IT-Schutz für kritische Infrastrukturen BSI zertifiziert ersten KRITIS-Sicherheitsstandard

Das BSI hat dem ersten branchenspezifischen IT-Sicherheitsstandard die Eignung bescheinigt. Es geht dabei um den bundesweiten Schutz von kritischen Infrastrukturen.

Die Auswirkungen von erfolgreichen Angriffen mit Schadsoftware hängen vom Ziel ab. Bei Privatpersonen ist der mögliche Schaden in der Regel geringer als bei einem großen Unternehmen. Sie kann aber auch die Systeme von kritischer Infrastruktur einer ganzen Region treffen, etwa die Wasser- und Energieversorgung oder die Telekommunikationssysteme. In Deutschland wurde im Sommer 2015 das IT-Sicherheitsgesetz mit Blick auf solche Fälle umfassend erweitert. Neu aufgenommen wurde unter anderem die Festsetzung, dass Betreiber von kritischer Infrastruktur (KRITIS) die Einhaltung der IT-Sicherheit nach dem aktuellen Stand der Technik alle zwei Jahre dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen haben.

Wassersektor als Vorreiter in der IT-Sicherheit

Um aus dieser allgemeinen Forderung des Gesetzgebers konkrete und für die jeweilige Branche angemessene Maßnahmen abzuleiten, erarbeiten die KRITIS-Betreiber und ihre Verbände branchenspezifische Sicherheitsstandards, deren Eignung vor der Veröffentlichung vom BSI festgestellt werden muss.

Die Prüfung eines erarbeiteten Sicherheitsstandards durch eine Bundesbehörde ist ein Novum für die regelsetzenden Verbände, sagte der Präsident der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA) Otto Schaaf im Zuge der Veröffentlichung des KRITIS-Sicherheitsstandards für den Wassersektor. Es ist der erste und bisher einzige branchenspezifische KRITIS-Sicherheitsstandard in Deutschland, dessen Eignung vom BSI festgestellt wurde. Er enthält Rahmenanforderungen an die IT-Sicherheit, die die tatsächlichen Gegebenheiten in der Trinkwasserversorgungen und der Abwasserbeseitigung berücksichtigen, eine konkrete Vorgehensweise zur Risikoanalyse und eine Sammlung von möglichen Sicherheitsmaßnahmen, um die identifizierten Risiken zu reduzieren.

In der Prüfung oder der Erstellung befinden sich laut BSI aktuell zwei Branchenstandards für die Informations- und Kommunikationstechnik (Datacenter & Hosting sowie Internetinfrastruktur), ein Standard für die Lebensmittelindustrie sowie einer für das Finanz- und Versicherungswesen.

Cyber-Attacke dringt auch in Tschernobyl-Sperrzone vor

Laut einer Bitkom-Studie wurde bereits jedes zweite Unternehmen innerhalb der letzten beiden Jahre Opfer eines Cyber-Angriffs. Welche Schäden daraus resultieren können, machten die jüngsten Attacken durch WannaCry und NotPetya deutlich. Aber Schadsoftware ist nicht allein für den Umsatz und den Ruf eines Unternehmens bedrohlich. NotPetya tauchte zuerst in Russland und der Ukraine auf und wurde bald auch auf Computern des havarierten Kernkraftwerks Tschernobyl entdeckt, wie das Magazin Heise berichtete. Aufgrund des Computerausfalls musste die Kontrolle der Radioaktivität manuell stattfinden, wie das Magazin unter Berufung auf die Sperrzonenverwaltung weiter mitteilte.