Welche branchenspezifischen Anforderungen gilt es, für KRITIS-Betreiber zu beachten?
Für alle Sektoren gibt es spezifische Schwellenwerte, die sicherstellen sollen, dass wirklich nur die Unternehmen als kritisch eingestuft werden, die für das gesellschaftliche Leben relevant sind. In der Regel werden die Schwellwerte so zugeschnitten, dass damit eine Untergrenze von einer halben Million Einwohnern versorgt wird. Im Energiebereich ist das beispielsweise die Menge an bereitgestelltem Strom, Heizöl, Flugbenzin und ähnlichem, im Bereich Wasser die Menge an Trinkwasser, aber auch die Zahl der an die Kanalisation angeschlossenen Haushalte. Im IT- und TK-Sektor sind je nach Service unterschiedliche Faktoren relevant: Netzteilnehmer, Instanzen, Domänen, qualifizierte Zertifikate und Serverzertifikate, bei Rechenzentren auch der Stromverbrauch – hier gilt eine neue Untergrenze von 3,5 statt bisher 5 MW. Die Unternehmen sind selbst dafür verantwortlich, sich darüber zu informieren, ob sie unter die KRITIS-Regeln fallen und entsprechende Schritte einleiten müssen. Die Vorlauf- und Übergangsfristen sind inzwischen abgelaufen.
Das bedeutet, es wäre wichtig, die KRITIS-Relevanz fortlaufend im Blick zu behalten?
Ganz genau. Das Gesetz wurde im August 2021 beschlossen und ist zum 1. Januar 2022 in Kraft getreten. Die betroffenen Anlagen mussten bis zum 1. April registriert werden – und zum gleichen Datum müssen KRITIS-Unternehmen auch die damit verbundenen Cybersecurity-Maßnahmen einhalten. Das dürfte den einen oder anderen Neuzugang unter den KRITIS-Betreibern kalt erwischen. Denn es drohen empfindliche Strafen. Den Nachweis der Umsetzung durch KRITIS-Prüfungen müssen sie spätestens zum 1. April 2024 führen, zumindest dafür ist also noch ein wenig Zeit. Doch auch wer von den aktuellen Einstufungen nicht betroffen ist, kann die Hände nicht in den Schoß legen. Auch für das aktuelle Jahr sind weitere Änderungen beim IT-Sicherheitsgesetz bzw. der KRITIS-Verordnung geplant. Das heißt, es kann jederzeit zu einer neuen Abgrenzung der KRITIS-Relevanz kommen. Man sollte also die branchenspezifischen Schwellenwerte stets im Blick behalten. Um auf Nummer sicher zu gehen, empfiehlt es sich, hier Experten hinzuzuziehen. Rosenberger OSI bietet dafür einen unverbindlichen Quick-Check als Orientierungshilfe an, ob KRITIS-Relevanz besteht. Im Fokus der Betrachtung liegen die Prüfung der Zugehörigkeit zu KRITIS-Sektoren, die Einstufung in Bezug auf Schwellenwerte und die Bewertung branchenspezifischer Besonderheiten.
Die KRITIS-Verordnung verpflichtet dazu, die IT dem „Stand der Technik“ angemessen abzusichern. Was bedeutet das?
Mit dem Terminus „Stand der Technik“ vermeidet der Gesetzgeber statische Vorgaben, die bald veralten – denn die technische Entwicklung ist schneller als die Gesetzgebung. Was aktueller „Stand der Technik" ist, lässt sich aus verschiedenen nationalen und internationalen Normen ableiten, etwa DIN, ISO, DKE oder ISO/IEC. Darüber hinaus können auch in der Praxis erfolgreich erprobte Vorbilder für den jeweiligen Bereich herangezogen werden. Ziel muss sein, angemessene Vorkehrungen zur Vermeidung von Störungen zu treffen, das bezieht sich beispielsweise auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Die getroffenen Maßnahmen müssen zertifiziert und innerhalb von zwei Jahren nach Inkrafttreten der KRITIS-Verordnung gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) nachgewiesen und alle zwei Jahre erneuert werden. Klassische Zertifizierungen wie ISO 27001 oder BSI IT-Grundschutz alleine reichen dafür jedoch nicht aus.
Welche KRITIS-Anforderungen gilt es, für Rechenzentren und Serverräume zu beachten?
Das ist abhängig vom Schutzbedarf und von den Anforderungen der Verfügbarkeit an das Rechenzentrum oder den Serverraum. Das kann der Bedarf an Hochverfügbarkeit sein, aber auch dass bestimmte Voraussetzungen für den Standort des Rechenzentrums erfüllt werden müssen. TÜViT hat mit der Zertifizierung nach dem selbstentwickelten TSI.STANDARD eine Systematik geschaffen, die vier verschiedene Level unterscheidet, in denen sich die Qualität der Versorgungssysteme wie auch aller anderen Elemente widerspiegelt. Sie baut auf der seit 2001 etablierten Methodik TSI (Trusted Site Infrastructure) zur Prüfung und Zertifizierung der physischen Sicherheit und Verfügbarkeit von Rechenzentren auf. Der TSI.STANDARD wird kontinuierlich weiterentwickelt, um den aktuellen Stand der Technik und den Normenstand abzubilden – genau wie es das BSI von KRITIS-Betreibern verlangt.
Wie muss die Infrastruktur in Rechenzentren mit hoher Verfügbarkeit und Schutzklasse optimiert werden?
Für den Aufbau von Rechenzentren mit hoher Schutzklasse und Verfügbarkeit, reicht es nicht nur die IT‐Infrastruktur entsprechend zu optimieren. Es sollten die wesentlichen Schwachstellen und Risiken im und um das Rechenzentrum sowie die damit verbundenen Dienste – beispielsweise DNS- oder Zertifizierungs-Services – detailliert betrachtet werden. Und dies in einem wiederholten Verfahren.
Was bedeutet das genau für die Prüfung und Bewertung von RZ-Neubauten sowie Bestandsrechenzentren? Im und um das Rechenzentrum?
Das bedeutet konkret, nicht nur die Struktur der Verkabelung oder die Energieversorgung und die dafür ausgelegten Redundanzen zu betrachten, sondern auch das Rechenzentrumsumfeld oder Aspekte wie Baukonstruktion, Brandschutz oder Sicherheitssysteme. Rosenberger OSI prüft zur Erfüllung der KRITIS-Pflichten die Passgenauigkeit der gültigen Anforderungskataloge mit der vorhandenen baulichen und physischen Sicherheit der IT-Infrastruktur. Aus dieser Analyse und Evaluation resultieren technische und/oder organisatorische Maßnahmenlisten, die dann in der Umsetzung das geforderte Sicherheitsniveau entsprechend dem zu erfüllenden Schutzbedarf für die IT gewährleisten können.
Was bedeutet das für Unternehmen, die Ihre Infrastruktur gerade modernisieren wollen und unter die Anforderungen des BSI fallen?
Die Frage nach der KRITIS-Relevanz kommt unter Umständen mitten in der Modernisierungsbewegung der IT hoch. Ist ein Unternehmen Betreiber Kritischer Infrastrukturen, dann empfiehlt es sich eine Bestandsaufnahme und eine Analyse der IT-Infrastruktur durchzuführen. Zur Erfüllung der KRITIS-Pflichten sollte zunächst der Anforderungskatalog in einem Assessment untersucht werden. Nähere Informationen zu weiteren Schritten im Video.