Fragen & Antworten rund um Kritische Infrastrukturen

Unser Webtalk "Steigende KRITIS-Anforderungen mit der richtigen Strategie meistern" ist auf sehr großes Interesse gestoßen. Das zeigt auch die Anzahl der Fragen, die wir nach dem Live-Webtalk rund um KRITIS erhalten haben.

Die ISO 27001 Zertifizierung ist ja bereits ein sehr umfangreicher Prüfkatalog. Sind die KRITIS-Anforderungen damit nicht schon im Prinzip erfüllt?
Die Antwort muss "ja" und "nein" lauten. Natürlich sind mit der ISO 27001 Zertifizierung einige Forderungen erfüllt, die der Gesetzgeber mittels eines Prüfers abhaken kann. Aber in den B3S, in den branchenspezifischen Katalogen, sind noch deutlich andere und diversifizierte Anforderungen zu finden. Das heißt, dass mit der ISO 27001 Zertifizierung nur eine Teilanforderung erfüllt ist. Mit anderen Worten: Die Zertifizierung ist kein "Freifahrtschein" für eine abgenommene KRITIS-Prüfung. Im KRITIS-Audit ist eine deutlich stärkere Anforderungsliste zu erfüllen.

Wie sehen Sie die Zukunft bzw. Qualität der Cloud-Anbieter für KRITIS-pflichtige Unternehmen? Denn Kritische Dienstleistungen werden ja auch aus der Cloud heraus erbracht.
Sicher werden kritische Dienstleistungen aus der Cloud heraus erbracht. Als KRITIS-pflichtiges Unternehmen hinterfragt man natürlich bei jedem Prozess und jeder einzelnen Anwendung, ob sie KRITIS-konform sind. Schließlich investieren Unternehmen viel Geld in die digitale Transformation. Das heißt sie sind hier wirklich darauf angewiesen, dass auch die Cloud-Dienstleister den C5 (Cloud Computing Compliance Criteria Catalogue)-Anforderungskatalog erfüllen. Die C5 wird sicherlich noch einmal überarbeitet werden. Es ist zudem davon auszugehen, dass bei den Cloud-Anbietern noch einmal nachjustiert wird, was die Transparenz und was letztlich die Resilienz anbelangt. Zum Beispiel in Bezug auf den Standort des Cloud-Anbieters - nur in Deutschland oder nur in Europa. Datenschutz und andere Anforderungen an die Cloudanbieter wachsen ständig. Die Cloud-Anbieter haben schon reagiert. Es ist schon einiges passiert. Das heißt es ist davon auszugehen, dass die Cloud-Anbieter selbst versuchen ihre Marktanteile weiter auszubauen. Das ist aber auch die Chance für die Euro-Cloud hier Mal zu punkten und den Hyperscalern etwas entgegenzusetzen. Stichwort GAIA-X. Das sind Initiativen, die auch ihre Cloud-Transformation trotz KRITIS-Anforderung sichern können.

Wie ist der konkrete Ablauf eines KRITIS-Pre-Audits?
Das Pre-Audit dient dazu, eine mögliche Mängelliste zu erstellen, bevor man auf den autorisierten Prüfer trifft. Rosenberger OSI bietet eine Pre-Auditierung nach DIN EN 50600-Regelwerk an. Diese umfasst die Bestandsaufnahme und Analyse der technischen Informationssicherheit und der baulichen sowie physischen Sicherheit Ihrer IT-Infrastruktur. Dabei wird ermittelt, ob und welcher Änderungsbedarf notwendig ist, um die Anforderungen nach dem BSI-Gesetz zu erfüllen. Anschließend wird daraus ein Maßnahmenkatalog mit konkreten technischen und/oder organisatorischen Maßnahmen abgeleitet.

Wie viele Colocation-Anbieter rechnen Sie zum KRITIS-befähigten Anbieterkreis?
In der Welt der Colocation-Anbieter hat sich viel getan. Zum Beispiel in Bezug auf die Erfüllung der Anforderungen im Bereich Sustainability, Redundanz und Tier-Level. Vor dem Hintergrund der gestiegenen KRITIS-Anforderungen ist davon auszugehen, dass auch die Colocation-Anbieter stark nachlegen werden. Denn ansonsten müssen diese ja um ihre Kunden fürchten.

Können Sie etwas zum Thema „Leitstelle der Zukunft“ sagen?
Die Leitstelle leitet bei einer Gefahrenlage den Einsatzbetrieb und koordiniert die angeschlossenen Dienste. Das betrifft zum Beispiel Feuerwehr, Polizei oder Rettungsdienst. Die Leitstellen sind auch der digitalen Transformation unterworfen. Sie müssen ausgebaut werden und sind auch KRITIS-pflichtig. Es gibt einen Arbeitskreis, der sich darum kümmert, Leitstellen zu digitalisieren. Das ist besonders wichtig vor dem Hintergrund, dass mögliche Bedrohungsszenarien zugenommen haben. Bisher gab es zum Beispiel terroristische Attacken, hinzu kamen Tornados und Überschwemmungen, aber auch eine mögliche Kriegssituation sollte bedacht werden. Weitere Informationen hierzu.

Was gehört zum KRITIS-Geltungsbereich?
Der Geltungsbereich ist vom Gesetzgeber in den entsprechenden Dokumenten definiert. Siehe hierzu bei der Bundesnetzagentur die Erklärung des Geltungsbereichs im Lichte der Gesetzesnovelle ( „Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte“ ) und beim BSI.

Die Schwellenwerte wurden in vielen Bereichen reduziert. Wie sehen Sie die Auswirkungen auf laufende KRITIS-Prüfungen?
Da die Schwellwerte mit der Gültigkeit der Novelle bereits ab Anfang 2022 verbindlich sind, werden auch laufende Prüfungen beeinflusst. Wichtig ist die faktische Erbringung der Leistung bzw. der Parameter, die für die Nachweisprüfungsverfahren relevant sind. Es zählt zum Beispiel nicht das fiskalische Jahr o.ä. sondern beispielsweise wann tatsächlich eine KRITIS-pflichtige Anlage oder mehrere durch Betreiberidentität zusammengelegte Anlagen diesen Schwellwert erreicht oder überschritten haben. Siehe auch den Begriff der „gemeinsamen Leitung“ beim BSI. Der Begriff nimmt dabei nicht Bezug auf die physikalische Steuer- oder Leiteinrichtungen. Vielmehr ist gemeint, dass zwei Anlagen nur dann als gemeinsame Anlage gelten, wenn diese einem Betreiber unterstehen.

Wie lange behält eine KRITIS-Zertifizierung ihre Gültigkeit?
Die Nachweispflicht für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren besteht nach § 8a Abs. 3 BSIG mindestens alle 2 Jahre. Nachzuweisen ist das Erreichungsniveau „Stand der Technik“. Sprich dass an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Maßnah­men zur Ab­si­che­rung ge­trof­fen und um­ge­setzt wur­den.

Die neue Frist, die Nachweise zu erbringen, läuft bis Q1 2024 (01.04.2024). Mit welchen Konsequenzen rechnen Sie bei individueller Nichterreichung der Schutzziele?
Der Gesetzgeber hat dafür einen Bußgeldkatalog (§ 14 BSIG) erstellt. Wie der Vollzug in der Praxis ablaufen wird, ist z.Z. nicht wirklich absehbar. Unternehmen werden teils Ihre juristischen Kompetenzen adressieren und ihre Nichterfüllungsbegründungen wohlüberlegt formulieren müssen. In dem Umsetzungsgradmodell sind mit dem Grad 3 die „MUSS“-Anforderungen eindeutig als „vollständig“ zu erfüllen. Jedoch findet sich in dem Titel „Orientierungshilfe zu Nachweisen gemäß § 8a.“ ) der Zusatz „Handlungsempfehlung“ was z.T. zu Irritationen geführt hat. Hier wird die nahe Zukunft sicher bald mehr Klarheit in der konsistenten und konkreten Zusammenarbeit von Prüfern, Betreibern und Beratern bringen.