Kritische Infrastrukturen

KRITIS

Die Umsetzung des IT-Sicherheitsgesetzes in kritischen Infrastrukturen

Seit dem 24.07.2015 gilt in Deutschland das IT-Sicherheitsgesetz, bald folgen die ergänzenden Verordnungen und Regelungen, welche Unternehmen konkret von dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (ITSiG) betroffen sind.
Mit dem IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen (KRITIS) dazu verpflichtet, ihren IT-Sicherheits-Mindeststandard zur Vermeidung entsprechender Vorfälle einzuhalten.
Die davon betroffenen Unternehmen (KRITIS-Unternehmen) müssen sich in Zukunft bei Störungen der IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden sowie selbst einen Ansprechpartner für das BSI benennen.

Das Ziel des IT-Sicherheitsgesetzes ist:

  • Die IT-Sicherheit von Unternehmen zu verbessern,
  • Die Bürgerinnen und Bürger im Internet zu schützen,
  • Das Bundesamt für Sicherheit in der Informationstechnik und das Bundeskriminalamt (BKA) in die Lage zu stärken.
Ergänzend zu den neuen Regelungen für kritische Infrastrukturen im Gesetz (BSIG), wurden ebenfalls gesetzliche Änderungen im Atomgesetz (AtomG), Energiewirtschaftsgesetz (EnWiG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) vorgenommen.

Welche KRITIS-Betreiber sind/werden von dem Gesetzt konkret betroffen?

Kritische Infrastrukturen sind alle jene Infrastrukturen, deren Ausfall große Auswirkungen auf die öffentliche Sicherheit bzw. das staatliche Gemeinwesen haben kann.
Folgende Sektoren sind betroffen:

  • Energienetzbetreiber
  • Wasserversorgung
  • Ernährung (Lebensmittelhandel)
  • Informationstechnik und Telekommunikation
  • Gesundheitswesen
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Medien und Kultur
  • Staat und Verwaltung
Die  Meldebereitschaft der Sicherheitsvorfälle muss nach einem halben Jahr nach dem in Inkrafttreten der Verordnung erfolgen. Nach zwei Jahren ab dem Inkrafttreten der Verordnung müssen die Betreiber kritischer Infrastrukturen die Erfüllung der Maßnahmen gemäß dem aktuellen Stand der Technik in ihrem Unternehmen gegenüber dem BSI nachweisen.
Die Bewertung der IT-Sicherheit beruht auf einer Risikoanalyse und Risikobewertung. Für die KRITIS-Betreiber bedeutet dies, dass sie alle 2 Jahre durch ein Audit nachweisen müssen, dass sie die aus der Risikobewertung abgeleiteten Anforderungen erfüllen.

Davon unabhängig sind auch IT-Sicherheitskataloge zu beachten, die von den Branchenverbänden und anderen Stellen herausgegeben werden und Mindestanforderungen an die Sicherheit beinhalten. Ein solcher IT-Sicherheitskatalog existiert bereits für die Energiebranche und soll den Energieversorgern unter anderen als Grundlage für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) dienen.

Welche Handlungsempfehlungen lassen sich für die betroffenen Unternehmen ableiten?

Zuerst sollen die kritischen Stellen der IT-Infrastruktur im Unternehmen analysiert, dann den Schutzbedarf und das Angriffsrisiko und deren Qualitätsklasse festgelegt werden.
Der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001 oder des IT-Grundschutzes wird als nächster Schritt zwingend erforderlich sein.
Auch wenn die Umsetzung des Standes der Technik im ITSiG vorgegeben ist, lohnt sich ein Blick in die Handlungsempfehlungen unseres Partners Bundesverband für IT-Sicherheit TeleTrusT-e.V. als Orientierungshilfe. TeleTrusT beteiligt sich mit dem Arbeitskreis „Stand der Technik“ an der inhaltlichen Ausgestaltung der neuen Regelungen.

Unsere Leistung:

Die WMC Wüpper Management Consulting hilft KRITIS-Betreibern ihre IT-Infrastruktur zu analysieren und den Schutzbedarf zu identifizieren. Darüber hinaus definieren wir, welche besondere Maßnahmen Sie zur Erhöhung der Sicherheit ergreifen müssen. Unsere Spezialisten unterstützen Sie gerne bei der Umsetzung des IT-Sicherheitsgesetzes und garantieren die effiziente Einführung eines ISMS (nach dem PDCA-Vorgehensmodell).

Mehr Informationen erhalten Sie hier: ISMS-Einführung. Lesen Sie auch unser Case Study.

Als Hersteller einer GRC & ISMS Softwares gemäß ISO/IEC 27001, ISO/IEC 27005 und nach den Standards des Bundesamts für Sicherheit in der Informationstechnologie (BSI) bieten wir Ihnen eine Komplettlösung an, welche das IT-Sicherheitsniveau in Ihrem Unternehmen erhöht. Die QSEC-Suite wird seitens des BSI als alternative zum GSTOOL genannt und eignet sich somit zur Umsetzung der BSI Standards und IT-Grundschutzkataloge.

Was ist Besondere an WMC GmbH und QSEC-Suite?

  • 16 jährige Erfahrung in der Planung eines Information Security Management Systems, über Analyse, Konzept, Einführung bis zum Audit und zur Zertifizierung.
  • QSEC ist eine flexible webbasierte Software, die in kurzer Zeit implementiert werden kann –
    bei exakter  Zeit-/ und Kostenplanung.
  • Die in QSEC integrierten Methoden und Prozesse für das ISMS-, Risiko-, BIA-, BCM- und Maßnahmen- und Dokumentenmanagement basieren auf praxiserprobten Best-Practice-Standards.
  • In QSEC sind Normen und Standards mit Fragenkatalogen, einschließlich Bedrohungs- und Schwachstellenkatalogen sowie Maßnahmenvorschlägen komplett vorhanden und erleichtern die Einführung eines ISMS erheblich.
  • Über Schnittstellen können Daten aus Mail-Systemen, Active Directory, Asset Management Systeme und Ticket-Systemen in QSEC übernommen werden – auch in Form von dynamischen Schnittstellen.
  • In QSEC ist der Grundschutzkatalog (100-1) integriert. Die Besonderheiten des IT-Grundschutzes wurden in der QSEC Suite BSI Edition berücksichtigt.
  • QSEC ist eine Multi-Normen Lösung. Neben der ISO/IEC 27000er Reihe werden auch die Normen Qualitätsmanagement (9001), Umweltmanagement (14001) und viele weitere abgebildet. Individuelle Anforderungen (z.B. Verträge oder branchenspezifische Standards) mit eigenen Inhalten können erfasst werden.

Nutzen Sie unsere branchenspezifische Erfahrung!
Wählen Sie eine Branche aus:

Weitere Informationen zur QSEC-Suite lesen Sie hier:

Jetzt QSEC online testen!