Schlagwortarchiv für: Kritische Infrastruktur

IT-Grundschutz – mit passenden Bausteinen des BSI

Digitalisierung, Infrastruktur, Sicherheit

Lesedauer ‘IT-Grundschutz – mit passenden Bausteinen des BSI’ 6 Minuten

Ohne adäquaten IT-Grundschutz sind Unternehmen der wachsenden Bedrohung durch Internetangriffe und Datenverlust schutzlos ausgeliefert. Die Auswirkungen sind oftmals gravierend und können schlimmstenfalls zur Insolvenz führen. Es ist daher grundlegend erforderlich, wirksame IT-Sicherheitsmaßnahmen zu implementieren, um die Verfügbarkeit und Integrität von IT-Systemen und sensiblen Geschäftsdaten zu garantieren.

Hierzu bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Vielzahl von Standards an. Diese geben Unternehmen Leitfäden an die Hand, welche standardisierte Vorgehensweisen für Umsetzung und Erfüllung hoher IT-Infrastruktursicherheit liefern.

Welche das sind und wie Sie diese Leitfäden sinnvoll in Ihrem Unternehmen nutzen könne, erfahren Sie im folgenden Artikel.

Licht und Schatten – Technologisierung im Mittelstand

Die rasant fortschreitende Technologisierung beeinflusst den deutschen Mittelstand aktuell wie nie davor. Technologietrends wie künstliche Intelligenz, das Internet der Dinge, Blockchain-Technologie und Big Data-Analysen beeinflussen unser Arbeitsverhalten massiv. Im Mittelpunkt dieser Entwicklung steht die IT-Infrastruktur, welche entscheidend dazu beiträgt, Unternehmen effizienter und wettbewerbsfähiger zu machen: Sie bildet das Rückgrat für wirtschaftlichen Erfolg.

Allerdings hat die zunehmende Technologisierung sowie die damit verbundene steigende Abhängigkeit von IT eine Kehrseite: Die Bedrohung durch Internetkriminalität. Malware und weitere Formen von Schadsoftware sind leicht und mit geringem finanziellen Aufwand verfügbar. Dies führt zu einer stetig wachsenden Anzahl von Angriffen auf Unternehmen. Tatsächlich sind ca. 76 Prozent aller verfügbaren Schadsoftware-Kits und 91 Prozent der verfügbaren Exploits für weniger als zehn US Dollar erhältlich.

Um diesen Risiken effektiv entgegenzuwirken und Firmen dabei zu unterstützen, eine unternehmensweite Informationssicherheit aufzubauen, hat das Bundesamt für Sicherheit in der Informationstechnik ein IT-Grundschutz-Kompendium sowie die sog. BSI-Standards entwickelt.

IT-Grundschutz – IT-Sicherheit auf höchstem Niveau

Das IT-Grundschutz-Kompendium und die BSI-Standards sind die beiden fundamentalen Bausteine des BSI-IT-Grundschutzes. Sie dienen dazu, Firmen bei der Durchführung einer vollumfänglichen IT-Sicherheitsstrategie zu unterstützen. Die vom Bundesamt für Sicherheit in der IT entwickelten Standards und Richtlinien stellen sicher, dass Unternehmen auf höchstem Niveau agieren, um ihre IT-Landschaft, Arbeitsabläufe, Unternehmensprozesse und Daten zu schützen. Die Implementierung des IT-Grundschutzes befähigt Unternehmen dazu, sich nachhaltig gegen eine Vielzahl von Bedrohungen (Internetangriffe, Datenlecks und Systemausfälle) zu wappnen. Die Orientierung am IT-Grundschutz-Kompendium wie auch den BSI-Standards ermöglicht Firmen, von erprobten Best Practices und umfassenden Handlungsempfehlungen zu profitieren.

IT-Grundschutz als Kompendium – Der Wegweiser für umfassende IT-Sicherheit

Das IT-Grundschutz-Kompendium ist ein elementarer Leitfaden für Unternehmen, um wirksame IT-Sicherheitsmaßnahmen zu implementieren. Es enthält 111 Bausteine, welche in zehn Themengebiete sowie in Prozess- und System-Bausteine gegliedert sind.

Die Prozess-Komponenten setzen sich mit Themen wie Informationssicherheitsmanagement, Notfallmanagement, Risikomanagement und Datenschutz auseinander. Die System-Bausteine fokussieren sich auf spezielle technische Systeme wie Clients, Server, Mobile Devices, Netzwerke sowie Cloud Computing. Alle Bausteine enthalten detaillierte Themenbeschreibungen, inklusive Auswertung der Gefährdungslage und konkreten Anforderungen zu deren Umsetzung.

Das IT-Grundschutz-Kompendium wird vom BSI jährlich aktualisiert, um aktuelle Erkenntnisse zu integrieren und Marktentwicklungen zu berücksichtigen. Dank der modularen Struktur können Unternehmen systematisch vorgehen: Wesentliche Bausteine werden nach dem Baukastenprinzip ausgewählt und an ihre spezifischen Erfordernisse angeglichen. Zusätzlich dient das IT-Grundschutz-Kompendium als Grundlage für das IT-Grundschutz-Zertifikat, eine von dem BSI vergebene Zertifizierung, die die Einhaltung der IT-Grundschutz-Standards bestätigt.

BSI-Standards – Welche gibt es?

Zusätzlich zum IT-Grundschutz-Kompendium hat das Bundesamt für Sicherheit in der Informationstechnik eine Reihe von BSI-Standards entwickelt. Ziel ist, Unternehmen bei der Implementierung von IT-Sicherheitsmaßnahmen zu unterstützen. Diese Standards beinhalten ausführliche Vorgaben, Anforderungen und Best Practices, welche darauf ausgerichtet sind, verständliche Anleitungen für die Umsetzung der Maßnahmen zu bieten.

Derzeitig existieren vier BSI-Standards, die Methoden, Prozessen und Verfahren für unterschiedliche Aspekte der Informationssicherheit bieten:

BSI-Standard 200-1

Informationssicherheitsmanagementsystem(e), kurz ISMS. Dieser Standard spezifiziert die grundsätzlichen Anforderungen für ein ISMS. Er gewährleistet die Planung, Einführung, Überwachung und stetige Optimierung der IT-Sicherheit im Unternehmen.

BSI-Standard 200-2

IT-Grundschutz-Methodik. Der BSI-Standard 200-2 beschreibt eine Methode, welche Firmen zur Erweiterung des ISMS nutzen können. Hierfür sind drei Methoden zur Ausführung definiert: Basis-, Standard- und Kern-Absicherung. Jede dieser Methoden bietet unterschiedliche Sicherheitsniveaus und Justagemöglichkeiten, um den individuellen Bedürfnissen einer Organisation gerecht zu werden.

BSI-Standard 200-3

Risikomanagement. Der BSI-Standard 200-3 befasst sich mit sämtlichen risikobezogenen Arbeitsabläufen bei der Implementation des IT-Grundschutzes. Dieser ist insbesondere für Organisationen geeignet, welche bereits die IT-Grundschutz-Methodik (BSI-Standard 200-2) integriert haben aber obendrein eine nachstehende Risikoanalyse ausführen möchten, um mögliche Schwachpunkte und Gefahren strukturiert zu erfassen und zu evaluieren.

BSI-Standard 200-4

Business Continuity Management. Dieser Standard liefert eine praxisnahe Anleitung zur Implementierung eines Business Continuity Management-Systems (BCMS). Das BCMS garantiert die Aufrechterhaltung kritischer Unternehmensprozesse im Fall von Not- und Schadenssituationen. Der Standard 200-4 befindet sich aktuell noch in der Kommentierungsphase und ersetzt den BSI-Standard 100-4 – Notfallmanagement.

BSI-Zertifizierung – Werden Sie zum Spitzenreiter in Sachen IT-Sicherheit!

Neben der Entwicklung von IT-Sicherheitsstandards bietet das BSI diverse Zertifizierungen an: Common Criteria (CC), technische Richtlinien (TR) usw. Zudem zertifiziert die Behörde Managementsysteme entsprechend der DIN-Norm 27001. Selbst Einzelpersonen können BSI-Zertifikate erhalten: Als Auditoren, IT-Sicherheitsprüfer oder IT-Grundschutz-Berater.

BSI-Zertifizierungen garantieren die Qualität und Kompetenz von Experten sowie Lösungen im Bereich der IT-Sicherheit. Im Umkehrschluss schaffen diese Garantien ein hohes Maß an Vertrauen in das Angebot und die Reputation des BSI.

IT-Grundschutz versus KRITIS-Verordnung – Unterschiede und Gemeinsamkeiten

Sowohl IT-Grundschutz als auch die KRITIS-Verordnung beschäftigen sich mit dem Schutz der Informationstechnik – jedoch mit unterschiedlichen Schwerpunkten und Verbindlichkeiten. Das IT-Grundschutz-Kompendium ist für Unternehmen, Behörden und Institutionen aller Größen konzipiert und bietet einen freiwilligen Maßnahmenkatalog zum Schutz unternehmerischer IT-Infrastrukturen. Im Gegensatz dazu richtet sich die KRITIS-Verordnung speziell an Betreiber kritischer Infrastrukturen. Diese sind verpflichtet, die Anforderungen der Verordnung durchzuführen, um gravierende negative Folgen für das Gemeinwohl abzuwenden.

Da er branchenspezifische Sicherheitsstandards sowie Ratschläge zur Einführung eines passenden Informationssicherheitsmanagements liefert, kann der IT-Grundschutz für KRITIS-Betreiber als Leitfaden zur Erfüllung der KRITIS-Verordnung dienen.

Fazit: Mit IT-Grundschutz und BSI-Standards Datenschutz und Compliance meistern

IT-Sicherheit ist für Unternehmen von zentraler Bedeutsamkeit, um sensible Daten und Systeme vor den Bedrohungen der vernetzten Welt zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz-Kompendium sowie den BSI-Standards ein Instrumentarium entwickelt, welches Firmen eine umfassende Orientierungshilfe für eine gelungene IT-Sicherheitsstrategie bietet.

Um die Vorzüge des IT-Grundschutzes und der BSI-Standards voll auszuschöpfen, sollten Unternehmen deshalb diese Schritte befolgen:

IT-Sicherheitslage analysieren – Erfassung von IT-Systemen, Anwendungen und Prozessen; Identifizierung von Schwachstellen und Bedrohungen.
Relevante Module und Standards auswählen – Selektion basierend auf Branche, Unternehmensgröße sowie eigenen Ansprüchen.
Maßnahmen implementieren – Integration in interne Prozesse und Richtlinien; Sensibilisierung der Mitarbeiter für IT-Sicherheit.
Überprüfung und Anpassung – Regelmäßige Kontrolle und Aktualisierung der Sicherheitsmaßnahmen mittels neuer Bedrohungen und Technologien.
Dokumentation und Zertifizierung – Lückenlose Maßnahmendokumentation, Zertifizierung nach BSI-Standards. Ziel ist die Schaffung hohen Vertrauens bei Kunden, Partnern und Behörden.

Gerne unterstützen wir Sie bei der Durchführung dieser Leitlinien! Kontaktieren Sie uns noch heute unter 0800 4883 338 (innerdeutsch kostenfrei) sind wir für Sie da!

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

Foto © Mue Ervive @ Pexels

15. September 2023/von Manuel Büschgens

Kritische Infrastrukturen – wirtschaftliches Rückgrat moderner Gesellschaften

Infrastruktur, Sicherheit, Unternehmen

Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‘kritisch’ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‘Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.’

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‘Stand der Technik’ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‘Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‘ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

6. Mai 2022/von Manuel Büschgens