Ende des Jahres werden für alle Branchen Sicherheitsmaßnahmen definiert. Die Branchen Energie, Ernährung, Wasser und IKT müssen die Vorgaben bereits in den nächsten zwei Jahren umsetzen. Sechs Prozent der Energieversorger haben ein ISMS eingerichtet und zertifizieren lassen. Bis zum 30. Januar 2018 müssen es 100 Prozent sein. Kontrolle und Überwachung wurden der Bundesnetzagentur (BNetzA) übertragen.

Für die anderen drei Branchen übernimmt diese Aufgabe das Bundesministerium für Sicherheit in der Informationstechnologie (BSI). Das IT-SiG soll ab 2017 verbindlich für alle KRITIS-Unternehmen gelten. Bis dahin müssen sie eine zentrale Ansprechstelle einsetzen. Sie muss jederzeit erreichbar sein, Vorfälle an das BSI melden und solche, die vom BSI gemeldet wurden, entgegennehmen, bearbeiten und entsprechend handeln. Bis dahin müssen Unternehmen jedoch noch einiges klären.

Zertifizierung

So müssen alle KRITIS-Betreiber auf Basis von „anerkannten Standards“ ein ISMS einrichten. Diese liefern das BSI mit dem IT-Grundschutz selbst und die DIN ISO/IEC 27001. Ersteres hat jedoch für die freie Wirtschaft i.d.R. ein zu starres Gefüge. Unternehmen, die sich bereits nach BSI zertifiziert haben, müssen sich daher im Zweifel nach ISO 27001 neu zertifizieren. Hinzu kommt: Der Geltungsbereich des ISMS muss auf das IT-SiG und an den KRITIS-Katalog zugeschnitten sein. Die passende Zertifizierung kann nur in Abstimmung mit einem qualifizierten und erfahrenen Berater sichergestellt werden.

Das schränkt jedoch eine ­Formulierung im IT-SiG ein. Dort heißt es, mit Ausnahme für die Energieversorger, dass KRITIS-Unternehmen ein ISMS zwar einrichten, aber nicht zertifizieren lassen müssen. Allerdings müssen sie dem BSI durch einen sogenannten geeigneten Nachweis glaubhaft machen, dass sie die Vorgaben einhalten.

Ohne Zertifizierung funktioniert das in der Regel nur durch aufwendige und kostspielige eigene Audits. Eine offizielle Zertifizierung gilt dann dafür drei Jahre lang. Pro Jahr erfolgt ein Zwischenaudit und Nachzertifizierungen werden erwartungsgemäß günstiger sein.

Eigeninitiative

Insbesondere für Branchen, die bisher nicht reguliert wurden, herrscht dagegen noch größere Unkenntnis. Unternehmen wissen nicht, ob sie zu den KRITIS gehören. Dadurch entsteht ein hoher Beratungsbedarf, für den es keine zentrale Anlaufstelle gibt. Recherchen im Internet bleiben erfolglos, gefundene Informationen sind unvollständig oder unverständlich verfasst.

Unternehmen können sich zwar direkt an das BSI wenden. Dieses antwortet aber in der Regel mit einer Kriterienliste, auf deren Grundlage es ohnehin systematisch nach Branche und Größe jene Unternehmen anschreibt, die KRITIS sind oder sein werden.

Wer sich vorher Klarheit verschaffen will, ist mit dem Gang zum Dienstleister gut beraten: Er ermittelt nicht nur, ob und wie weit ein Unternehmen als KRITIS einzustufen ist und ein ISMS einrichten muss, sondern auch was, wie und bei welchen Kosten. Er gibt Auskunft über individuelle Prozesse, Dokumente, Anforderungen, Abstimmungen und Umsetzung im täglichen Betrieb und wendet diese bei Bedarf an.

Ungelöst ist dagegen, wer haftet, wenn trotz richtiger Umsetzung ­aller Maßnahmen jene „dramatischen Folgen“ eintreten!

Dilemma

Momentan schieben sich die Behörden gegenseitig die Verantwortung zu. Das hat Auswirkungen auf die vorgegebenen Fristen. So stehen den guten Prüfkriterien schwammig formulierte Regelungsbereiche gegenüber und verhindern damit, dass Prüfinstitute zertifizieren.

Zum einen, da sie gar nicht wissen, nach welchen Richtlinien sie prüfen sollen. Zum anderen werden Prüfinstitute und Dienstleister nicht bereit sein, bei ungeklärter Haftungsfrage die Verantwortung zu übernehmen.

Am Ende können sich Unternehmen also sicher sein: Sind sie Betreiber kritischer Infrastrukturen, müssen sie trotz ungewisser Fristen früher oder später ein ISMS einrichten und dieses nachweisen. Gewissheit, was getan werden muss, schaffen professionelle Berater.

Auf eine klare Regelung der Haftung dagegen konnte sich der Gesetzgeber bislang nicht einigen.

* Robert Hellwig ist ISMS-Experte, zertifizierter ISO 27001 Lead Auditor und Senior Consultant sowie Prokurist bei der SecuRisk GmbH. Das Unternehmen ist eine der fünf Töchter der international agierenden DATA CENTER GROUP und Spezialist für Informationssicherheit, nicht nur in Rechenzentren. Im Auftrag seiner Kunden führt SECUrisk unter anderem Risikoanalysen und Beratungen durch.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44236975 / Fachanwendungen)