KRITIS Risiken und Assets

Assets picture

KRITIS-Betreiber müssen Risiken in KRITIS-Anlagen und Assets behandeln, um die kritische Dienstleistung zu schützen. Dafür sind Governance und Prozesse für Risiko- und Asset-Management im KRITIS-Geltungsbereich notwendig — für transparente Risiken und geeignete Maßnahmen.

Die KRITIS-Regulierung legt keine Standards oder Technologien für Risiko- oder Asset-Management fest — verpflichtend ist das Steuern von Risiken und Assets in den KRITIS-Anlagen. Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen behandelt Risiken und Assets wie folgt:

Bereich BSI-ID Anforderung
Risiko-Management 13-16 Richtlinien und Governance für Risiko-Management
Asset-Management 5-8, 12 Inventar und Prozesse für Assets
Klassifizierung 9-11 Umgang mit Informationen und Daten

Risiko-Management

Governance für Risiken

Für die Behandlung von Risiken in KRITIS-Anlagen sind Verantwortlichkeiten und Prozesse durch klare Vorgaben und Governance für Risiko-Management notwendig. Die Methoden und Abläufe sollten mit bestehenden Management-Systemen harmonisiert werden — dem Risiko-Management des Unternehmens und ISMS und BCMS in KRITIS-Anlagen.

BSI-ID Anforderung
BSI-13 Richtlinie für die Organisation des Risikomanagements
BSI-14 Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken
BSI-15 Richtlinien zur Folgeabschätzung
BSI-16 Maßnahmenableitung

Vorgaben

Durch Vorgaben legt die Unternehmensleitung die Strategien, Methoden und Abläufe im Umgang mit Risiken in KRITIS-Anlagen fest — in einer Risiko-Management Richtlinie oder zentralen KRITIS-Policy. In den Vorgaben sollten auch einheitliche Risiko-Klassen, Methoden und Schwellenwerte für die weiteren Management-Systeme (ISMS, BCMS) definiert werden.

Rollen

Das Risiko-Management in KRITIS-Anlagen benötigt definierte Rollen und Verantwortungen:

Prozesse

Risiken in KRITIS-Anlagen müssen durch organisierte Prozesse gesteuert werden, die pro Jahr mindestens einmal durchlaufen werden:

Nachweise

Artefakte als Nachweis für ein funktionierendes Risiko-Management sind u.a.:

  1. Risiko-Analysen
  2. Richtlinie
  3. Risiko-Inventar
  4. Analyse-Methoden

Strategien

Betreiber müssen die Risiken in KRITIS-Anlagen managen. KRITIS-Risiken können nur schwerlich vermieden oder transferiert werden – die passenden Strategien und Behandlungs­optionen für den Umgang mit KRITIS-Risiken müssen im Risiko-Management gefunden werden.

Schutzziele

Das primäre Schutzziel der KRITIS-Regulierung ist die Verfügbarkeit der kritischen Dienst­leistungen (kDL), die in KRITIS-Anlagen erbracht werden. Notwendige Security Maßnahmen zielen auf die Sicherstellung dieser Dienstleistungen in Anbetracht von Cyberrisiken ab — indem sie die IT, Organisation und Prozesse von KRITIS-Anlagen wie folgt schützen:

Strategien und Optionen

Die üblichen Behandlungs­optionen für Risiken sind in KRITIS-Anlagen von Betreibern Kritischer Infrastrukturen nur eingeschränkt nutzbar:

Behandlung

Die KRITIS-Risiken müssen letztlich behandelt und gemindert werden. Dabei eröffnet sich schnell ein Spannungsfeld zwischen unternehmerischen Realitäten und den Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen.

Die einzelnen Risiken müssen dann in dedizierten Management-Systemen behandelt werden, wie im ISMS für Informations­sicherheit und BCMS für Resilienz.

Integration im Unternehmen

Das Risiko-Management muss für das Management von Ausfallrisiken im Betrieb mit weiteren Management-Systemen vernetzt sein.

up

Asset-Management

Governance für Assets

Um die Risiken in den KRITIS-Anlagen steuern zu können, ist ein Inventar und Management der dort eingesetzten Assets zwingend notwendig. Betreiber müssen dazu die Assets in den KRITIS-Anlagen kennen und organisiert verwalten — mit klaren Verantwortlichkeiten und Prozessen im Asset Management.

BSI-ID Anforderung
BSI-5 Asset Inventar und Prozesse
BSI-6 Zuweisung von Asset Verantwortlichen
BSI-7 Nutzungsanweisungen für Assets
BSI-8 Ab- und Rückgabe von Assets
BSI-12 Überführung und Entfernung von Assets

Vorgaben

Die Verwaltung der Assets wird in einer Richtlinie des Risiko-Managements festgeschrieben, welche die Anforderungen, Rollen und Prozesse definiert. Der ordnungsgemäße Umgang mit Assets in der KRITIS-Anlage wird in dokumentierten Anweisungen festgelegt.

Rollen

Für das Management von Assets in KRITIS-Anlagen sind definierte Rollen notwendig:

Inventar

Für eine Übersicht der vorhandenen Assets und als Grundlage vom Risiko-Management ist ein Inventar der Assets in den KRITIS-Anlagen notwendig. Assets umfassen, je nach Definition, IT-Systeme, Komponenten, Verfahren und Anwendungen, und sollten regelmäßig erfasst werden — ob IT-gestützt (CMDB, IT-SM) oder durch manuelle Prozesse ist dabei zweitrangig.

Prozesse

Definierte Prozesse sind für den Lebenszyklus der Assets und deren Verwaltung notwendig:

Nachweise

Artefakte als Nachweis für ein funktionierendes Asset-Management sind u.a.:

  1. Asset-Inventar
  2. Asset-Listen
  3. Zugewiesene Risiken
  4. Asset-Verantwortliche

Klassifizierung

Informationen in den KRITIS-Anlagen folgen einer einheitlichen Klassifikation durch den Betreiber und werden im Betrieb dementsprechend eingestuft. Dazu gibt es ein definiertes Klassifizierungs­schema und Vorgaben, wie Informationen und deren Datenträger und Medien zu handhaben sind — von der Erstellung und Ausgabe, bis zum Transport, Rückgabe und Vernichtung. Dies geschieht nach definierten Prozessen, deren Einhaltung überwacht wird.

BSI-ID Anforderung
BSI-9 Klassifikation von Informationen
BSI-10 Kennzeichnung von Informationen und Handhabung von Assets
BSI-11 Verwaltung von Datenträgern

Integration im Unternehmen

Das Asset-Management muss im Betrieb mit weiteren Management-Systemen vernetzt sein.

up

Weitere Informationen

Literatur

  1. Schutz Kritischer Infrastrukturen - Risiko- und Krisenmanagement Leitfaden für Unternehmen und Behörden, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), 2019
  2. IT Asset-Management, NIST Special Publication 1800-5, September 2018
  3. Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011
  4. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, NIST SP 800-37 Rev. 2, Dezember 2018
  5. Guide for Conducting Risk Assessments, NIST SP 800-30 Rev. 1, September 2012

Standards

  1. ISO 31000:2018, Risk management - Guidelines, International Organization for Standardization
  2. ISO 31010:2019, Risk management - Risk assessment techniques, International Organization for Standardization
  3. ISO/IEC 27005:2018, Information technology - Security techniques - Information security risk management
  4. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist