Köln. (tuv) Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist Bäckereien und anderen systemrelevanten Branchen seit 2014 als IT-Sicherheitsgesetz bekannt. Dies zielt auf Betreiber kritischer Infrastrukturen (KRITIS): Unternehmen, die eine wesentliche Rolle in der Versorgung der Bürger mit wichtigen Gütern und Dienstleistungen spielen. Dazu gehören Einrichtungen etwa aus den Segmenten Energie, Gesundheit, Transport und Verkehr – Lebensmittelerzeugung, Lebensmittelhandel. Das IT-Sicherheitsgesetz, das seit Mai 2021 in der Fassung 2.0 gilt, verpflichtet Unternehmen und Organisationen zur Einhaltung eines Mindestmaßes an IT-Sicherheit, die dem Stand der Technik entsprechen. Die neue Fassung setzt zudem in Sachen Cybersecurity ab 2023 eine Angriffserkennung voraus. Das ist im Bereich operativer Betriebstechnik (auch Operational Technology, kurz OT) von besonderer Bedeutung. OT bezeichnet Anlagen, Geräte oder Systeme, die industrielle Prozesse steuern.
Neue BSI-Verordnung erweitert Zahl der KRITIS-Betreiber
Neu ist auch die im August 2021 verabschiedete KRITIS-Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Verordnung tritt am 01. Januar 2022 in Kraft und erweitert den Geltungsbereich für in Frage kommende Unternehmen. Die entscheidende Neuerung ist die erweiterte Anwendung: Zu den bestehenden etwa 1.600 (großen) KRITIS-Betreibern kommen weitere 250 (große) Unternehmen hinzu. Betriebe, die zuvor nicht betroffen waren, müssen jetzt höhere Anforderungen an den Schutz vor Hackerangriffen erfüllen und stehen damit vor neuen Herausforderungen.
BSI-Richtlinien zur Orientierung für Unternehmen
Eine Orientierung dazu, wie die erforderlichen Maßnahmen konkret aussehen, geben entsprechende BSI-Dokumente. Dazu gehören die «Konkretisierung der Anforderungen an die gemäß Paragraf 8a Absatz 1 BSIG umzusetzenden Maßnahmen» sowie die «Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifischen Sicherheitsstandards (B3S)». Diese Leitlinien liefern wertvolle Hilfestellungen für die Auswahl und konkrete Umsetzung von Sicherheitsmaßnahmen. «Die Dokumente helfen bei der Interpretation der sehr allgemein gehaltenen Vorgaben im IT-Sicherheitsgesetz und spielen damit eine wichtige Rolle bei der Konzeption und Planung eines KRITIS-Umsetzungsprojekts», sagt Jörg Zimmermann, Fachmann für Informationssicherheit beim TÜV Rheinland. «Unternehmen, die vor einer solchen Aufgabe stehen, empfehlen wir, sich Experten zur Unterstützung ins Haus zu holen.»
Bestandsaufnahme und GAP-Analyse
Stellen Unternehmen fest, dass sie von der neuen KRITIS-Verordnung betroffen sind, empfiehlt der TÜV Rheinland, eine Bestandsaufnahme und so genannte GAP-Analyse durchzuführen: Fachleute können durch eine solche Analyse mögliche Lücken zwischen Ist- und Soll-Zustand detailliert erfassen und bewerten. Auch kann so die Frage des betroffenen Geltungsbereichs in Organisationen und Einrichtungen näher beleuchtet werden. Um KRITIS-fest zu werden, müssen Unternehmen und Organisationen alle möglichen Risiken aufzeigen und dokumentieren sowie entsprechende Sicherheitsmaßnahmen umsetzen. Sobald klar ist, welche Maßnahmen umgesetzt werden sollen, ist eine zielgerichtete Kommunikation an die Belegschaft wichtig, da in der Regel alle Bereiche des Unternehmens betroffen sind.
Zimmermann: «Ein KRITIS-Projekt ist kein IT-Projekt, sondern ein Organisationsprojekt, in das alle Unternehmensbereiche integriert werden müssen. Es ist nicht damit getan, das Thema allein an die IT zu geben.» Die erfolgreiche und wirksame Umsetzung von Sicherheitsmaßnahmen muss alle 2 Jahre durch ein Audit nachgewiesen werden. «Besonders Unternehmen, die sich bisher nicht haben zertifizieren lassen, müssen sich gründlich auf diese Audits vorbereiten und sollten vorab ein Test-Audit durchführen», empfiehlt Zimmermann. Weitere Informationen zum Thema kritische Infrastrukturen und Cybersecurity im OT-Umfeld gibt es auf den Webseiten von TÜV Rheinland (Foto: pixabay.com).