Gemäß dem IT-Sicherheitsgesetz (IT-SiG) von 2015 ergänzte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Verordnung zu den Kritischen Infrastrukturen (KRITIS). Darin ist festgelegt, dass KRITIS-Betreiber sowohl IT-Systeme als auch KRITIS-Kernkomponenten angemessen zu schützen haben. Da es bei Störungen und Totalausfällen von KRITIS-Unternehmen zu Versorgungsengpässen und Gefahren für die Sicherheit der Bevölkerung kommen kann, müssen diese höhere gesetzliche Auflagen erfüllen als andere Unternehmen.

Mit einer erfolgreich abgeschlossenen KRITIS-Prüfung bestätigt Ihnen eine unabhängige Prüfstelle, dass Ihr Unternehmen den aktuellen Sicherheitsstandards entsprechend Ihrer Vorgaben entspricht. In diesem Rahmen wird geprüft, ob Ihre Sicherheitsbemühungen den derzeitigen Anforderungen des BSI entsprechen.

Der sogenannte „Stand der Technik“ meint, dass innerhalb eines Unternehmens alle Informationssicherheitsmaßnahmen den fortschrittlichsten Verfahren, Ausstattungen und Betriebsweisen entsprechen müssen. Es ist zu beachten, dass der jeweilige aktuelle Stand den entsprechenden nationalen, internationalen und europäischen Normen und Standards entspricht und erfolgreich in der Praxis erprobt wurde. Konkrete Vorgaben und Leitfäden werden durch die jeweiligen Branchen im Rahmen der B3S – branchenspezifische Sicherheitsstandards – oder durch das BIS selbst vorgeschlagen.

Das IT-Sicherheitsgesetz 2.0 (BSI ist im Mai 2021 und die neue KRITIS-Verordnung ab Januar 2022 in Kraft getreten. Die neue KRITIS-Verordnung vergrößert die Zahl der KRITIS-Unternehmen und die Befugnisse des BSI erheblich. Die Siedlungsabfall­entsorgung, auch KRITIS Entsorgung, wird als offizieller KRITIS-Sektor im Gesetz aufgenommen. Entsorger werden damit im IT-Sicherheitsgesetz 2.0 je nach Schwellenwerten zur Kritischen Infrastruktur. Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI/UBI) dazu. Die Unternehmen haben eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland und setzen sich aus den Bereichen Rüstung, Volkswirtschaftliche Bedeutung und Gefahrstoffe zusammen.

• Umsetzung Angriffserkennung (SIEM, SOC)
• Prüfung Schwellenwert
• unmittelbare BSI-Registrierung
• Umsetzung Sicherheitsanforderungen
• Meldepflichten an das BSI
• Erweiterung der KRITIS-Liste
• neue Pflichten für KRITIS Betreiber
• mehr betroffene Unternehmen
• Ausweitung der Befugnisse des BSI
• Verbraucherschutz und Strafen
• IT-Sicherheitsgesetz 2.0 Paragraph 8
• aktualisierte Schwellenwerte

Die Schwellenwerte der BSI-KRITIS-Verordnung gelten jeweils pro Anlage (strikter Anlagenbezug). Konzerne, Unternehmen, Betriebe oder Standorte selbst sind keine Kritischen Infrastrukturen. Überschreitet keine Anlage im Einzelnen den Schwellenwert, ist auch keine Kritische Infrastruktur gegeben. Eine Ausnahme bildet die sogenannte “gemeinsame Anlage”, die für jeden Sektor im entsprechenden Anhang der BSI-KRITIS-Verordnung definiert ist.

Eine vorhandene ISO 27001 Zertifizierung ist nicht ausreichend. Die ISO 27001 Zertifizierung kann lediglich als Grundlage für den Nachweis gemäß §8a BSIG verwendet werden.

Für Anlagen, die auf Basis der neuen Anlagekategorien bzw. Schwellenwerte Kritische Infrastrukturen gemäß BSIG sind, ist eine Registrierung bis spätestens zum 1. April 2022 vorzunehmen.

Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtete die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung ISMS nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso musste bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.

WAS IST ZU TUN?

Benennung eines Informationssicherheitsbeauftragten bis 30. November 2015
ISMS-Einführung und Zertifizierung nach ISO 27001 bis Januar 2018

Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z.B. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z.B. Netzzustandsinformationen oder zum Lastmanagement müssen nach dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z.B. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).

Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:

• Leitsysteme und Systembetrieb
• Übertragungstechnik/ Kommunikation
• Sekundär-/ Automatisierungs- und Fernwirktechnik

Wichtig bei der Abgrenzung des Geltungsbereichs ist das

Festlegen von Schnittstellen zur Sicherheitsorganisation außerhalb des Scopes, um z. Bsp. Meldepflichten und Kommunikationswege zu anderen Behörden einzuhalten.

Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:

• Beeinträchtigung der Versorgungssicherheit
• Einschränkung des Energieflusses
• Betroffener Bevölkerungsanteil
• Gefährdung für Leib und Leben
• Auswirkungen auf weitere Infrastrukturen (z.B. Wasserversorgung)
• Gefährdung für Datensicherheit und Datenschutz
• Finanzielle Auswirkungen

Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.

Die anschließende Zertifizierung erfolgt durch ein mit der Deutschen Akkreditierungsstelle (DAkkS) entwickeltes Zertifikat. Erfahrungsgemäß dauert die Einführung eines ISMS bis zur Zertifizierungsreife 1 – 2 Jahre, die Priorisierung des Projektes durch die Geschäftsleitung bestimmt dabei den eigentlichen Zeitraum bis zur Zertifizierung.

Sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung sind von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen. Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden. Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen. 

Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein Milliarden schweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).

• Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern
• ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken 1.5 Mio Aufträge bei Laboren
• als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift
•  

ZIELSETZUNG

Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.

Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.

ANFORDERUNGEN MUSS UND KANN

Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.

Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.

Prävention

Zu bedenken sind unter anderem:

• Systeme zur Zonierung von Netzwerken
• Next Generation Firewalls
• sichere Authentisierungssysteme
• MicroVirtualisierung/Sandbox-Systeme
• Schnittstellen-Kontrolle
• Intrusion Prevention Systeme
• Network Access Control
• Schwachstellenscanner
• Softwareversionsmanagement
• Datenschleusen
• Datendioden
• VPN-Systeme
• verschlüsselte Datenübertragung
• verschlüsselte mobile Datenträger
• Etablierung ISMS
•  

Detektion

Zu bedenken sind unter anderem:

• Security Operation Center
• Log Management Systeme
• Security Information Event Management Systeme
• Intrusion Detection Systeme
• lokaler Schadsoftwareschutz mit zentraler Steuerung
• Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport
•  

Awareness

Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).

Patientendatenschutzgesetz: Ab Januar 2022 gelten auch für Krankenhäuser, welche nicht als KRITIS definiert sind, entsprechende Anforderungen, die im Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) beschrieben sind (§ 75c IT-Sicherheit in Krankenhäusern). Diese Anforderungen lassen sich mit Hilfe eines branchenspezifischen Sicherheitsstandards (B3S) erfüllen.

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

WAS IST ZU TUN?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

• Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
• ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
• 1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen – weitere Informationen finden Sie unter Schulungen.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.