BSI-Kritisverordnung

BSI Kritisverordnung

Copyright ┬ę Shutterstock / Olivier Le Moal

Was ist BSI-Kritisverordnung?

Bei der BSI-Kritisverordnung handelt es sich um eine Richtlinie zur Vorgehensweise und Umsetzung von Sicherheitsanforderungen f├╝r kritische Infrastrukturen. Mit einer kritischen Infrastruktur (kurz: KRITIS) ist gem├Ą├č der BSI-Kritisverordnung (bzw. EU-Richtlinie 2008/114/EG) ein System oder eine Anlage gemeint, das f├╝r die Erhaltung der grundlegenden sozialen Aufgaben eines Staats, einer Gesellschaft oder Wirtschaft von Bedeutung ist. Kritische Infrastrukturen findet man in den Bereichen des Gesundheitswesens (Krankenh├Ąuser), der Flugh├Ąfen, der Autobahnen, des Schienenverkehrs, der Netzkommunikation, der Medien, der Wasserversorgungssysteme, der ├ľlraffinerien, der Kraftwerke usw.

Die BSI-Kritisverordnung hat die Aufgabe, die Anf├Ąlligkeit dieser Infrastrukturen (Systeme, Anlagen) auf potenzielle Bedrohungen oder Gefahren zu pr├╝fen und zu begrenzen.

Die stetig wachsende Digitalisierung zeigt, dass die Anforderungen an die Sicherheit in diesen wesentlichen Bereichen rasant zunehmen, sodass infolgedessen diese Anforderungen mit der Technologie stark miteinander verbunden sein muss. Unberechtigte Zugriffe oder selbst nur Unterbrechungen einer Infrastruktur k├Ânnen erhebliche Krisen nach sich ziehen.

Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI)

Das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) ist die deutsche Bundesbeh├Ârde, die f├╝r die Verwaltung der Computer- und Kommunikationssicherheit der Bundesregierung zust├Ąndig ist. Zu den Fachgebieten und Verantwortungsbereichen geh├Âren neben dem Schutz kritischer Infrastrukturen auch die Sicherheit von Computeranwendungen, Internetsicherheit, Kryptografie, Zertifizierung von Sicherheitsprodukten sowie die Akkreditierung von sog. Sicherheits-Pr├╝flaboratorien.

Wissenswert

Das Bundesamt hat seinen Sitz in Bonn und f├╝hrt um die 600 Besch├Ąftigte.

IT-Sicherheitsgesetze als Teil der BSI-Kritisverordnung

Im ersten Teil der BSI-Kritisverordnung (┬ž┬á10 BSIG) ist verankert, welche Sektoren unter den Geltungsbereich f├╝r die Umsetzung der IT-Sicherheitsanforderungen fallen:

  • Informationstechnik
  • Telekommunikation
  • Energie
  • Ern├Ąhrung
  • Wasserversorgung
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Ziel der nationalen Cybersicherheits-Beh├Ârde ist es, in der BSI-Kritisverordnung die Anforderungen in der Digitalisierung zu verankern, um Staat, Gesellschaft oder Wirtschaft zu sch├╝tzen, potenzielle Gefahrenquellen zu ermitteln und entsprechend darauf zu reagieren. Die BSI-Kritisverordnung tr├Ągt demnach einen sehr gro├čen Teil dazu bei, dass kritische Infrastrukturen trotz wachsender IT-Abh├Ąngigkeiten und Vernetzungsfunktionen zuverl├Ąssig bleiben.

Um dieses Sicherheitsniveau konstant aufrechtzuerhalten, sind die Umsetzung aus der Verordnung ma├čgebend, wenngleich mit umfangreichen Investitionen in die IT-Sicherheit verbunden. Dies wird damit begr├╝ndet, dass eben kritische Infrastrukturen ein eindringliches Ziel f├╝r Cyber-Angriffe darstellen und durch das bestehende Gef├Ąhrdungspotenzial auch eine Gefahr f├╝r die Gesellschaft aufweisen. Ausf├Ąlle oder selbst Beeintr├Ąchtigungen kritischer Infrastrukturen k├Ânnen zu anhaltendem Versorgungsengpass, immensen ├Âffentlichen Sicherheitsst├Ârungen oder anderen Krisen f├╝hren.

Viele Vorf├Ąlle der vergangenen Jahre zeigen, dass die Gefahr aus dem Cyber-Segment nicht unbedeutend sind. Eine wirksame Bek├Ąmpfung dieser Bedrohung erfordert somit eine enge Zusammenarbeit zwischen der Wirtschaft und dem Staat. Die robuste IT-Landschaft ist daher das erste wesentliche Element der Sicherheitsgew├Ąhrleistung.

Webseiten-Betreiber

Webseiten-Betreiber, die aufgrund der in Kraft gesetzten BSI-Kritisverordnung unter den Geltungsbereich fallen, m├╝ssen die sog. technischen und organisatorischen Ma├čnahmen (kurz: TOMs) nach dem Stand der Technik umsetzen. Diesen Ma├čnahmen liegt das Ziel zugrunde, die technischen IT-Systeme (Daten, Einrichtungen) vor unbefugtem Zugriff zu sichern.

Die Anforderungen an die Umsetzung der TOMs resultierte aus Ergebnissen des BSI, die zeigten, dass z.┬áB. insbesondere ├╝berholte Softwares auf Servern f├╝r Missbrauch anf├Ąllig sind.

Stand der Technik

Stand der Technik bezieht sich auf den h├Âchsten Stand der allgemeinen Entwicklung in Bezug auf ein Ger├Ąt, eine Technik oder ein wissenschaftliches┬áGebiet, die zu einem bestimmten Zeitpunkt erreicht werden. Sie bezieht sich auch auf einen solchen Entwicklungsstand, der zu einem bestimmten Zeitpunkt aufgrund der damals ├╝blichen Methodik erreicht wurde.

Der Begriff wird bereits seit 1910 genutzt und ist sowohl in der Werbung als auch im Marketing ein g├Ąngiger Begriff und ein rechtlich bedeutsamer Ausdruck im Hinblick auf das Patentrecht und die Haftung aus unerlaubter Handlung.

Cyber-Sicherheit

Als wesentliches Element der BSI-Kritisverordnung ist die Cyber-Sicherheit eine Praxis, den unbefugten Zugriff, die Verwendung, die Unterbrechung, die Offenlegung, die ├ťberpr├╝fung, die Aufzeichnung oder Zerst├Ârung von Informationen zu verhindern. Die Informationen oder Daten k├Ânnen jede Form annehmen, z.┬áB. elektronisch oder physisch. Der Schwerpunkt der Cyber-Sicherheit liegt auf dem ausgewogenen Schutz der Vertraulichkeit, Integrit├Ąt und Verf├╝gbarkeit von Daten, wobei der Fokus auf einer effizienten Richtlinien-Implementierung liegt, ohne die Produktivit├Ąt der Organisation zu beeintr├Ąchtigen.

Dies wird ├╝berwiegend durch einen mehrstufigen Risikomanagement-Prozess erreicht, der Verm├Âgenswerte, Bedrohungsquellen, Schwachstellen, m├Âgliche Auswirkungen und m├Âgliche Kontrollen identifiziert, gefolgt von einer Bewertung der Wirksamkeit des Risikomanagementplans.

Um diese Disziplin zu vereinheitlichen, arbeiten Akademiker und Fachleute zusammen und bem├╝hen sich, grundlegende Richtlinien und Standards f├╝r Passw├Ârter, Antivieren-Software, Firewall, Verschl├╝sselungssoftware, gesetzliche Haftung und Schulungsstandards f├╝r Benutzer und Administratoren festzulegen. Die Standardisierung basiert auf den Vorschriften der BSI-Kritisverordnung, so z.┬áB. wie auf Daten zugegriffen, verarbeitet, gespeichert und ├╝bertragen werden kann.

IT-Grundsatz

Der Ansatz der IT gem├Ą├č der BSI-Kritisverordnung liegt in der Methodik zur Ermittlung und Implementierung von Computer-Sicherheitsma├čnahmen innerhalb einer Organisation. Ziel ist es, ein angemessenes Sicherheitsniveau f├╝r IT-Systeme zu erreichen. Um dieses Ziel zu erreichen, empfiehlt das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI), neben den technischen und organisatorischen Ma├čnahmen auch personelle und infrastrukturelle Ma├čnahmen der Sicherheit umzusetzen.

Organisationen und Bundesbeh├Ârden zeigen ihren systemischen Ansatz zur Absicherung der IT-Systeme, indem sie eine ISO/IEC 27001-Zertifizierung auf der Basis des IT-Grundschutzes erwerben.

BSI-Standards

Die BSI-Standards sind fester Bestandteil des IT-Grundsatzes und dessen Methodik. Sie geben Empfehlungen zu Methoden, Prozessen und Verfahren sowie Richtlinien und Ma├čnahmen zu verschiedenen Aspekten der Informationssicherheit. Benutzer von Beh├Ârden und Unternehmen sowie Hersteller und Dienstleister k├Ânnen Standards verwenden, um ihre Business-Prozesse und Daten sicherer zu machen.

Kryptografie und Krypto-Technik

Die IT-Sicherheit erfordert die st├Ąndige Entwicklung und Bewertung kryptographischer Methoden und Techniken.

Kryptografie befasst sich mit den wissenschaftlichen Grundlagen der Informationssicherheit, so also der Entwicklung und Bewertung der kryptographischen Mechanismen als Kernelement f├╝r sichere IT-Systeme.
Die Krypto-Technik befasst sich mit der technischen Implementierung der Sicherheitsmechanismen sowie der Entwicklung und dem sicheren Betrieb der kompletten Informationssicherheits-Systeme.

Digitale Gesellschaft

Digitalisierung und Vernetzung bewirken f├╝r jede kritische Infrastruktur, hierbei insbesondere auch der Mensch im Vordergrund, eine Ver├Ąnderung im Alltag. Nicht alle ├ängste sind berechtigt, andere sind sehr real. Gleichzeitig er├Âffnen diese Entwicklungen M├Âglichkeiten, die vor kurzem noch utopisch erschienen sind, wie das fahrerlose Fahren.

Fazit

Eines ist sicher: In immer mehr Lebensbereichen ist man von diesen Ver├Ąnderungen betroffen. In den Bereichen Mobilit├Ąt und Cloud Computing sind die Chancen und Risiken, die die Digitalisierung f├╝r die Gesellschaft mit sich bringt und einen Dialog mit der Gesellschaft insgesamt erfordert, vorbildlich.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte