BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

Die Umsetzung des IT-Sicherheitsgesetzes (IT-SiG) läuft an: Betreiber kritischer Infrastruktur (KRITIS) der Sektoren Energie, IT+TK, Ernährung und Wasser müssen die ersten Prüfungsnachweise bereits zum 3. Mai 2018 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen. In einem "Multiplikatoren-Workshop" des BSI wurden Mitte Februar die Schulungsinhalte und -konzepte festgelegt, nach denen Prüfer fortgebildet werden sollen. Das wiederum definiert, was und vor allem wie letztlich geprüft werden soll.

Der Grundstein für die Prüfungen ist das am 25. Juli 2015 in Kraft getretene IT-SiG; konkret regelt Paragraph 8a die Vorgaben zur "Sicherheit in der Informationstechnik Kritischer Infrastrukturen". Im BSI-Workshop "Zusätzliche Prüfverfahrens-Kompetenz für Paragraph 8a BSIG" wurde mit den Ausbildern gemeinsam erarbeitet, wie Prüfer in die Lage versetzt werden, so zu prüfen und was sie prüfen sollen.

Weg von der reinen Wirtschaftlichkeit

In aller Regel sind die dabei geprüften Maßnahmen nicht neu und durchaus auch Bestandteil herkömmlicher Audits. Allerdings liegt die Latte bei den Kritis-Tests deutlich höher, da insbesondere auch die spezifischen Fragestellungen für die Verfügbarkeit auch in Notfallsituationen gestellt werden. So gilt etwa die Wirtschaftlichkeit nur noch sehr begrenzt als Entschuldigung, eine eigentlich erforderliche Maßnahme nicht umzusetzen.

Beispielsweise kann der Kritis-Prüfer durchaus den Einsatz von komplexen SPS-Steueranlagen bemängeln, die seit Jahren einwandfrei laufen und bisher quasi Branchenstandard sind, wenn diese inzwischen gravierende Schwachstellen aufweisen, mit denen ein wesentlicher Versorgungsengpass bewirkt werden könnte. Das darf dann nicht ohne weiteres in Kauf genommen oder durch eine Versicherung kompensiert werden.

Trotzdem führt ein solches Problem nicht zur Stilllegung der Anlage, was ja die Versorgung auch nicht verbessern würde. Vielmehr wird im anschließenden Dialog mit dem BSI und anderen zuständigen Aufsichtsbehörden diskutiert, wie mit den nicht erfüllten Maßnahmen und den dazu benannten Umsetzungsplänen des Betreibers verfahren wird. Derzeit bemüht man sich also eher um einen Dialog mit der Wirtschaft statt auf formale Vorgaben und Strafen zu setzen. Diese sind im Gesetz allerdings durchaus schon vorgesehen.

Wer muss sich prüfen lassen?

Kritische Infrastrukturen im Sinne des § 2 (10) BSIG sind Einrichtungen, Anlagen oder Teile davon, die:

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Von der aktuellen Prüfpflicht betroffen ist der am 3. Mai 2016 veröffentlichte 1. Korb bestehend aus den Branchen Energie, IT+TK, Ernährung und Wasser. Ob deren Betreiber allerdings tatsächlich alle bis zum Ablauf der Frist am 3. Mai 2018 beim BSI Prüfberichte einreichen, darf bezweifelt werden, da einige noch nicht mit der Umsetzung der Maßnahmen nach dem geforderten "Stand der Technik" begonnen haben. (ju)