KRITIS-FAQ
Unser Webtalk "Steigende KRITIS-Anforderungen mit der richtigen Strategie meistern" ist auf sehr großes Interesse gestoßen. Das zeigt auch die Anzahl der Fragen, die wir nach dem Live-Webtalk rund um KRITIS erhalten haben.
Die ISO 27001 Zertifizierung ist ja bereits ein sehr umfangreicher Prüfkatalog. Sind die KRITIS-Anforderungen damit nicht schon im Prinzip erfüllt?
Die Antwort muss "ja" und "nein" lauten. Natürlich sind mit der ISO 27001 Zertifizierung einige Forderungen erfüllt, die der Gesetzgeber mittels eines Prüfers abhaken kann. Aber in den B3S, in den branchenspezifischen Katalogen, sind noch deutlich andere und diversifizierte Anforderungen zu finden. Das heißt, dass mit der ISO 27001 Zertifizierung nur eine Teilanforderung erfüllt ist. Mit anderen Worten: Die Zertifizierung ist kein "Freifahrtschein" für eine abgenommene KRITIS-Prüfung. Im KRITIS-Audit ist eine deutlich stärkere Anforderungsliste zu erfüllen.
Wie sehen Sie die Zukunft bzw. Qualität der Cloud-Anbieter für KRITIS-pflichtige Unternehmen? Denn Kritische Dienstleistungen werden ja auch aus der Cloud heraus erbracht.
Sicher werden kritische Dienstleistungen aus der Cloud heraus erbracht. Als KRITIS-pflichtiges Unternehmen hinterfragt man natürlich bei jedem Prozess und jeder einzelnen Anwendung, ob sie KRITIS-konform sind. Schließlich investieren Unternehmen viel Geld in die digitale Transformation. Das heißt sie sind hier wirklich darauf angewiesen, dass auch die Cloud-Dienstleister den C5 (Cloud Computing Compliance Criteria Catalogue)-Anforderungskatalog erfüllen. Die C5 wird sicherlich noch einmal überarbeitet werden. Es ist zudem davon auszugehen, dass bei den Cloud-Anbietern noch einmal nachjustiert wird, was die Transparenz und was letztlich die Resilienz anbelangt. Zum Beispiel in Bezug auf den Standort des Cloud-Anbieters - nur in Deutschland oder nur in Europa. Datenschutz und andere Anforderungen an die Cloudanbieter wachsen ständig. Die Cloud-Anbieter haben schon reagiert. Es ist schon einiges passiert. Das heißt es ist davon auszugehen, dass die Cloud-Anbieter selbst versuchen ihre Marktanteile weiter auszubauen. Das ist aber auch die Chance für die Euro-Cloud hier Mal zu punkten und den Hyperscalern etwas entgegenzusetzen. Stichwort GAIA-X. Das sind Initiativen, die auch ihre Cloud-Transformation trotz KRITIS-Anforderung sichern können.
Wie ist der konkrete Ablauf eines KRITIS-Pre-Audits?
Das Pre-Audit dient dazu, eine mögliche Mängelliste zu erstellen, bevor man auf den autorisierten Prüfer trifft. Rosenberger OSI bietet eine Pre-Auditierung nach DIN EN 50600-Regelwerk an. Diese umfasst die Bestandsaufnahme und Analyse der technischen Informationssicherheit und der baulichen sowie physischen Sicherheit Ihrer IT-Infrastruktur. Dabei wird ermittelt, ob und welcher Änderungsbedarf notwendig ist, um die Anforderungen nach dem BSI-Gesetz zu erfüllen. Anschließend wird daraus ein Maßnahmenkatalog mit konkreten technischen und/oder organisatorischen Maßnahmen abgeleitet.
Wie viele Colocation-Anbieter rechnen Sie zum KRITIS-befähigten Anbieterkreis?
In der Welt der Colocation-Anbieter hat sich viel getan. Zum Beispiel in Bezug auf die Erfüllung der Anforderungen im Bereich Sustainability, Redundanz und Tier-Level. Vor dem Hintergrund der gestiegenen KRITIS-Anforderungen ist davon auszugehen, dass auch die Colocation-Anbieter stark nachlegen werden. Denn ansonsten müssen diese ja um ihre Kunden fürchten.
Können Sie etwas zum Thema „Leitstelle der Zukunft“ sagen?
Die Leitstelle leitet bei einer Gefahrenlage den Einsatzbetrieb und koordiniert die angeschlossenen Dienste. Das betrifft zum Beispiel Feuerwehr, Polizei oder Rettungsdienst. Die Leitstellen sind auch der digitalen Transformation unterworfen. Sie müssen ausgebaut werden und sind auch KRITIS-pflichtig. Es gibt einen Arbeitskreis, der sich darum kümmert, Leitstellen zu digitalisieren. Das ist besonders wichtig vor dem Hintergrund, dass mögliche Bedrohungsszenarien zugenommen haben. Bisher gab es zum Beispiel terroristische Attacken, hinzu kamen Tornados und Überschwemmungen, aber auch eine mögliche Kriegssituation sollte bedacht werden. Weitere Informationen hierzu.