Schutz Kritischer Infrastrukturen: IT Sicherheitsgesetz Verordnung und Basisschutz
Mit Inkrafttreten des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) am 14.08.2009 sind Betreiber Kritischer Infrastrukturen, kurz KRITIS, verpflichtet, binnen 2 Jahren Sicherheitsstandards für ihre IT zu etablieren. Das betrifft alle Unternehmen, welche den Sektoren Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören.
Artikel Tipp: Informationssicherheit steigern mit Prozess-Monitoring
IT Sicherheitsgesetz Rechtsverordnung
„Nicht alle Unternehmen müssen nach ISO/IEC 27001 zertifiziert werden. Allerdings müssen alle betroffenen Unternehmen durch unabhängige Audits IT Sicherheitsstandards nachweisen.“ (BSIG)
Artikel Tipp: Mit ISO 27001 zu mehr Datensicherheit
War die Definition von Kritischen Infrastrukturen etwas schwammig, sollen nun die Verordnungen zum IT Sicherheitsgesetz mehr Klarheit schaffen. Am 3. Mai 2016 ist die vom Bundesminister vorgelegte Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz in Kraft getreten. Betreiber der Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung können nun feststellen, ob die von ihnen betriebenen Anlagen Kritische Infrastrukturen sind. Sind sie betroffen, werden sie verpflichtet Sicherheitsstörungen ihrer informationstechnischen Systeme, bzw. Geschäftsprozesse binnen 6 Monaten dem BSI zu melden. Innerhalb von 2 Jahren müssen die Betreiber die Mindeststandards an IT Sicherheit nachweisen. Bis Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden. (Quelle: BMI)
IT Sicherheitsgesetz Rechtsverordnung
Bedeutung von IT Sicherheit im Rahmen des IT Sicherheitsgesetzes BSI
„1. Betreiber Kritischer Infrastrukturen sind verpflichtet, [...] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“
„2. Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt [BSI] stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. [...]“ (BSIG §8a)
„3. Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. [...]“ (BSIG §8a)
Artikel Tipp: Informationssicherheit steigern mit Geschäftsprozesse Monitoring und ISMS
Prozesse- und Infrastruktur Monitoring als IT Basisschutz
IT Sicherheit umfasst alle Bereiche, welche IT Risiken ausgesetzt sein können. Dazu gehören Systeme, Personen, Netzwerke, Hardware und Software, Einrichtungen, Anlagen und Gebäude. Durch Basischutz-Maßnahmen wie Prozesse- und Infrastruktur Monitoring oder der Umsetzung eines ISMS sollen Bedrohungen und Schwachstellen rasch erkannt und reduziert werden.
Informationssicherheit in Kritischen Infrastrukturen steigern mit dem WOTAN SAP Change Management Monitor:
Erfahren Sie mehr über den WOTAN SAP Change Management Monitor und Netwrix im folgenden Video: