B3S (Branchenspezifische Sicherheitsstandards)

B3S (Branchenspezifische Sicherheitsstandards)

Copyright © Shutterstock/laymanzoom

Was ist B3S – (Branchenspezifische Sicherheitsstandards)?

Der Stand der Technik muss Schutzmaßnahmen implementiert haben, um die Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität zu gewährleisten.

Um diese Schutzanforderungen zu erfüllen, können Betreiber kritischer Infrastrukturen und ihre Verbände sogenannte branchenspezifische Sicherheitsstandards (B3S) entwickeln. Das IT-Sicherheitsgesetz wird diese Standards auf Anfrage prüfen und gegebenenfalls in Absprache mit dem BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) und in enger Abstimmung mit der zuständigen Bundesaufsichtsbehörde anerkennen.

Kritische Infrastrukturen

Unter “Kritische Infrastrukturen” werden die informationstechnischen Systeme, Prozesse und Komponenten verstanden, die für das reibungslose Funktionieren der betriebenen Infrastrukturen relevant sind.

Die B3S-Standards sind für folgende Branchen festgelegt:

  • Wasser/Abwasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Energie

Stand der Technik

Stand der Technik bezieht sich auf den höchsten Stand der allgemeinen Entwicklung in Bezug auf ein Gerät, ein wissenschaftliches Gebiet oder eine Technik, die zu einem bestimmten Zeitpunkt erreicht werden. Sie bezieht sich auch auf einen solchen Entwicklungsstand, der zu einem bestimmten Zeitpunkt aufgrund der damals üblichen Methode erreicht wurde.

Der Begriff wird zudem häufig verwendet, um zu vermitteln, dass ein Produkt mit der bestmöglichen Technologie hergestellt wird.

Auf welcher Grundlage basiert B3S?

Gemäß § 8 des BSI-Gesetzes müssen Betreiber kritischer Infrastrukturen ihre IT-Systeme, IT-Prozesse und IT-Komponenten mit ausreichenden Sicherheitsmaßnahmen versorgen, wenn sie unter das neu geregelte IT-Sicherheitsgesetz fallen und laut BSI-KRITIS-Verordnung als solche identifiziert wurden.

Die Einhaltung der IT-Anforderungen gemäß § 8 a BSI-Gesetz sind von den Betreiber in einem Turnus von 2 Jahren nachzuweisen. Der Nachweis erfolgt durch entsprechende Sicherheits-Audits oder -Kontrollen. Werden Sicherheitsmängel festgestellt, kann das BSI (Bundesamt für Sicherheit in der Informationstechnik) im Einvernehmen mit der zuständigen Bundesaufsichtsbehörde die Beseitigung der Sicherheitsmängel auferlegen und den Betreiber hierfür eine Frist setzen.

Zum Merken

Nach § 8a des BSI-Gesetzes müssen Betreiber Kritischer Infrastrukturen ihre IT-Systeme, -Komponenten und -Prozesse durch angemessene Vorkehrungen nach dem Stand der Technik absichern. Hierbei stehen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Kernprozesse im Fokus.

Eignungsprüfung von B3S

Die Entwicklung von B3S erfolgt vorzugsweise in den Industriegruppen der sog. “UP KRITIS” (Initiative zur Zusammenarbeit von Wirtschaft und Staat zwecks Schutz kritischer Infrastrukturen). Diese bewährte Kooperationsgruppe, die aus den Betreibern und dem Staat besteht, entwickelt entsprechende Konzepte und stellt diese zur Verfügung.

Sobald ein B3S-Standard entwickelt wurde, wird dieser mittels eines Formulars bei dem Bundesamt für Sicherheit und Informationstechnik beantragt werden. Das Formular nimmt die notwendigen Metadaten auf. Die formalen Anforderungen werden mithilfe einer Checkliste überprüft. Eine zusätzliche Mapping-Tabelle unterstützt zur Nachvollziehung der B3S-Eignung.

Das BSI stellt anschließend die Eignung fest, indem geprüft wird, ob die Voraussetzungen an den Stand der Technik für die betreffende Gefährdung in der Branche angemessen und ob die Risiko-Auswertung erfüllt ist. Nach erfolgter Abstimmung mit dem BBK und den Bundesaufsichtsbehörden wird die Eignung eines B3S-Standards für die Dauer von zwei Jahren festgelegt.

Veröffentlichung

Auf der Homepage des BSI ist eine Übersicht der bereits veröffentlichten Standards zu finden.

Neben der erforderlichen Zustimmung kann die Branche entscheiden, ob ein B3S-Standard voll umfänglich oder Teile davon als vertraulich gekennzeichnet werden und nur einem bestimmten Betreiberkreis zur Verfügung gestellt werden. Gilt ein Standard als vertraulich, so ist dies explizit kenntlich zu machen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte