Herausforderungen und Abhilfe Wie setzt man die KRITIS-Verordnung sicher und gesetzeskonform um?

Anbieter zum Thema

EPS Rechenzentrum Infrastruktur GmbH

Rosenberger-OSI GmbH & Co. OHG

Seit Jahresanfang gilt die erneuerte Verordnung zum Schutz kritischer Infrastrukturen (KritisV). Sie verpflichtet die Betreiber dazu, ihre Systeme dem Stand der Technik entsprechend und angemessen abzusichern. Im Interview beantwortet Matthias Reidans von Rosenberger OSI, welche Punkte auf dem Weg zu einer sicheren Infrastruktur zu beachten sind.

Die erneuerte KritisV betrifft mehr als 1.850 Unternehmen in Deutschland. Vorlauf- und Übergangsfristen sind bereits abgelaufen. Verstöße ziehen empfindliche Strafen nach sich. Dennoch sind oft noch Fragen offen, etwa zur konkreten Bedeutung von „sicher“ oder den Pflichten, die KRITIS-Betreiber erfüllen müssen. Zudem stellt die Dynamik der Anpassungen in der KritisV die Unternehmen bei der Umsetzung vor Herausforderungen.

Im folgenden Interview beantwortet Matthias Reidans, Senior Projektmanager Services des Glasfaser- und Infrastrukturspezialisten Rosenberger OSI, wichtige Fragen und erklärt, welche Punkte für KRITIS-Betreiber nun wichtig sind.

Welche Unternehmen gehören zur Kritischen Infrastruktur?

Die offizielle Definition lautet: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Das BSI-Gesetz („Bundesamt für Sicherheit in der Informationstechnik“) identifiziert für ein funktionierendes staatliches Gemeinwesen nachfolgende kritische Sektoren: Informationstechnik & Telekommunikation, Gesundheit, Energie, Wasser, Ernährung, Finanz- & Versicherungswesen, Staat & Verwaltung, Transport & Verkehr, Medien & Kultur sowie – nach der letzten Änderung neu aufgenommen – Siedlungsabfall-Entsorgung. Das IT-Sicherheitsgesetz 2.0, das der KRITIS-Verordnung zugrunde liegt, stellt dabei auf Unternehmen ab, die sich auf digitale Infrastrukturen im Sinne von „Anlagen“ stützen. Darunter fallen sowohl Maschinen und Geräte im weitesten Sinne, als auch Software und IT-Dienste, die für das Erbringen einer kritischen Dienstleistung notwendig sind.

Welche branchenspezifischen Anforderungen gilt es, für KRITIS-Betreiber zu beachten?

Für alle Sektoren gibt es spezifische Schwellenwerte, die sicherstellen sollen, dass wirklich nur die Unternehmen als kritisch eingestuft werden, die für das gesellschaftliche Leben relevant sind. In der Regel werden die Schwellwerte so zugeschnitten, dass damit eine Untergrenze von einer halben Million Einwohnern versorgt wird. Im Energiebereich ist das beispielsweise die Menge an bereitgestelltem Strom, Heizöl, Flugbenzin und ähnlichem, im Bereich Wasser die Menge an Trinkwasser, aber auch die Zahl der an die Kanalisation angeschlossenen Haushalte.

Im IT- und TK-Sektor sind je nach Service unterschiedliche Faktoren relevant: Netzteilnehmer, Instanzen, Domänen, qualifizierte Zertifikate und Serverzertifikate, bei Rechenzentren auch der Stromverbrauch – hier gilt eine neue Untergrenze von 3,5 statt bisher 5 MW. Die Unternehmen sind selbst dafür verantwortlich, sich darüber zu informieren, ob sie unter die KRITIS-Regeln fallen und entsprechende Schritte einleiten müssen. Die Vorlauf- und Übergangsfristen sind inzwischen abgelaufen.

Das bedeutet, es wäre wichtig, die KRITIS-Relevanz fortlaufend im Blick zu behalten?

Ganz genau. Das Gesetz wurde im August 2021 beschlossen und ist zum 1. Januar 2022 in Kraft getreten. Die betroffenen Anlagen mussten bis zum 1. April registriert werden – und zum gleichen Datum müssen KRITIS-Unternehmen auch die damit verbundenen Cybersecurity-Maßnahmen einhalten. Das dürfte den einen oder anderen Neuzugang unter den KRITIS-Betreibern kalt erwischen. Denn es drohen empfindliche Strafen. Den Nachweis der Umsetzung durch KRITIS-Prüfungen müssen sie spätestens zum 1. April 2024 führen, zumindest dafür ist also noch ein wenig Zeit.

Doch auch wer von den aktuellen Einstufungen nicht betroffen ist, kann die Hände nicht in den Schoß legen. Auch für das aktuelle Jahr sind weitere Änderungen beim IT-Sicherheitsgesetz beziehungsweise der KRITIS-Verordnung geplant. Das heißt, es kann jederzeit zu einer neuen Abgrenzung der KRITIS-Relevanz kommen. Man sollte also die branchenspezifischen Schwellenwerte stets im Blick behalten. Um auf Nummer sicher zu gehen, empfiehlt es sich, hier Experten hinzuzuziehen. Rosenberger OSI bietet dafür einen unverbindlichen Quick-Check als Orientierungshilfe an, ob KRITIS-Relevanz besteht. Im Fokus der Betrachtung liegen die Prüfung der Zugehörigkeit zu KRITIS-Sektoren, die Einstufung in Bezug auf Schwellenwerte und die Bewertung branchenspezifischer Besonderheiten.

Die KRITIS-Verordnung verpflichtet dazu, die IT dem „Stand der Technik“ angemessen abzusichern. Was bedeutet das?

Mit dem Terminus „Stand der Technik“ vermeidet der Gesetzgeber statische Vorgaben, die bald veralten – denn die technische Entwicklung ist schneller als die Gesetzgebung. Was aktueller „Stand der Technik" ist, lässt sich aus verschiedenen nationalen und internationalen Normen ableiten, etwa DIN, ISO, DKE oder ISO/IEC. Darüber hinaus können auch in der Praxis erfolgreich erprobte Vorbilder für den jeweiligen Bereich herangezogen werden.

Ziel muss sein, angemessene Vorkehrungen zur Vermeidung von Störungen zu treffen, das bezieht sich beispielsweise auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Die getroffenen Maßnahmen müssen zertifiziert und innerhalb von zwei Jahren nach Inkrafttreten der KRITIS-Verordnung gegenüber dem BSI nachgewiesen und alle zwei Jahre erneuert werden. Klassische Zertifizierungen wie ISO 27001 oder BSI IT-Grundschutz alleine reichen dafür jedoch nicht aus.

Welche KRITIS-Anforderungen gilt es, für Rechenzentren und Serverräume zu beachten?

Das ist abhängig vom Schutzbedarf und von den Anforderungen der Verfügbarkeit an das Rechenzentrum oder den Serverraum. Das kann der Bedarf an Hochverfügbarkeit sein, aber auch dass bestimmte Voraussetzungen für den Standort des Rechenzentrums erfüllt werden müssen.

TÜViT hat mit der Zertifizierung nach dem selbstentwickelten TSI.STANDARD eine Systematik geschaffen, die vier verschiedene Level unterscheidet, in denen sich die Qualität der Versorgungssysteme wie auch aller anderen Elemente widerspiegelt. Sie baut auf der seit 2001 etablierten Methodik TSI (Trusted Site Infrastructure) zur Prüfung und Zertifizierung der physischen Sicherheit und Verfügbarkeit von Rechenzentren auf. Der TSI.STANDARD wird kontinuierlich weiterentwickelt, um den aktuellen Stand der Technik und den Normenstand abzubilden – genau wie es das BSI von KRITIS-Betreibern verlangt.

Wie muss die Infrastruktur in Rechenzentren mit hoher Verfügbarkeit und Schutzklasse optimiert werden?

Für den Aufbau von Rechenzentren mit hoher Schutzklasse und Verfügbarkeit reicht es nicht, nur die IT‐Infrastruktur entsprechend zu optimieren. Es sollten die wesentlichen Schwachstellen und Risiken im und um das Rechenzentrum sowie die damit verbundenen Dienste – beispielsweise DNS- oder Zertifizierungs-Services – detailliert betrachtet werden. Und dies in einem wiederholten Verfahren.

Was bedeutet das genau für die Prüfung und Bewertung von RZ-Neubauten sowie Bestandsrechenzentren? Im und um das Rechenzentrum?

Das bedeutet konkret, nicht nur die Struktur der Verkabelung oder die Energieversorgung und die dafür ausgelegten Redundanzen zu betrachten, sondern auch das Rechenzentrumsumfeld oder Aspekte wie Baukonstruktion, Brandschutz oder Sicherheitssysteme.

Rosenberger OSI prüft zur Erfüllung der KRITIS-Pflichten die Passgenauigkeit der gültigen Anforderungskataloge mit der vorhandenen baulichen und physischen Sicherheit der IT-Infrastruktur. Aus dieser Analyse und Evaluation resultieren technische und/oder organisatorische Maßnahmenlisten, die dann in der Umsetzung das geforderte Sicherheitsniveau entsprechend dem zu erfüllenden Schutzbedarf für die IT gewährleisten können.

Was sind wichtige Schritte auf dem Weg zur Abnahme der gesetzlichen KRITIS-Anforderungen?

In einem ersten Schritt wird der BSI-Anforderungskatalog untersucht, um mögliche Abweichungen zwischen dem Ist- und dem Soll-Zustand der IT-Infrastruktur detailliert zu erfassen und zu bewerten. Dies beinhaltet zunächst die Identifizierung des Levels für Schutzbedarf und für Verfügbarkeit sowie die Untersuchung der Kriterien-Bereiche für den IT-Betrieb, je nach gefordertem Schutzbedarfslevel.

Im Rahmen der Bestandsaufnahme wird die komplette IT-Infrastruktur erfasst und deren Stand bewertet. Es folgt eine Einstufung der Risiken und eine Priorisierung der zu bewältigenden Herausforderungen. Darauf basierend wird ein Maßnahmenkatalog erstellt, welcher eine detaillierte Empfehlung für den Schutzbedarf beinhaltet. Darüber hinaus werden gezielte technische und/oder organisatorische Maßnahmen abgeleitet, um den vom BSI geforderten Branchenstandard zu erreichen.

(ID:48432930)