IT-Sicherheitsgesetz: Der Stand der Technik – ein großer Unbekannter? (Teil 1)

IT-Sicherheitsgesetz: Der Stand der Technik – ein großer Unbekannter? (Teil 1)

Betreiber kritischer Infrastrukturen (KRITIS) sind mit dem IT-Sicherheitsgesetz verpflichtet, künftig Mindeststandards für die Sicherung von Anlagen in ihrem Verantwortungsbereich einzuhalten. Diese sollen dem Stand der Technik entsprechen. Doch was verbirgt sich dahinter und vor allem: Wie kann man ihn erreichen?

Seit Mitte letzten Jahres ist es in Kraft, das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz). KRITIS-Betreiber aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen schon bald einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Unser Blogautor Michael Barth im Interview
zum IT-Sicherheitsgesetz

Kein einfaches "weiter so" möglich

Das Gesetz wurde von Anfang an in einem kooperativen Verfahren zwischen betroffenen Wirtschaftszweigen und Staat ausgearbeitet. Dies drückt sich zum Beispiel darin aus, dass  sich die KRITIS-Betreiber eines Bereichs zusammentun und selbst Mindeststandards ausarbeiten können. Diese müssen dann vom BSI freigegeben werden. Bisher wurden bereits in gemeinsamen Arbeitsgruppen Versorgungsschwellenwerte ausgearbeitet, zum Verordnungsentwurf für den sogenannten ersten Korb (KRITIS-Betreiber aus den Bereichen Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung) gab es eine Verbändeanhörung im Bundesministerium des Innern, die Ergebnisse werden derzeit eingearbeitet. Weiterhin läuft bereits die Erarbeitung für den sogenannten zweiten Korb an, der weitere im Gesetz angesprochenen KRITIS-Betreiber betreffen wird.

Die oben angesprochenen Mindeststandards werden allerdings weder im Gesetz noch im ersten Verordnungsentwurf präzisiert. Im Gesetz findet sich lediglich der Verweis auf den "Stand der Technik" als Bewertungskriterium. Als unbestimmter Rechtsbegriff, der sich in zahlreichen Gesetzen und Verordnungen wiederfindet, bezeichnet der "Stand der Technik" einen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt.

Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein. Damit wird die Latte für IT-Sicherheitsinfrastrukturen recht hoch gelegt, ein einfaches "weiter so" wird in den meisten Fällen also nicht möglich sein. Dennoch bleibt weiterhin die Frage, wie der Stand der Technik im Einzelfall erreicht und vor allem nachgewiesen werden kann, für viele KRITIS-Betreiber zunächst offen.

IT-Infrastruktur nach Kritikalität klassifizieren

Zunächst müssen die KRITIS-Betreiber allerdings identifizieren, welche IT-Systeme für die Bereitstellung ihrer Dienstleistung überhaupt kritisch sind. Der CIO steht hier vor der Herausforderung, die ohnehin schon unübersichtliche IT-Infrastruktur nach Kritikalität zu klassifizieren. Am ehesten empfiehlt sich hier ein Vorgehen, das das BSI vor einigen Jahren in einem Beschaffungsleitfaden für die öffentliche Verwaltung empfohlen hat. Zwar bezieht sich das BSI in seiner Veröffentlichung lediglich auf Daten, die Vorgehensweise lässt sich allerdings auch ohne weiteres auf Informationstechnologie generell übertragen.

Beispiel Energieversorgung: Die Schutzklasse muss sich am möglichen Schadensausmaß orientieren

Das BSI empfiehlt darin, die IT-Infrastruktur und die dort betriebenen Systeme in verschiedene Schutzklassen einzuordnen. Dabei muss die Schutzklasse umso höher sein, je höher der zu erwartende Schaden ist, wenn das System durch einen Angriff oder durch Fehlfunktionen versagt. Danach muss der Betreiber einschätzen, wie groß das Risiko eines Angriffs auf das System ist. Wenn sowohl die Schutzklasse als auch das Angriffsrisiko groß sind, sollte auch die Qualitätsklasse des ausgewählten Produktes hoch sein. Bei der Festlegung der Qualitätsklasse eines Produktes folgt das BSI neuesten wissenschaftlichen Erkenntnissen und aktuellen technischen Möglichkeiten und Trends.

Soweit möglich und anwendbar, werden hierzu technische Standards und Sicherheitsprofile festgelegt, insbesondere die sogenannten "Common Criteria Protection Profiles". Systeme, deren Vertraulichkeits- oder Integritätsverlust zu einer wesentlichen Beeinträchtigung kritischer Prozesse führen können, unterliegen gemäß BSI grundsätzlich einem erhöhten Angriffsrisiko bzw. Bedrohungspotential. In seinem Beschaffungsleitfaden empfiehlt das BSI hier die Qualitätsklasse 4. Um diese nachzuweisen, müssen die Systeme eine mittlere bis hohe Stufe an unabhängig geprüfter Sicherheit vorhalten und der Hersteller seine Vertrauenswürdigkeit nachweisen. Dies kann zum Beispiel mit einem deutschen Sicherheitszertifikat nach Common Criteria in der Stufe EAL 4 oder vergleichbaren ITSEC-Kriterien erfolgen.

Erfahren Sie im zweiten Teil dieses Beitrags, welche Standards Lieferanten von IT-Systemen erfüllen müssen und welche konkreten Lösungen dem Stand der Technik entsprechen.

 

Bildquellen: © MH, Thorsten Schier - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.