Kritische Infrastrukturen (KRITIS) sind explizit zu schützen – nicht nur aufgrund steigender Hackerangriffe, beispielsweise auf Energieversorger. Neben einem ISMS braucht es vor allem die notwendige Widerstandsfähigkeit in Organisationen. Ein Schlüssel zum Erfolg sind die eigenen Mitarbeiter. Denn eine IT-Infrastruktur ist letztendlich nur so gut wie die Mitarbeiter, die sie betreiben. Die Redaktion von 3GRC sprach im ersten Teil des Interviews mit Alexander Burgis, Senior Berater bei der RUCON Gruppe über den Aufbau eines ISMS auf Basis von §8a BSIG, ISO/IEC 27001 und branchenspezifischen Sicherheitsstandards B3Se.
Redaktion 3GRC: Kritische Infrastrukturen, kurz KRITIS, sind sensible Bereiche und müssen nach Gesetzeslage besonders geschützt werden. So sieht der Gesetzgeber unter anderem vor, dass Betreiber betreffender Energieanlagen ein Informationssicherheits-Managementsystem (ISMS) implementieren müssen. Ist das aus Ihrer Sicht ausreichend, um einen Schutz kritischer Infrastrukturen überhaupt zu gewährleisten?
Alexander Burgis: Ich empfehle den Aufbau eines Managementsystems nach ISO/IEC 27001, obgleich es nicht notwendig ist, um den Anforderungen zur Erbringung von Nachweisen gem. §8a BSI-Gesetz gerecht zu werden. Bei den zu erbringenden Nachweisen für das BSI handelt es sich faktisch nicht um ein Zertifikat, sondern um einen Sachstandsbericht, der jedoch nicht werbewirksam nach außen kommunizierbar ist. Zudem hat ein natives Managementsystem nach ISO/IEC 27001 den Vorteil, dass andere Managementsysteme, wie z.B. Qualitätsmanagement, Energiemanagement und zukünftig auch der Bereich des Datenschutzes als integriertes Managementsystem im Unternehmen effizient und einheitlich strukturiert werden können.
Ein reines ISO/IEC 27001-Zertifikat ist jedoch oftmals nicht ausreichend. Es deckt Besonderheiten wie den All-Gefahren-Ansatz, das Paradigma einer stark eingeschränkten Risikoakzeptanz oder die Nachweisführung vom „Stand der Technik“-Maßnahmen nicht ab.
Hinsichtlich der dafür benötigten Ergänzungen hat das BSI recht klare Vorstellungen, deren Umfang jedoch überschaubar ist. Das BSI legt insbesondere auf die Formulierung des Geltungsbereichs, die Verantwortlichkeit für ausgelagerte Teile der kritischen Dienstleistung und formale Dinge wie KRITIS-Schutzziele und KRITIS-IT-Schutzbedarf Wert. Hinzu kommen weitere Konkretisierungen, wie z.B. Akzeptanzkriterien im Risikomanagement und der Umsetzungsstand von Maßnahmen. Im Fokus stehen die Verfügbarkeit der kritischen Dienstleistung und nicht nur betriebswirtschaftliche Aspekte. Dies sollte man bei der Implementierung des ISMS stets im Hinterkopf behalten.
Sofern es für einen Sektor einen sog. Branchenspezifischen Sicherheitsstandard (B3S) gibt, 
sollte dieser für den Aufbau eines Informationssicherheits-Managementsystems herangezogen werden. Allerdings besteht keine Pflicht diesen „as is“ umzusetzen, auch wenn dieser Trugschluss naheliegt. Es können in einer Branche sogar mehrere B3Se parallel existieren. In Audits besteht die Gefahr, dass klassische Auditoren B3Se als „Normen“ verstehen, wo einzelne Wörter zum „Zankapfel“ werden können. Es ist daher unerlässlich, dass Unternehmen die Prüfgrundlage ausführlich beschreiben, auf welche Weise Normen wie z.B. ISO/IEC 27001, der BSI-Grundschutz bzw. sonstige Regelwerke der Branche herangezogen werden. Ich empfehle Unternehmen den Besuch einer Schulung zur Prüfkompetenz gem. §8a BSI-G bei einem beim BSI gelisteten Anbieter. So können Verantwortliche in der Informationssicherheit, aber auch Auditoren sich die notwendige Kompetenz verschaffen, die Komplexität von KRITIS-Prüfungen sachkundig vorbereiten bzw. durchführen zu können.
Ein B3S als native Prüfgrundlage ist oft nur mit Mehraufwand anschlussfähig an bestehende ISMS-Systeme. Als informative Quelle zur Ausgestaltung des ISMS bieten B3S jedoch hilfreiche Informationen, um in Prüfungen z.B. auf Abgrenzungen des Geltungsbereichs, oder Risikoakzeptanzkriterien verweisen zu können. Aber ein B3S, der aus Branchensicht passend ist, kann mitunter für die spezifischen Umstände des Betreibers nur teilweise stimmig sein. Ein Betreiber kann sich dabei nicht auf den B3S berufen, wenn er z.B. wichtige IKT (Informations- und Kommunikationstechniken) nicht in den Geltungsbereich aufgenommen hat.
Redaktion 3GRC: Was sind die wichtigsten Schritte zur Einführung eines ISMS in der jeweiligen Organisation, gerade mit Blick auf KRITIS-Betreiber?
Alexander Burgis: Die wichtigsten Schritte sind die Zustimmung der obersten Leitung und die Kontextanalyse, um den Scope formulieren zu können. Wenn die Geschäftsführung eines Unternehmens die Einführung eines Managementsystems nicht für sinnvoll erachtet und sie sogar eher blockiert, ist die Einführung zum Scheitern verurteilt. Sie hat auch hier eine Vorbildfunktion.
Der Scope beschreibt die Grenzen des Managementsystems. Ein weiterer wichtiger Teil ist die Risikoeinschätzung und -bewertung.
Redaktion 3GRC: Und auf welche Besonderheiten müssen Unternehmen dabei achten?
Alexander Burgis: Die Geflechte aus Eigentümern, Betreibern, Herstellern und Dienstleistern, die z.B. über technische Betriebsführungsverträge, Instandhaltungsverträge oder SaaS-Dienstleistungen aufgebaut wurden, sind oft komplex. Unternehmen sind daher gut beraten, im Vorfeld Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aufzunehmen und zu klären, ob man selbst oder ggf. ein vorgelagerter Auftraggeber verantwortlich für die Erbringung von Prüfnachweisen gegenüber dem BSI ist. Zu klären ist auch die Frage, ob es sich bei der Anlage um eine „gemeinsame Anlage“ handelt oder aber um getrennte Anlagen, die jede für sich betrachtet unter dem Schwellenwert liegen.
Die Frage, welche Standards beachtet werden müssen ist im Rahmen von KRITIS-Prüfungen nicht konkret zu beantworten, da jedes Unternehmen seine Prüfgrundlage selbst aus verschiedenen Bausteinen zusammenstellen kann. §8a BSI-Gesetz fordert: „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“ Hinsichtlich der Frage, wie dies erreicht werden kann lässt das BSI große Freiräume. Dies ist Fluch und Segen gleichermaßen, da die Unternehmen mehr als jemals zuvor auf eine gute externe Beratung angewiesen sind, da nur ein sehr geringer Anteil an Unternehmen die Fachkompetenz im eigenen Haus verfügbar haben dürfte.
Freuen Sie sich in der nächsten Woche auf den zweiten Teil des Interviews, der auf die Bedeutung der Mitarbeiter im ISMS fokussiert.
Alexander Burgis ist Spezialist in den Bereichen ISO/IEC 27001, ISO 22301, B3S-Kritis, MS Antwerpen und Krisenstabsübungen, sowie Senior Berater bei der RUCON Gruppe.