Was ist die BSI-Kritisverordnung?
Inhaltsverzeichnis
Was ist BSI-Kritisverordnung?
Bei der BSI-Kritisverordnung handelt es sich um eine Richtlinie zur Vorgehensweise und Umsetzung von Sicherheitsanforderungen für kritische Infrastrukturen. Mit einer kritischen Infrastruktur (kurz: KRITIS) ist gemäß der BSI-Kritisverordnung (bzw. EU-Richtlinie 2008/114/EG) ein System oder eine Anlage gemeint, das für die Erhaltung der grundlegenden sozialen Aufgaben eines Staats, einer Gesellschaft oder Wirtschaft von Bedeutung ist. Kritische Infrastrukturen findet man in den Bereichen des Gesundheitswesens (Krankenhäuser), der Flughäfen, der Autobahnen, des Schienenverkehrs, der Netzkommunikation, der Medien, der Wasserversorgungssysteme, der Ölraffinerien, der Kraftwerke usw.
Die stetig wachsende Digitalisierung zeigt, dass die Anforderungen an die Sicherheit in diesen wesentlichen Bereichen rasant zunehmen, sodass infolgedessen diese Anforderungen mit der Technologie stark miteinander verbunden sein muss. Unberechtigte Zugriffe oder selbst nur Unterbrechungen einer Infrastruktur können erhebliche Krisen nach sich ziehen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die deutsche Bundesbehörde, die für die Verwaltung der Computer- und Kommunikationssicherheit der Bundesregierung zuständig ist. Zu den Fachgebieten und Verantwortungsbereichen gehören neben dem Schutz kritischer Infrastrukturen auch die Sicherheit von Computeranwendungen, Internetsicherheit, Kryptografie, Zertifizierung von Sicherheitsprodukten sowie die Akkreditierung von sog. Sicherheits-Prüflaboratorien.
IT-Sicherheitsgesetze als Teil der BSI-Kritisverordnung
Im ersten Teil der BSI-Kritisverordnung (§ 10 BSIG) ist verankert, welche Sektoren unter den Geltungsbereich für die Umsetzung der IT-Sicherheitsanforderungen fallen:
- Informationstechnik
- Telekommunikation
- Energie
- Ernährung
- Wasserversorgung
- Gesundheit
- Transport und Verkehr
- Finanz- und Versicherungswesen
Ziel der nationalen Cybersicherheits-Behörde ist es, in der BSI-Kritisverordnung die Anforderungen in der Digitalisierung zu verankern, um Staat, Gesellschaft oder Wirtschaft zu schützen, potenzielle Gefahrenquellen zu ermitteln und entsprechend darauf zu reagieren. Die BSI-Kritisverordnung trägt demnach einen sehr großen Teil dazu bei, dass kritische Infrastrukturen trotz wachsender IT-Abhängigkeiten und Vernetzungsfunktionen zuverlässig bleiben.
Um dieses Sicherheitsniveau konstant aufrechtzuerhalten, sind die Umsetzung aus der Verordnung maßgebend, wenngleich mit umfangreichen Investitionen in die IT-Sicherheit verbunden. Dies wird damit begründet, dass eben kritische Infrastrukturen ein eindringliches Ziel für Cyber-Angriffe darstellen und durch das bestehende Gefährdungspotenzial auch eine Gefahr für die Gesellschaft aufweisen. Ausfälle oder selbst Beeinträchtigungen kritischer Infrastrukturen können zu anhaltendem Versorgungsengpass, immensen öffentlichen Sicherheitsstörungen oder anderen Krisen führen.
Viele Vorfälle der vergangenen Jahre zeigen, dass die Gefahr aus dem Cyber-Segment nicht unbedeutend sind. Eine wirksame Bekämpfung dieser Bedrohung erfordert somit eine enge Zusammenarbeit zwischen der Wirtschaft und dem Staat. Die robuste IT-Landschaft ist daher das erste wesentliche Element der Sicherheitsgewährleistung.
Webseiten-Betreiber
Webseiten-Betreiber, die aufgrund der in Kraft gesetzten BSI-Kritisverordnung unter den Geltungsbereich fallen, müssen die sog. technischen und organisatorischen Maßnahmen (kurz: TOMs) nach dem Stand der Technik umsetzen. Diesen Maßnahmen liegt das Ziel zugrunde, die technischen IT-Systeme (Daten, Einrichtungen) vor unbefugtem Zugriff zu sichern.
Die Anforderungen an die Umsetzung der TOMs resultierte aus Ergebnissen des BSI, die zeigten, dass z. B. insbesondere überholte Softwares auf Servern für Missbrauch anfällig sind.
Stand der Technik
Stand der Technik bezieht sich auf den höchsten Stand der allgemeinen Entwicklung in Bezug auf ein Gerät, eine Technik oder ein wissenschaftliches Gebiet, die zu einem bestimmten Zeitpunkt erreicht werden. Sie bezieht sich auch auf einen solchen Entwicklungsstand, der zu einem bestimmten Zeitpunkt aufgrund der damals üblichen Methodik erreicht wurde.
Der Begriff wird bereits seit 1910 genutzt und ist sowohl in der Werbung als auch im Marketing ein gängiger Begriff und ein rechtlich bedeutsamer Ausdruck im Hinblick auf das Patentrecht und die Haftung aus unerlaubter Handlung.
Cyber-Sicherheit der BSI-Kritisverordnung
Als wesentliches Element der BSI-Kritisverordnung ist die Cyber-Sicherheit eine Praxis, den unbefugten Zugriff, die Verwendung, die Unterbrechung, die Offenlegung, die Überprüfung, die Aufzeichnung oder Zerstörung von Informationen zu verhindern. Die Informationen oder Daten können jede Form annehmen, z. B. elektronisch oder physisch. Der Schwerpunkt der Cyber-Sicherheit liegt auf dem ausgewogenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, wobei der Fokus auf einer effizienten Richtlinien-Implementierung liegt, ohne die Produktivität der Organisation zu beeinträchtigen.
Dies wird überwiegend durch einen mehrstufigen Risikomanagement-Prozess erreicht, der Vermögenswerte, Bedrohungsquellen, Schwachstellen, mögliche Auswirkungen und mögliche Kontrollen identifiziert, gefolgt von einer Bewertung der Wirksamkeit des Risikomanagementplans.
Um diese Disziplin zu vereinheitlichen, arbeiten Akademiker und Fachleute zusammen und bemühen sich, grundlegende Richtlinien und Standards für Passwörter, Antivieren-Software, Firewall, Verschlüsselungssoftware, gesetzliche Haftung und Schulungsstandards für Benutzer und Administratoren festzulegen. Die Standardisierung basiert auf den Vorschriften der BSI-Kritisverordnung, so z. B. wie auf Daten zugegriffen, verarbeitet, gespeichert und übertragen werden kann.
IT-Grundsatz
Der Ansatz der IT gemäß der BSI-Kritisverordnung liegt in der Methodik zur Ermittlung und Implementierung von Computer-Sicherheitsmaßnahmen innerhalb einer Organisation. Ziel ist es, ein angemessenes Sicherheitsniveau für IT-Systeme zu erreichen. Um dieses Ziel zu erreichen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), neben den technischen und organisatorischen Maßnahmen auch personelle und infrastrukturelle Maßnahmen der Sicherheit umzusetzen.
Organisationen und Bundesbehörden zeigen ihren systemischen Ansatz zur Absicherung der IT-Systeme, indem sie eine ISO/IEC 27001-Zertifizierung auf der Basis des IT-Grundschutzes erwerben.
BSI-Kritisverordnung-Standards
Die BSI-Standards sind fester Bestandteil des IT-Grundsatzes und dessen Methodik. Sie geben Empfehlungen zu Methoden, Prozessen und Verfahren sowie Richtlinien und Maßnahmen zu verschiedenen Aspekten der Informationssicherheit. Benutzer von Behörden und Unternehmen sowie Hersteller und Dienstleister können Standards verwenden, um ihre Business-Prozesse und Daten sicherer zu machen.
Kryptografie und Krypto-Technik
Die IT-Sicherheit erfordert die ständige Entwicklung und Bewertung kryptographischer Methoden und Techniken.
Digitale Gesellschaft
Digitalisierung und Vernetzung bewirken für jede kritische Infrastruktur, hierbei insbesondere auch der Mensch im Vordergrund, eine Veränderung im Alltag. Nicht alle Ängste sind berechtigt, andere sind sehr real. Gleichzeitig eröffnen diese Entwicklungen Möglichkeiten, die vor kurzem noch utopisch erschienen sind, wie das fahrerlose Fahren.
Fazit
Eines ist sicher: In immer mehr Lebensbereichen ist man von diesen Veränderungen betroffen. In den Bereichen Mobilität und Cloud Computing sind die Chancen und Risiken, die die Digitalisierung für die Gesellschaft mit sich bringt und einen Dialog mit der Gesellschaft insgesamt erfordert, vorbildlich.
Sie haben noch Fragen?