KRITIS Risiken und Assets
KRITIS-Betreiber müssen Risiken in KRITIS-Anlagen und Assets behandeln, um die kritische Dienstleistung zu schützen. Dafür sind Governance und Prozesse für Risiko- und Asset-Management im KRITIS-Geltungsbereich notwendig — für transparente Risiken und geeignete Maßnahmen.
Die KRITIS-Regulierung legt keine Standards oder Technologien für Risiko- oder Asset-Management fest — verpflichtend ist das Steuern von Risiken und Assets in den KRITIS-Anlagen. Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen behandelt Risiken und Assets wie folgt:
| Bereich | BSI-ID | Anforderung |
|---|---|---|
| Risiko-Management | 13-16 | Richtlinien und Governance für Risiko-Management |
| Asset-Management | 5-8, 12 | Inventar und Prozesse für Assets |
| Klassifizierung | 9-11 | Umgang mit Informationen und Daten |
Risiko-Management
Governance für Risiken
Für die Behandlung von Risiken in KRITIS-Anlagen sind Verantwortlichkeiten und Prozesse durch klare Vorgaben und Governance für Risiko-Management notwendig. Die Methoden und Abläufe sollten mit bestehenden Management-Systemen harmonisiert werden — dem Risiko-Management des Unternehmens und ISMS und BCMS in KRITIS-Anlagen.
| BSI-ID | Anforderung |
|---|---|
| BSI-13 | Richtlinie für die Organisation des Risikomanagements |
| BSI-14 | Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken |
| BSI-15 | Richtlinien zur Folgeabschätzung |
| BSI-16 | Maßnahmenableitung |
Vorgaben
Durch Vorgaben legt die Unternehmensleitung die Strategien, Methoden und Abläufe im Umgang mit Risiken in KRITIS-Anlagen fest — in einer Risiko-Management Richtlinie oder zentralen KRITIS-Policy. In den Vorgaben sollten auch einheitliche Risiko-Klassen, Methoden und Schwellenwerte für die weiteren Management-Systeme (ISMS, BCMS) definiert werden.
Rollen
Das Risiko-Management in KRITIS-Anlagen benötigt definierte Rollen und Verantwortungen:
- Risiko-Verantwortliche: Eigentümer von Risiken in den KRITIS-Anlagen, verantwortlich für die Behandlung der Risiken
Prozesse
Risiken in KRITIS-Anlagen müssen durch organisierte Prozesse gesteuert werden, die pro Jahr mindestens einmal durchlaufen werden:
- Identifikation: Methoden zur Identifikation von Risiken in Assets und KRITIS-Anlagen
- Risikoanalyse: Analyse der Risiken von Assets — Durchführung von Risiko-Analysen
- Risikobehandlung: Auswahl von Optionen in der Risikobehandlung mit ISMS und BCMS
Nachweise
Artefakte als Nachweis für ein funktionierendes Risiko-Management sind u.a.:
- Risiko-Analysen
- Richtlinie
- Risiko-Inventar
- Analyse-Methoden
Strategien
Betreiber müssen die Risiken in KRITIS-Anlagen managen. KRITIS-Risiken können nur schwerlich vermieden oder transferiert werden – die passenden Strategien und Behandlungsoptionen für den Umgang mit KRITIS-Risiken müssen im Risiko-Management gefunden werden.
Schutzziele
Das primäre Schutzziel der KRITIS-Regulierung ist die Verfügbarkeit der kritischen Dienstleistungen (kDL), die in KRITIS-Anlagen erbracht werden. Notwendige Security Maßnahmen zielen auf die Sicherstellung dieser Dienstleistungen in Anbetracht von Cyberrisiken ab — indem sie die IT, Organisation und Prozesse von KRITIS-Anlagen wie folgt schützen:
- Vertraulichkeit: Die in der KRITIS-Anlage und zur Steuerung eingesetzten Informationen und IT-Systeme müssen vor unerlaubtem Zugriff geschützt werden — Zugangsdaten, Passwörter, Betriebsinformationen, Konfigurationen etc., um Angriffe (dadurch) zu vermeiden.
- Integrität: Die eingesetzten Informationen und Systeme müssen ebenso gegen unbefugte Änderungen geschützt werden, um einen ungestörten und korrekten Regelbetrieb zu gewährleisten.
- Verfügbarkeit: Die für die KRITIS-Anlage notwendigen IT-Systeme, Prozesse und Assets müssen vor Ausfällen und Störungen geschützt und möglichst resilient organisiert werden, um die Verfügbarkeit der kritischen Dienstleistung bei Vorfällen sicherzustellen.
Strategien und Optionen
Die üblichen Behandlungsoptionen für Risiken sind in KRITIS-Anlagen von Betreibern Kritischer Infrastrukturen nur eingeschränkt nutzbar:
- Transfer: KRITIS-Risiken ihrer KRITIS-Anlagen können von KRITIS-Betreibern in der Risiko-Behandlung nicht transferiert, verlagert oder geteilt werden. Betreibt ein Unternehmen KRITIS-Anlagen, muss es deren Risiken behandeln, ein Transfer an Dritte ist nicht möglich
- Vermeidung: Gehört eine kritische Dienstleistung in einer KRITIS-Anlage zum Betrieb eines Unternehmens, können KRITIS-Risiken nicht plausibel vermieden werden. Die Risiken sind dem Betrieb Kritischer Infrastrukturen inhärent.
- Akzeptanz: Risiken von KRITIS-Anlagen, welche die Versorgungssicherheit beeinträchtigen, können von Betreiber nur sehr schwer legitim in der Risikobehandlung schlicht akzeptiert werden.
- Outsourcing: Bei Verlagerung von Anwendungen oder des IT-Betriebs zu IT-Dienstleistern, Managed Service oder Cloud Providern verbleiben die KRITIS-Risiken beim KRITIS-Betreiber. Der externe Dienstleister trägt lediglich die Umsetzungs-Verantwortung von Maßnahmen, das Risiko (Accountable) und Management verbleibt beim KRITIS-Betreiber.
Behandlung
Die KRITIS-Risiken müssen letztlich behandelt und gemindert werden. Dabei eröffnet sich schnell ein Spannungsfeld zwischen unternehmerischen Realitäten und den Verpflichtungen als Kritische Infrastruktur aus dem BSIG. Dieses Spannungsfeld müssen Betreiber selbst lösen.
Die einzelnen Risiken müssen dann in dedizierten Management-Systemen behandelt werden, wie im ISMS für Informationssicherheit und BCMS für Resilienz.
Integration im Unternehmen
Das Risiko-Management muss für das Management von Ausfallrisiken im Betrieb mit weiteren Management-Systemen vernetzt sein.
- Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
- ISMS: Definition von Risiko-Methoden und Kategorien; Austausch zu IS- und IT-Risiken in den KRITIS-Anlagen und ISMS-Ergebnissen (SBF, Maßnahmen)
- BCM: Definition von Risiko-Methoden und Kategorien; Austausch zu Ausfallrisiken in den KRITIS-Anlagen und BCM-Ergebnissen (BIA, RIA, ...)
- KRITIS-Organisation: Steuerung der Risiko-Strategie für KRITIS, Austausch zur Cyber Security Strategie und Risiko-Behandlung
Asset-Management
Governance für Assets
Um die Risiken in den KRITIS-Anlagen steuern zu können, ist ein Inventar und Management der dort eingesetzten Assets zwingend notwendig. Betreiber müssen dazu die Assets in den KRITIS-Anlagen kennen und organisiert verwalten — mit klaren Verantwortlichkeiten und Prozessen im Asset Management.
| BSI-ID | Anforderung |
|---|---|
| BSI-5 | Asset Inventar und Prozesse |
| BSI-6 | Zuweisung von Asset Verantwortlichen |
| BSI-7 | Nutzungsanweisungen für Assets |
| BSI-8 | Ab- und Rückgabe von Assets |
| BSI-12 | Überführung und Entfernung von Assets |
Vorgaben
Die Verwaltung der Assets wird in einer Richtlinie des Risiko-Managements festgeschrieben, welche die Anforderungen, Rollen und Prozesse definiert. Der ordnungsgemäße Umgang mit Assets in der KRITIS-Anlage wird in dokumentierten Anweisungen festgelegt.
Rollen
Für das Management von Assets in KRITIS-Anlagen sind definierte Rollen notwendig:
- Asset-Verantwortliche: Dedizierter Owner von Assets und deren Risiken — verantwortlich für den Schutz der Assets durch Maßnahmen
Inventar
Für eine Übersicht der vorhandenen Assets und als Grundlage vom Risiko-Management ist ein Inventar der Assets in den KRITIS-Anlagen notwendig. Assets umfassen, je nach Definition, IT-Systeme, Komponenten, Verfahren und Anwendungen, und sollten regelmäßig erfasst werden — ob IT-gestützt (CMDB, IT-SM) oder durch manuelle Prozesse ist dabei zweitrangig.
Prozesse
Definierte Prozesse sind für den Lebenszyklus der Assets und deren Verwaltung notwendig:
- Inventarisierung: Regelprozess zur Aufnahme und Aktualisierung der vorhandenen Assets
- Verantwortungen: Verantwortlichkeiten für Assets werden durch geregelte Prozesse an festgelegte Owner vergeben
- Lebenszyklus: Die Aus- und Rückgabe von Assets folgt klaren Regeln und wird dokumentiert
- Transfer: Die Überführung von Assets nach außerhalb erfolgt nur mit Genehmigung
Nachweise
Artefakte als Nachweis für ein funktionierendes Asset-Management sind u.a.:
- Asset-Inventar
- Asset-Listen
- Zugewiesene Risiken
- Asset-Verantwortliche
Klassifizierung
Informationen in den KRITIS-Anlagen folgen einer einheitlichen Klassifikation durch den Betreiber und werden im Betrieb dementsprechend eingestuft. Dazu gibt es ein definiertes Klassifizierungsschema und Vorgaben, wie Informationen und deren Datenträger und Medien zu handhaben sind — von der Erstellung und Ausgabe, bis zum Transport, Rückgabe und Vernichtung. Dies geschieht nach definierten Prozessen, deren Einhaltung überwacht wird.
| BSI-ID | Anforderung |
|---|---|
| BSI-9 | Klassifikation von Informationen |
| BSI-10 | Kennzeichnung von Informationen und Handhabung von Assets |
| BSI-11 | Verwaltung von Datenträgern |
Integration im Unternehmen
Das Asset-Management muss im Betrieb mit weiteren Management-Systemen vernetzt sein.
- Risiko-Management: Definition von Vorgaben und Zuständigkeiten, Austausch zu Assets und Risiken in Scope von KRITIS
- ISMS: Austausch zu Assets und deren Zuständigkeiten in den KRITIS-Anlagen
- BCM: Austausch zu Assets und deren Zuständigkeiten in den KRITIS-Anlagen
- KRITIS-Organisation: Unterstützung bei der Definition des KRITIS-Geltungsbereichs
Weitere Informationen
Literatur
- Schutz Kritischer Infrastrukturen - Risiko- und Krisenmanagement Leitfaden für Unternehmen und Behörden, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), 2019
- IT Asset-Management, NIST Special Publication 1800-5, September 2018
- Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011
- Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, NIST SP 800-37 Rev. 2, Dezember 2018
- Guide for Conducting Risk Assessments, NIST SP 800-30 Rev. 1, September 2012
Standards
- ISO 31000:2018, Risk management - Guidelines, International Organization for Standardization
- ISO 31010:2019, Risk management - Risk assessment techniques, International Organization for Standardization
- ISO/IEC 27005:2018, Information technology - Security techniques - Information security risk management
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
Quellen
- Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist