Sektoren & Branchen Kritische Infrastrukturen

Seit mehr als 25 Jahren unterstützen wir bei dem Aufbau und Pflege eines Informationssicherheits-Managementsystems (ISMS). Wir unterstützen dabei die Standards nach ISO 27001 oder IT-Grundschutz, des weiteren auch eine Vielzahl an branchenspezifischen Sicherheitsstandards wie zum Beispiel B3S. Seit bestehen der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) begleiten wir KRITIS-Betreiber bei Prüfnachweisen gemäß §8a BSIG. Zu unseren Kunden zählen Betreiber aus den Sektoren IT, Telekommunikation, Energie, Wasser, Ernährung, Finanzen, Verkehr und Gesundheit.

Umfassende Beratung für alle KRITIS-Sektoren

Ihr Ansprechpartner

Alexander Nolte

Datenschutz*

ISMS Einführung & Optimierung

Top 5 zur ISMS Optimierung

1. Zusammenarbeit

Die interdisziplinäre Zusammenarbeit im Kontext der Informationssicherheit ist verbesserungswürdig.

2. Dokumentation

Die vorgeschriebene Dokumentation wird oftmals vernachlässigt.

3. Notfallpläne

Notfallpläne und Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle kritischer Systeme können oftmals nicht vollständig vorgelegt werden.

4. Notfallübungen

Flächendeckende Notfallübungen die kritischen Systeme betreffend werden oftmals nicht durchgeführt.

5. Risikomanagement

Das ISMS-Risikomanagement ist oftmals nicht in ein bestehendes Risikomanagement integriert.

SUCCESS STORY

„Bei der Implementierung unseres ISMS nach ISO 27001 (KRITIS), konnten wir uns voll und ganz auf die neam IT-Services GmbH verlassen. Wir haben außerdem erfolgreich von der jahrelangen Erfahrung im Bereich interner Audits und der Sensibilisierung von Mitarbeitern profitiert.“

Swen Tewes

Dipl.-Ing.,  Prokurist, 

Certified ISO/IEC 27001 Lead Implementer

ZVO Energie GmbH

IT-Sicherheitsbeauftragter

Mehr Sicherheit durch einen ISB "as a Service" oder Co-Berater für Ihren ISB.

KRITIS kurz & knapp

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

5 gesetzliche Vorgaben für KRITIS-Betreiber

1. Kontaktstelle

KRITIS-Betreiber müssen eine Kontaktstelle bzw. Person benennen, über die das Unternehmen für das BSI jederzeit erreichbar ist.

2. IT-Störungen und Sicherheitsvorfälle

KRITIS-Betreiber sind verpflichtet, außergewöhnliche IT-Störungen und Sicherheitsvorfälle beim BSI zu melden.

3. Stand der Technik

Um Störungen der informationstechnischen Systeme zu vermeiden, muss der IT-Sicherheitsstandard in KRITIS-Unternehmen dem „Stand der Technik“ entsprechen.

4. Prävention und Notfallpläne

Für den Fall einer massiven Versorgungsstörung, etwa eines längeren und großflächigen Stromausfalls, müssen Unternehmen geeignete Maßnahmenkataloge erarbeiten, um die Folgen eines solchen Ereignisses möglichst gering zu halten.

5. Absicherung durch Audit

KRITIS-Betreiber müssen die Etablierung angemessener Vorkehrungen und die Erfüllung der Technikstandards alle zwei Jahre beispielsweise durch Sicherheitsaudits gegenüber dem BSI nachweisen.

neam Ihr ISMS-Partner

Durch konkrete Maßnahmen, Prozesse und Werkzeuge ist ein ISMS belegbar und somit ein wirklicher Mehrwert zum Schutz ihres Unternehmens.

Hohes Service Level

Neben unseren ISO27001-Lead-Auditoren/-Implementern steht Ihnen ein Team an technischen Experten aus dem IT-Service Bereich zur Verfügung. Wir schließen das GAP zwischen Informationssicherheit & dem Betrieb der IT-Infrastruktur.

Aus der Praxis – für die Praxis

Das ISMS als nachhaltige Lösung – wir integrieren das ISMS in Ihre Unternehmensabläufe. Unser Vorgehen orientiert sich an über 20 jähriger Erfahrung in der Umsetzung eines ISMS.

Kurze Umsetzung

Sie haben es eilig? Unser großer Beraterstamm verfügt über jahrelange Projekterfahrung. Darüber hinaus bringen wir zahlreiche Vorlagen mit, um Ihr ISMS gemeinsam zügig zu etablieren.

neam ISMS-Tool-Kit

Nutzen Sie unsere zahlreichen Best Practice Vorlagen, basierend auf ISO 27001 & IT Grundschutz. So können wir gemeinsam in Ihrem Projekt die Herstellung der Zertifizierungsreife erreichen.

Wir bilden aus

Unser fundiertes Schulungsprogramm befähigt Sie dauerhaft Ihr ISMS zu pflegen und weiterzuentwickeln.

Termine zu unseren BSI & ISO Schulungen

Dienstag, November 30, 2021 November 30
Dienstag, Februar 1, 2022 Februar 1
Montag, Februar 7, 2022 Februar 7
Keine Veranstaltung gefunden
Weitere anzeigen

Flyer - Schulungen & Workshops

Online, Präsenz und Inhouse zu Informationssicherheit & IT-Services

FAQ

Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein Milliarden schweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).

ZIELSETZUNG

Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.

Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.

ANFORDERUNGEN MUSS UND KANN

Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.

Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.

Prävention

Zu bedenken sind unter anderem:

  • Systeme zur Zonierung von Netzwerken
  • Next Generation Firewalls
  • sichere Authentisierungssysteme
  • MicroVirtualisierung/Sandbox-Systeme
  • Schnittstellen-Kontrolle
  • Intrusion Prevention Systeme
  • Network Access Control
  • Schwachstellenscanner
  • Softwareversionsmanagement
  • Datenschleusen
  • Datendioden
  • VPN-Systeme
  • verschlüsselte Datenübertragung
  • verschlüsselte mobile Datenträger
  • Etablierung ISMS
  •  

Detektion

Zu bedenken sind unter anderem:

  • Security Operation Center
  • Log Management Systeme
  • Security Information Event Management Systeme
  • Intrusion Detection Systeme
  • lokaler Schadsoftwareschutz mit zentraler Steuerung
  • Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport
  •  

Awareness

Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).

Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtete die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung ISMS nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso musste bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.

WAS IST ZU TUN?

Benennung eines Informationssicherheitsbeauftragten bis 30. November 2015
ISMS-Einführung und Zertifizierung nach ISO 27001 bis Januar 2018

Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z.B. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z.B. Netzzustandsinformationen oder zum Lastmanagement müssen nach dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z.B. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).

Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:

  • Leitsysteme und Systembetrieb
  • Übertragungstechnik/ Kommunikation
  • Sekundär-/ Automatisierungs- und Fernwirktechnik

Wichtig bei der Abgrenzung des Geltungsbereichs ist das

Festlegen von Schnittstellen zur Sicherheitsorganisation außerhalb des Scopes, um z. Bsp. Meldepflichten und Kommunikationswege zu anderen Behörden einzuhalten.

Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z.B. Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz
  • Finanzielle Auswirkungen

Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.

Die anschließende Zertifizierung erfolgt durch ein mit der Deutschen Akkreditierungsstelle (DAkkS) entwickeltes Zertifikat. Erfahrungsgemäß dauert die Einführung eines ISMS bis zur Zertifizierungsreife 1 – 2 Jahre, die Priorisierung des Projektes durch die Geschäftsleitung bestimmt dabei den eigentlichen Zeitraum bis zur Zertifizierung.

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

WAS IST ZU TUN?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

  • Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
  • ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
  • 1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen – weitere Informationen finden Sie unter Schulungen.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Success Story

Projekte zur Informationssicherheit und zu unseren IT-Services.

News & Events

Event

Security Escape Room

Als Mitglied einer White-Hat Hacker Gruppe wurden Sie beauftragt, einen Penetrationstest in einem Unternehmen durchzuführen. Ihre Aufgabe ist es, die Zielperson zu identifizieren, sich Zugang zum Netzwerk zu verschaffen und die geheimen Unterlagen zu entwenden. Anschließend helfen Sie dabei, mögliche Maßnahmen zur Sicherung des Netzwerkes durchzusetzen.

Weiterlesen »