Anforderungen an KRITIS nach Sicherheitsstandard B3S

Betreiber drohen Bußgelder bei Nichtbeachtung des BSI-Gesetzes

Von unserem Gastautor Mirko Bulles, Director Technical Account Management EMEA bei Armis

[datensicherheit.de, 16.02.2023] Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen von erheblicher gesellschaftlicher Bedeutung. Deren Ausfall oder Beeinträchtigung kann daher zu nachhaltigen Versorgungsengpässen, ernsten Beeinträchtigungen der öffentlichen Sicherheit oder anderen verheerenden Konsequenzen für die nationale Ordnung führen.

Mirko Bulles, Director Technical Account Management EMEA bei Armis, Bild: Armis

Verpflichtungen für Betreiber

Betreiber kritischer Infrastrukturen sind verpflichtet, geeignete organisatorische und technische Vorkehrungen zu treffen, um Fehler hinsichtlich der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, zu vermeiden. Dabei ist immer der gesetzlich definierte „Stand der Technik“ zu beachten. Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der Aufwand im Hinblick auf die Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur nicht unverhältnismäßig ist.

BSI-Gesetz regelt Bußgelder bei Verstößen

Das BSI-Gesetz (BSIG) hat in diesem Zusammenhang Bußgelder, u.a. für folgende Fälle, in seinen Katalog aufgenommen. Die Nichtbeibringung von Nachweisen oder nicht fristgerechte Beibringung ist strafbar. Der Verstoß gegen § 8b Absatz 3 Nummer 4 wird nun auch mit einem Bußgeld bedacht, wenn die Erreichbarkeit eines Ansprechpartners nicht gewährleistet ist. Des Weiteren sind auch Fälle, in denen dem BSI – unter Verstoß gegen § 8a Abs. 4 Nr. 2 (Überprüfung durch das BSI oder § 8b Abs. 3a (Informationspflicht bei Nichtregistrierung) – kein Zugang zu einem Raum gewährt wird, ein Dokument nicht oder nicht rechtzeitig zur Verfügung gestellt wird, mit einer empfindlichen Strafe belegt. Mit dem IT-Sicherheitsgesetz 2.0 wurde der Spielraum für Bußgelder auf vier Stufen erhöht, die je nach den Umständen von 100.000 bis zu 20 Mio. EUR (für Fälle gegen juristische Personen) reichen.

Bei dem Verstoß gegen eine oder mehrere dieser Verordnungen drohen massive Bußgelder, wie der Anforderungskatalog des BSIG aufzeigt:

• Nichtbefolgung einer Anordnung des BSI zur Behebung eines Sicherheitsmangels: bis zu 20 Mio. EUR
• Versäumnis, Beweise zu erbringen: bis zu 10 Mio. EUR
• Versäumnis, Schutzmaßnahmen gemäß § 8a Absatz 1 des BSI-Gesetzes durchzuführen: bis zu 10 Mio. EUR
• Versäumnis der Registrierung: bis zu 500.000 EUR
• Versäumnis, Störungen zu melden: bis zu 500.000 EUR
• Nichtverfügbarkeit des Ansprechpartners: bis zu 100.000 EUR

Komplexität der Anforderungen

Der Anforderungskatalog in Abschnitt 8a (1) der BSIG ist in 12 Kapitel unterteilt, wobei jedes Kapitel eine eigene Kategorie von Anforderungen enthält. Es gibt keinen Anbieter, der einem Unternehmen für alle 100 Punkte eine perfekte Lösung liefern kann. Aus diesem Grund ist die Wahl des richtigen Technologiepartners in diesem Zusammenhang essenziell, um mit den komplexen Vorschriften, sowie der dynamischen Bedrohungslandschaft Schritt halten zu können. So kann ein Anbieter wie Armis beispielsweise, Organisationen dabei unterstützen, die zahlreichen Anforderungen, Fähigkeiten und erforderlichen Messungen abzudecken. Die technische Entwicklung ist schneller als die Gesetzgebung, weshalb es sich in vielen Rechtsbereichen seit vielen Jahren bewährt hat, Gesetze auf den „Stand der Technik“ zu stützen, anstatt zu versuchen, spezifische technische Anforderungen im Gesetz zu definieren. Was das zu einem bestimmten Zeitpunkt bedeutet, kann z.B. anhand bestehender nationaler oder internationaler Standards und Normen wie DIN, ISO, DKE oder ISO/IEC ermittelt werden. Ab dem 1. Mai 2023 sind die Betreiber kritischer Infrastrukturen verpflichtet, solche Angriffserkennungssysteme als Teil der angemessenen Vorkehrungen einzusetzen, um Störungen der von ihnen betriebenen kritischen Infrastrukturen zu vermeiden.

Angriffserkennungssysteme und ihr branchenspezifischer Einsatz

Nach der Definition in § 2 Abs. 9b Satz 1 BSIG sind Systeme zur Angriffserkennung Prozesse, die durch technische Mittel und organisatorische Einbindung unterstützt werden. Dies bedeutet, dass die Systeme neben technischen, explizit auch organisatorische Maßnahmen erfordern und diese daher bei der Planung des Ressourceneinsatzes angemessen berücksichtigt werden müssen.

Die spezifischen Bestimmungen über die Funktionalität von Angriffserkennungssystemen schreiben vor, dass Unternehmen in der Lage sein müssen, geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch zu erfassen und auszuwerten. Zudem hilft der Abgleich, der in einem Netzwerk verarbeiteten Daten dabei Bedrohungen kontinuierlich zu erkennen, zu verhindern und wenn nötig geeignete Abhilfemaßnahmen zu ergreifen. Neben der erfolgreichen Umsetzung der Regularien ist die Sicherstellung von Transparenz der Schlüssel zum Schutz der verschiedenen IT-, OT-, IoT- und IoMT-Umgebungen. Die Fragen – um welche Assets es sich handelt, wie viele es sind, wo sie sich befinden, wie sie sich verhalten, wie wichtig sie sind und ob sie in irgendeiner Weise verwundbar sind – müssen alle Organisationen beantworten, um einen effektiven Schutz gewährleisten zu können.

Fazit

Einer umfassenden IT-Sicherheitsstruktur kommt im KRITIS-Umfeld eine große Bedeutung zu. Die Absicherung der digitalen Prozesse gemäß den gesetzlichen Vorgaben ist dabei in Verbindung mit der technischen Ausstattung entscheidend. Die Missachtung der Standards und Versäumnisse gefährden direkt die gesellschaftliche Ordnung und indirekt auch Menschenleben. Deshalb sind im IT-Sicherheitsgesetz besonders hohe regulatorische Auflagen zur Absicherung digitaler Prozesse für KRITIS-relevante Organisationen definiert. Diese Einrichtungen müssen regelmäßig nachweisen, dass alle notwendigen Mittel zum Schutz ihrer Systeme zur Verfügung stehen und auf dem Stand der Technik sind. Aufbauend auf dem IT-Sicherheitsgesetz liefern die von der Deutschen Krankenhausgesellschaft (DKG) definierten branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus weiterführende Vorgaben. B3S umfasst Maßnahmen für den Aufbau einer widerstandsfähigen Cybersicherheit, die die medizinische Versorgung der Patienten sicherstellt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung