Aktuelles, Experten - geschrieben von dp am Dienstag, Februar 23, 2016 23:45 - noch keine Kommentare
KRITIS-Verordnung: Referenten-Entwurf zur Kommentierung vorgelegt
TeleTrusT begrüßt Ansatz, sieht aber Nachbesserungsbedarf
[datensicherheit.de, 23.02.2016] Nach einer Meldung des TeleTrusT – Bundesverband IT-Sicherheit e.V. hat das Bundesministerium des Innern den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März 2013 angesetzten Anhörung äußern die TeleTrusT-Fachgremien ihre grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.
Erster Schritt der Umsetzung
Mit der „KRITIS“-Verordnung werde §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung würden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen, erläutert TeleTrusT.
4 Anmerkungen zur „KRITIS“-Verordnung
Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:
- Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet.
Diese Regel basiere auf der Annahme, dass Ausfälle mit weniger betroffenen Haushalten technisch und organisatorisch aufgefangen werden könnten. Seien im konkreten Fall also 500.000 Haushalte betroffen, könne ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden.
TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen. - Der Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer acht.
Wie ein europaweiter Stromausfall von 2006 gezeigt habe, könne durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigten, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen könnten.
Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen. - Das für die Anlagenkategorie „Standortkopplung“ zugrundegelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch.
Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert werde, sei das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel.
TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren. - Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind.
Derzeit brächten alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssten Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein.
TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren