:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Kritis(ch) Drei Grundlagen für den Erfolg von KRITIS
Was Verwaltungen und Unternehmen bei der Umsetzung zum Schutz kritischer Infrastrukturen beachten sollten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102000/102099/65.jpg "profilbild_publicplan_quadrat_640x640_72dpi_thumb.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac730c1494/s-ms-rt.png "s-ms-rt (S-Management Services)")
Nationale Strategie zum Schutz kritischer Infrastrukturen: Das klingt nach einer erforderlichen Maßnahme, nach Schutz des unbestritten bedeutsamen Wirtschaftsstandortes Deutschland, nach mehr Fragen als Antworten. So wissen einige Unternehmen gar nicht, ob oder dass sie Betreiber kritischer Infrastrukturen (KRITIS) sind und somit vom IT-Sicherheitsgesetz (IT-SiG) betroffen sind. Andere wissen nicht, wie sie Informationssicherheitsmanagementsysteme (ISMS) einrichten müssen. Ein Konvolut an Definitionen und Einstufungen tut sein Übriges. Trotz Bußgeldern von bis zu 100.000 Euro ist zudem nicht klar, wer für was verantwortlich ist. Dabei gibt es drei wichtige Aspekte, die Unternehmen bei der Umsetzung zum Schutz kritischer Infrastrukturen beachten sollten.
Der Kriterienkatalog steht fest. Bis Ende des Jahres werden für alle Branchen Sicherheitsmaßnahmen definiert. Die Branchen Energie, Ernährung, Wasser und IKT müssen die Vorgaben bereits in den nächsten zwei Jahren umsetzen. Sechs Prozent der Energieversorger haben ein ISMS eingerichtet und zertifizieren lassen. Bis zum 30. Januar 2018 müssen es 100 Prozent sein. Kontrolle und Überwachung wurden der Bundesnetzagentur (BNetzA) übertragen.
Für die anderen drei Branchen übernimmt diese Aufgabe das Bundesministerium für Sicherheit in der Informationstechnologie (BSI). Das IT-SiG soll ab 2017 verbindlich für alle KRITIS-Unternehmen gelten. Bis dahin müssen sie eine zentrale Ansprechstelle einsetzen. Sie muss jederzeit erreichbar sein, Vorfälle an das BSI melden und solche, die vom BSI gemeldet wurden, entgegennehmen, bearbeiten und entsprechend handeln. Bis dahin müssen Unternehmen jedoch noch einiges klären.
Zertifizierung
So müssen alle KRITIS-Betreiber auf Basis von „anerkannten Standards“ ein ISMS einrichten. Diese liefern das BSI mit dem IT-Grundschutz selbst und die DIN ISO/IEC 27001. Ersteres hat jedoch für die freie Wirtschaft i.d.R. ein zu starres Gefüge. Unternehmen, die sich bereits nach BSI zertifiziert haben, müssen sich daher im Zweifel nach ISO 27001 neu zertifizieren. Hinzu kommt: Der Geltungsbereich des ISMS muss auf das IT-SiG und an den KRITIS-Katalog zugeschnitten sein. Die passende Zertifizierung kann nur in Abstimmung mit einem qualifizierten und erfahrenen Berater sichergestellt werden.
Das schränkt jedoch eine Formulierung im IT-SiG ein. Dort heißt es, mit Ausnahme für die Energieversorger, dass KRITIS-Unternehmen ein ISMS zwar einrichten, aber nicht zertifizieren lassen müssen. Allerdings müssen sie dem BSI durch einen sogenannten geeigneten Nachweis glaubhaft machen, dass sie die Vorgaben einhalten.
Ohne Zertifizierung funktioniert das in der Regel nur durch aufwendige und kostspielige eigene Audits. Eine offizielle Zertifizierung gilt dann dafür drei Jahre lang. Pro Jahr erfolgt ein Zwischenaudit und Nachzertifizierungen werden erwartungsgemäß günstiger sein.
Eigeninitiative
Insbesondere für Branchen, die bisher nicht reguliert wurden, herrscht dagegen noch größere Unkenntnis. Unternehmen wissen nicht, ob sie zu den KRITIS gehören. Dadurch entsteht ein hoher Beratungsbedarf, für den es keine zentrale Anlaufstelle gibt. Recherchen im Internet bleiben erfolglos, gefundene Informationen sind unvollständig oder unverständlich verfasst.
Unternehmen können sich zwar direkt an das BSI wenden. Dieses antwortet aber in der Regel mit einer Kriterienliste, auf deren Grundlage es ohnehin systematisch nach Branche und Größe jene Unternehmen anschreibt, die KRITIS sind oder sein werden.
Wer sich vorher Klarheit verschaffen will, ist mit dem Gang zum Dienstleister gut beraten: Er ermittelt nicht nur, ob und wie weit ein Unternehmen als KRITIS einzustufen ist und ein ISMS einrichten muss, sondern auch was, wie und bei welchen Kosten. Er gibt Auskunft über individuelle Prozesse, Dokumente, Anforderungen, Abstimmungen und Umsetzung im täglichen Betrieb und wendet diese bei Bedarf an.
Ungelöst ist dagegen, wer haftet, wenn trotz richtiger Umsetzung aller Maßnahmen jene „dramatischen Folgen“ eintreten!
Dilemma
Momentan schieben sich die Behörden gegenseitig die Verantwortung zu. Das hat Auswirkungen auf die vorgegebenen Fristen. So stehen den guten Prüfkriterien schwammig formulierte Regelungsbereiche gegenüber und verhindern damit, dass Prüfinstitute zertifizieren.
Zum einen, da sie gar nicht wissen, nach welchen Richtlinien sie prüfen sollen. Zum anderen werden Prüfinstitute und Dienstleister nicht bereit sein, bei ungeklärter Haftungsfrage die Verantwortung zu übernehmen.
Am Ende können sich Unternehmen also sicher sein: Sind sie Betreiber kritischer Infrastrukturen, müssen sie trotz ungewisser Fristen früher oder später ein ISMS einrichten und dieses nachweisen. Gewissheit, was getan werden muss, schaffen professionelle Berater.
Auf eine klare Regelung der Haftung dagegen konnte sich der Gesetzgeber bislang nicht einigen.
* Robert Hellwig ist ISMS-Experte, zertifizierter ISO 27001 Lead Auditor und Senior Consultant sowie Prokurist bei der SecuRisk GmbH. Das Unternehmen ist eine der fünf Töchter der international agierenden DATA CENTER GROUP und Spezialist für Informationssicherheit, nicht nur in Rechenzentren. Im Auftrag seiner Kunden führt SECUrisk unter anderem Risikoanalysen und Beratungen durch.
(ID:44236975)
:quality(80)/images.vogel.de/vogelonline/bdb/1952900/1952908/original.jpg "Im Rahmen der Umsetzung des Onlinezugangsgesetzes hat das BSI in Zusammenarbeit mit dem Bundesministerium des Innern und für Heimat das Antragsverfahren für die Personenzertifizierung digitalisiert (momius – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947197/original.jpg "Mithilfe eines Information Security Management System werden in Organisationen Regeln und Verfahren aufgestellt, mit denen die Informationssicherheit dauerhaft definiert, gesteuert, kontrolliert, aufrechtzuerhalten und verbessert werden kann (aga7ta – stock.adobe.com)")